Reply to Услуги UC и сертификаты on Wed, 18 Feb 2026 21:07:18 GMT

ryabenne — Wed, 18 Feb 2026 21:07:18 GMT

Здравствуйте, Вот хорошая ссылка на CM Security by Default
https://www.cisco.com/c/en/us/support/docs/voice-unified-communications/unified-communications-manager-callmanager/116232-technote-sbd-00.html
.
В ней подробно описаны сертификаты TVS и CAPF. Надеюсь, она даст хорошее объяснение, если у вас возникнут дополнительные вопросы.

Reply to Услуги UC и сертификаты on Wed, 18 Feb 2026 21:07:17 GMT

Juan Delgado Gutierrez — Wed, 18 Feb 2026 21:07:17 GMT

Большое спасибо, Джонатан, за ваш ответ! Вебинар, о котором ты упомянул, был действительно очень полезен. Твои коллеги отлично объяснили ситуацию с использованием сертификатов с EKU ClientAuth и то, как Cisco собирается действовать. После этой сессии у меня возникли все вопросы, которые я задал тебе в этой теме о том, как сертификаты работают в Webex/HCS. Еще раз большое спасибо за ваш ответ. С уважением, Хуан

Reply to Услуги UC и сертификаты on Wed, 18 Feb 2026 21:07:16 GMT

Jonathan Schulenberg — Wed, 18 Feb 2026 21:07:16 GMT

В конечном итоге вам понадобится прочитать
Руководство по безопасности Cisco Unified Communications Manager,
чтобы лучше понять эту тему. Краткая версия: CAPF — это самоподписанный сертификат корневого центра сертификации, используемый только в кластерах смешанного режима для выдачи локально значимых сертификатов (LSC) IP-телефонам. Это гораздо более обширная тема, чем я могу охватить в ответе на форуме. TVS — один из сертификатов, включенных в
начальный список доверия (ITL)
. Когда телефон инициирует исходящее TLS-соединение (например, с URL-адресом телефонной службы) и получает TLS Server Hello, содержащий цепочку сертификатов, о которой он не знает локально (т. е. она не указана в ITL или CTL), телефон запрашивает службу CUCM TVS, следует ли принять ее и завершить соединение. Это позволяет централизованно управлять доверенными сертификатами в CUCM, а не на каждом телефоне отдельно. В последнее время документация по IM&P становится все более скудной, поскольку основное внимание уделяется новой архитектуре обмена сообщениями Webex, которая конкурирует со Slack, MS Teams и т. д. Страница
«Руководства по настройке»
— вероятно, лучший вариант, а старая
глава SRND IM&P
является полезной отправной точкой. IM&P на самом деле представляет собой два продукта, объединенных воедино: Cisco Unified Presence SIP SIMPLE-based side (SIP Proxy, Presence Engine) из версии <=7.x и XMPP-based Jabber acquisition (XCP services) в 8.0. В контекстной справке есть краткое описание каждой службы, если я правильно помню. Вернемся к сертификатам. Все зависит от функциональности, которую вы собираетесь настроить. Например, XMPP-S2S используется только с федерацией XMPP. Expressway сам по себе имеет только один сертификат, либо для каждого узла, либо общий для всего кластера. Содержимое этого сертификата зависит от требуемой функциональности. Для всех этих продуктов обратите особое внимание на требования к атрибутам «Общее имя», «Альтернативное имя субъекта», «Использование ключа» и «Расширенное использование ключа». EKU, в частности, скоро станет рискованным, поскольку публичные центры сертификации этой весной начнут принудительно разделять аутентификацию клиента и аутентификацию сервера. Cisco недавно провела вебинар —
[Краткое изложение брифинга: обновления UCM для сертификатов mTLS, выданных публичным центром сертификации]
(требуется членство
[в]
Cisco
[Insider User Group]
) — по этому вопросу, поскольку он повлияет на любое развертывание локальных вызовов с использованием сертификатов, подписанных центром сертификации.