Услуги UC и сертификаты
-
Добрый день всем! У меня есть несколько вопросов по поводу некоторых услуг UC, и я хотел бы попросить вас о помощи. В частности, я не совсем понимаю разницу между службами CAPF и TVS и в каких сценариях происходит обмен сертификатами, предоставленными в CUCM. У меня есть такой же вопрос по поводу служб сервера IM&P (CUP): SIP Proxy, Presence Engine, XCP Connection Manager, XCP Web Connection Manager и XCP Directory Service. Какова функция каждой из них? В каких сценариях происходит обмен сертификатами? Когда вы настраиваете устройство для связи TLS? Всегда ли это так? Сколько сертификатов предоставляется в EXP? В каких случаях они используются, кроме предоставления зон и соседей? Что касается служб, то описания, которые я нашел, являются неоднозначными почти для всех из них, а в некоторых случаях две службы участвуют в одном и том же действии, но не указана степень участия каждой из них. В случае с сертификатами у меня происходит то же самое: я не нашел подробной информации о том, для чего используется каждый сертификат и в каких процессах он участвует. Заранее спасибо. Хуан
-
В конечном итоге вам понадобится прочитать
Руководство по безопасности Cisco Unified Communications Manager,
чтобы лучше понять эту тему. Краткая версия: CAPF — это самоподписанный сертификат корневого центра сертификации, используемый только в кластерах смешанного режима для выдачи локально значимых сертификатов (LSC) IP-телефонам. Это гораздо более обширная тема, чем я могу охватить в ответе на форуме. TVS — один из сертификатов, включенных в
начальный список доверия (ITL)
. Когда телефон инициирует исходящее TLS-соединение (например, с URL-адресом телефонной службы) и получает TLS Server Hello, содержащий цепочку сертификатов, о которой он не знает локально (т. е. она не указана в ITL или CTL), телефон запрашивает службу CUCM TVS, следует ли принять ее и завершить соединение. Это позволяет централизованно управлять доверенными сертификатами в CUCM, а не на каждом телефоне отдельно. В последнее время документация по IM&P становится все более скудной, поскольку основное внимание уделяется новой архитектуре обмена сообщениями Webex, которая конкурирует со Slack, MS Teams и т. д. Страница
«Руководства по настройке»
— вероятно, лучший вариант, а старая
глава SRND IM&P
является полезной отправной точкой. IM&P на самом деле представляет собой два продукта, объединенных воедино: Cisco Unified Presence SIP SIMPLE-based side (SIP Proxy, Presence Engine) из версии <=7.x и XMPP-based Jabber acquisition (XCP services) в 8.0. В контекстной справке есть краткое описание каждой службы, если я правильно помню. Вернемся к сертификатам. Все зависит от функциональности, которую вы собираетесь настроить. Например, XMPP-S2S используется только с федерацией XMPP. Expressway сам по себе имеет только один сертификат, либо для каждого узла, либо общий для всего кластера. Содержимое этого сертификата зависит от требуемой функциональности. Для всех этих продуктов обратите особое внимание на требования к атрибутам «Общее имя», «Альтернативное имя субъекта», «Использование ключа» и «Расширенное использование ключа». EKU, в частности, скоро станет рискованным, поскольку публичные центры сертификации этой весной начнут принудительно разделять аутентификацию клиента и аутентификацию сервера. Cisco недавно провела вебинар —
[Краткое изложение брифинга: обновления UCM для сертификатов mTLS, выданных публичным центром сертификации]
(требуется членство
[в]
Cisco
[Insider User Group]
) — по этому вопросу, поскольку он повлияет на любое развертывание локальных вызовов с использованием сертификатов, подписанных центром сертификации. -
Большое спасибо, Джонатан, за ваш ответ! Вебинар, о котором ты упомянул, был действительно очень полезен. Твои коллеги отлично объяснили ситуацию с использованием сертификатов с EKU ClientAuth и то, как Cisco собирается действовать. После этой сессии у меня возникли все вопросы, которые я задал тебе в этой теме о том, как сертификаты работают в Webex/HCS. Еще раз большое спасибо за ваш ответ. С уважением, Хуан
-
Здравствуйте, Вот хорошая ссылка на CM Security by Default
https://www.cisco.com/c/en/us/support/docs/voice-unified-communications/unified-communications-manager-callmanager/116232-technote-sbd-00.html
.
В ней подробно описаны сертификаты TVS и CAPF. Надеюсь, она даст хорошее объяснение, если у вас возникнут дополнительные вопросы.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти