Architecture for Voice, Video and Integrated Data

Cisco Unified Communications

Instalando um Certificado Confiável (SSL) no CUCM

Posted by loliveira em 19/11/2010


Este documento explicará como instalar um Certificado Confiável SSL para quando o usuário acessar o https://<node>/ccmuser não receber a mensagem de erro de certificado de segurança.

Este documento se baseia no CUCM 7.x

 

Certificado HTTPS (tomcat_cert)

A Cisco usa certificados próprios (Self-Signed Certificates) nos servidores CUCM por padrão. Se estes certificados não forem carregados no seu Browser quando você for visualizar a página do CUCM, uma mensagem de segurança aparecerá no seu navegador.

Afim de evitar o erro causado por este comportamento padrão, você pode alterar de um certificado próprio para um certificado assinado por uma Autoridade Certificadora. 
Quando existir uma entidade Certificadora que emite o certificado de segurança o seu browser passará a confiar no CUCM Tomcat Certificate e nenhuma mensagem de segurança irá aparecer. Lembrando que, os usuários precisam se assegurar que estão acessando o servidor com o mesmo hostname que é apresentado no certificado (CA Signed Certificate)

Os passos deste documento explicará como mudar de Self-Signed Certificates ( Certificados prórprios ) para CA Signed Certificate ( Certificados Assinados por uma Autoridade Certificadora)

Instalando um CA Signed Certificate for Tomcat

Certificados são baseado em nomes. Você precisa se assegurar que os nomes estão corretos antes de gerar o Certificate Signing Request (CSR)
A partir da CLI (SSH) use o comando:

admin: show web-security

Este comando irá mostrar o conteúdo do certificado atual de segurança. Verifique o hostname e o subject alternate name para que o nome correto apareça quando você gerar o CSR.

Veja o CUCM Uploading CCMAdmin Web GUI Certificates para mais informações.

Agora, você precisa gerar o Certificate Signing Request (CSR) do CUCM. Complete estes passos:

1 – Faça o login na página OS Administration (Aba superior direita)

2 – Selecione Security > Certificate Management.
A janela de lista de certificados irá ser exibida.

3 – Click no botão Generate CSR. 
A caixa de diálogo Generate Certificate Signing Request irá aparecer.

4 – Escolha o serviço tomcat da lista drop-down Certificade Name, e clique no botão Generate CSR.

5 –Após o certificado ser gerado a seguinte mensagem irá aparecer:

Success: Certificate Signing Request Generated.
image

Baixando o Certificate Signing Request (CSR)

Agora, na mesma janela que você gerou o CSR, faça o download do certificado. Siga os passos:

  1. Clique em Download CSR.

    A caixa de diálogo Download Certificate Signing Request irá aparecer.

  2. Escolha o tomcat para baixar e clique em Download CSR.

  3. Salve o arquivo. Você precisa enviar este arquivo para as autoridades que irá assinar seus certificados.

Se você desejar que seus certificados sejam emitidos pelo Microsoft CA, clique aqui. Caso contrário, você pode pegar o seu CSR assinado pela sua Autoridade Certificadora que provê seus certificados.

Conseguindo um Certificado Assinado de um CA para o CSR

Você precisará pegar o CSR, carregar no Microsoft CA e fazê-lo assinar como um “internet certificate”. Uma vez feito isso, você terá um novo arquivo *.csr que exibirá o Microsoft CA como a entidade confiável e não mais o CUCM. Complete os passos para enviar o CSR para o CA se o seu CA for um Windows 2003 Server.

  1. Abra o CSR que você baixou no processo anterior pelo Notepad e copie todo o conteúdo incluindo as linhas —BEGIN CERTIFICATE REQUEST— e o —END CERTIFICATE REQUEST– .

  2. Vá em http://<certificate server address>/certsrv para abrir a páginas so servidor de certificados.

  3. Clique em Request a certificate.

    A página de requisição de certificados irá aparecer.

  4. Clique no link Advanced certificate request.

    A página de requisição de certificados avançados irá aparecer.

  5. Clique no link Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.

    A página Submit a Certificate Request or Renewal Request írá aparecer.

  6. Cole o conteúdo que você copiou no passo 1 dentro do campo Saved Request, escolha Web Server na lista drop-down Certificate Template, e clique em Submit.

    image

    A página de certificado emitido irá aparecer.

    image

  7. Com o certificado gerado, selecione DER encoded , e clique em Download certificate.

  8. Salve o arquivo no seu computador.

    Nota: Repita o processo para solicitar e baixar outros certificados. Uma vez feito todos os passos, todos os certificados estará armazenados em seu computador.

Enviando o certificado para o CUCM

Para estabelecer uma cadeia de certificados, obtenha e instale os certificados CA e SSL para o Tomcat. Complete estes passos para enviar os certificados para o CUCM.

  1. Faça o Login no CUCM na página OS Administration.

  2. Escolha Security > Certificate Management.

  3. Clique em Upload Certificate.

  4. Certifique-se que o tipo do certificado seja tomcat-trust.

  5. Clique em Browse para localizar seu certificado.

    image 

    Nota: O nome do arquivo enviado é UC-DC_PEM.cer. Este é baseado em um arquivo “Base64 encoded PEM”. Uma vez que este arquivo é enviado para o CUCM, o arquivo se torna UC-DC.pem. O CUCM altera o nome do arquivo para <SUBJECT CN>.pem.

  6. Clique em Upload File para enviar o arquivo.

  7. Na mesma página de upload do certificado, escolha tomcat para o nome do certificado.

  8. Digite UC-DC.pem no campo Root Certificate.

    Nota:  Este é o certificado de identidade emitido pelo CA. Especifique o certificado raiz .pem para completar a cadeia de certificados. Você precisa digitar UC-DC.pem por que o certificado raiz foi salvo com o nome UC-DC_PEM.cer

    image

  9. Clique em Upload

Reinicie o TomCat

Reinicie o serviço Cisco Tomcat via CLI com o seguinte comando:

admin: utils service restart Cisco Tomcat

Após reiniciar o TomCat, acesse a página CCMAdmin ou o CCMUser para validar se o certificado já está em uso.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: