Criptografia da próxima geração CUCM Criptografia elíptico da curva

Documentos relacionados
Exemplo de configuração para a integração segura do SORVO entre CUCM e CUC baseados na criptografia da próxima geração (NGE)

Nota Técnica no certificado CAPF assinado por CA para CUCM

Certificado CAPF assinado por CA para CUCM

Como verificar o CSR e a má combinação do certificado para o UC

Verifique o CSR e Certificate a má combinação para o UC

Exemplo de configuração CA-assinado da terceira da geração e da importação CUCM LSC

Geração de um certificado SSL (Secure Socket Layer) em RV120W e em RV220W

Configurar um desenvolvimento do híbrido MRA

Configurar Certificados de server de aplicativo CA-assinados do abastecimento para aprontar o abastecimento da Colaboração

Compreenda Certificados ECDSA em uma solução UCCX

Configurar o acesso HTTPS para a ferramenta diagnóstica do pórtico da estrutura UCCE com certificado assinado do Certificate Authority (CA)

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Fixe o RTP entre CUCM e VCS ou exemplo de configuração de Expressway

Processo do registro automático CUCM em modo misturado

Instale um LSC em um telefone com o modo de segurança do conjunto CUCM ajustado NONseguro

Configurar o LSC no Cisco IP Phone com CUCM

Permita server UC para o conjunto da cruz da mobilidade de extensão (EMCC)

Solução do pacote CCE: Procedimento para obter e transferir arquivos pela rede certificados de CA da terceira

Configurar audio interempresarial e os atendimentos do vídeo com Expressway integraram com CUCM

Configurar a ferramenta do monitoramento em tempo real para examinar a atividade Admin no gerente das comunicações unificadas de Cisco

Configurar as conferências do Cisco Meeting Server e CUCM Ad hoc

Configurar o CUCM para a conexão IPSec entre Nós

Expiração do certificado e supressão do CallManager

Sinal unificado da empresa do centro de contato único (UCCE) nos Certificados (SSO) e na configuração

Exemplo de configuração de SAML SSO da versão de gerenciador 10.5 das comunicações unificadas

Como instalar, configurar e pesquise defeitos? SORVA o App da câmera de vídeo? s

Configurar o fluxo de chamadas detalhado UCCE 11.6 com SIP/TLS (CA assinou)

Cisco exprime (CVP) RecordAgentGreeting portal com fineza

As informações neste documento são baseadas nestas versões de software:

Configurar o grupo de empresa para CUCM & IM/P

Dispositivo híbrido FAQ da Web de Cisco

Guia completo do Jabber Como para a validação certificada

Configuração do acesso remoto VPN de AnyConnect em FTD

Configurar o apoio do opus em Cisco unificou o gerente de uma comunicação

Cisco recomenda que você tem o conhecimento do processo assinada e do certificado autoassinado.

Criação do certificado ESA para o uso com assinatura S/MIME

Configurar a gravação do atendimento usando MediaSense

Configurar o servidor de backup para o gerente das comunicações unificadas de Cisco

Q.A para os CERTIFICADOS do TELEFONE CUCM (LSC/MIC)

Kerberos com ADFS 2.0 para o utilizador final SAML SSO para o exemplo de configuração do Jabber

Kerberos com ADFS 2.0 para o utilizador final SAML SSO para o exemplo de configuração do Jabber

As informações neste documento são baseadas nestas versões de software:

Mude a definição do server CUCM do endereço IP ou nome do host ao formato FQDN

Configurar grupos dos recursos de mídia e lista do grupo

Configurar o Jabber de Cisco no modo do telefone para contatos

Configurando o Cisco VPN 3000 Concentrator 4.7.x para obter um certificado digital e um certificado SSL

Configurar a licença HCM-F 10.X e os trabalhos HLM

Configurar a edição padrão unificada Cisco do console de atendimento 10.5.x

Configurar a decriptografia de SSL no módulo de FirePOWER usando ASDM (o Gerenciamento da Em-caixa)

Como permitir o PIN comum para CUCM e UCXN.

Configurar o intervalo do Forward No Answer no gerente das comunicações unificadas

Aborto do Módulo de serviços TLS NGFW erros devido ao erro da falha ou da validação certificada do aperto de mão

Criação do certificado ESA para o uso com assinatura S/MIME

SAML SSO Setup com exemplo de configuração da autenticação de Kerberos

SSLVPN com exemplo de configuração dos Telefones IP

Exemplo de configuração para a integração NON-segura CUCM SCCP com CUC

Configurar o agente móvel em UCCE

Erros de GUI 7.x expressos do gerente das comunicações unificadas

Ajustes do tom de discagem para Telefones IP do SIP Cisco

As informações neste documento são baseadas nestas versões de software e hardware:

Segurança do Cisco IP Phone

Fixe o exemplo de configuração externo dos serviços de telefone

Considerações do Plano de discagem CUCM para o CMR no exemplo CUCM-céntrico da configuração de distribuição

Pesquise defeitos edições do Correio de voz visual

Incapaz de integrar o Jabber para o iphone com LDAP

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

Visualização de alto nível dos Certificados e das autoridades em CUCM

Etapas para configurar o Cisco Aironet 1142 e o telefone do Wi-fi do registro 7925 com CUCM

Como criar uma entrada de DNS pontual

Temporizador do Failover em troncos do SORVO com exemplo da configuração do CallManager

Configurar o portal do abastecimento do certificado ISE 2.0

Configurar o proxy WebRTC com o CMS sobre Expressway com domínio duplo

Configurar o tronco do SORVO TLS no Gerenciador de Comunicações com um certificado assinado de CA.

Exemplo de configuração de SAML SSO da versão 10.5 da conexão de unidade

Apoio do SHA-256 para UCCX

Substitua o certificado auto-assinado do padrão com um certificado da 3ª parte SSL no roteador do RV34x Series

Este documento descreve o portal da configuração e do abastecimento do certificado do motor dos serviços da funcionalidade de identidade (ISE).

Integração de Cisco ACS 5.X com o servidor de tokens do SecurID RSA

Integração de Cisco ACS 5.X com o servidor de tokens do SecurID RSA

Segurança do Cisco IP Conference Phone

Cisco unificou o Processamento de chamadas do proxy do SORVO

Configurar a opção de saída PCCE - Desabilite o Ringback quando transferido ao agente para o SORVO

Configurar o tronco do SORVO TLS no Gerenciador de Comunicações com um certificado assinado de CA

Configurar o LDAP como uma fonte do contato do diretório para o Jabber de Cisco usando a integração do diretório Cisco

Cisco recomenda que você tem o conhecimento do CUCM e dos pontos de acesso da Cisco.

Descrições do aplicativo de gerenciamento das comunicações unificadas

Migração da licença da versão 10.x CUCM no exemplo de configuração PLM

Autenticação CS com ACS e autorização com exemplo de configuração local RBAC

O módulo ASA FirePOWER (SFR) pesquisa defeitos procedimentos de geração do arquivo usando ASDM (o Gerenciamento da Em-caixa)

Integre SocialMiner com server do Cisco Unified Presence (COPOS) para enviar a notificação IM para WebChat

Localmente - Certificados significativos (LSC) com exemplo de configuração WLC e de Windows Server 2012

As informações neste documento são baseadas nestas versões de software e hardware:

Utilização Reunião-mim e recursos de conferência SD HOC

Procedimento de migração para CUACA (10.5.X a 11.X.X)

Configurar server da conexão de unidade para o exemplo de configuração pessoal unificado do comunicador

Unidade organizacional personalizada para a integração LDAP entre o gerenciador de chamada e o diretório ativo

Transcrição:

Criptografia da próxima geração CUCM 11.0 - Criptografia elíptico da curva Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio Gerenciamento certificado Gerando Certificados com criptografia EC Configuração de CLI Arquivos CTL e ITL: Função do proxy do Certificate Authority (CAPF) O TLS calcula parâmetros empresariais Apoio do SORVO ECDSA Apoio seguro do gerenciador de CTI ECDSA Apoio HTTPS para a transferência da configuração Entropia Informações Relacionadas Introdução Este documento descreve a introdução, configuração da criptografia de Next_Generation (NGE) do gerente das comunicações unificadas de Cisco (CUCM) 11.0 e mais atrasado, para cumprir a segurança avançada e os requisitos de desempenho Pré-requisitos Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: Princípios da Segurança do Cisco Call Manager Gerenciamento certificado do Cisco Call Manager Componentes Utilizados

A informação neste documento é baseada em Cisco CUCM 11.0, onde os Certificados do edcsa são apoiados somente para o CallManager (o CallManager-EDCSA) Nota: Certificados de Tomcat-EDCSA dos apoios CUCM 11.5 avante também As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Produtos Relacionados Este documento pode igualmente ser usado com estes produtos de software e versões que apoiam Certificados EDCSA: Cisco IM e presença 11.5 Cisco Unity Connection 11.5 Informações de Apoio A criptografia elíptico da curva (ECC) é uma aproximação à criptografia de chave pública baseada na estrutura algébrica de curvas elípticos sobre campos finitos. Um dos benefícios principais em comparação com a criptografia NON-ECC é o mesmo nível de segurança fornecido por chaves do tamanho menor. Os critérios comuns oferecem a garantia que os recursos de segurança se operam corretamente dentro da solução que está sendo avaliada. Isto é conseguido com as exigências extensivas da documentação dos testes e da reunião. Aceitado e apoiado por 26 países no mundo inteiro através dos critérios comuns de arranjo de reconhecimento (CCRA) A liberação 11.0 do gerente das comunicações unificadas de Cisco apoia Certificados elípticos do Digital Signature Algorithm da curva (ECDSA). Estes Certificados são mais fortes do que os Certificados RSA-baseados e são exigidos para o Produtos que tem os critérios comuns (CC) das certificações. As soluções comerciais do governo dos EUA para o programa classificado dos sistemas (CSfC) exigem a certificação CC e assim, é incluída na liberação 11.0 do gerente das comunicações unificadas de Cisco avante. Os Certificados ECDSA estão disponíveis junto com os Certificados existentes RSA nestas áreas: Gerenciamento certificado Função do proxy do Certificate Authority (CAPF) Seguimento do Transport Layer Security (TLS) Fixe conexões do SORVO Gerente da integração de telefonia e computador (CTI)

HTTP e Entropia As próximas seções fornecem mais informação detalhada em cada um das áreas 7 acima. Gerenciamento certificado Gerando Certificados com criptografia EC Apoio para o ECC de CUCM 11.0 avante para gerar o certificado do CallManager com criptografia EC CallManager-ECDSA novo da opção disponível segundo as indicações da imagem. Exige a parcela do host do Common Name terminar dentro? EC, para impedir ter o mesmo Common Name que o certificado do CallManager. Em caso do multi certificado do server SAN, isto deve terminar dentro? EC-Senhora. Ambo o pedido do certificado auto-assinado e o CSR pedem o limite as escolhas do algoritmo de hash segundo o tamanho chave EC.

Para um tamanho chave EC 256 o algoritmo de hash pode ser SHA256, SHA384 ou SHA512. Para um tamanho chave EC 384 o algoritmo de hash pode ser SHA384 ou SHA512. Para um tamanho chave EC 521 a única opção é SHA512. O tamanho do chave padrão é 384 e o algoritmo de hashing do padrão é SHA384, que pode ser utilização mudada deixa cair para baixo. As opções disponíveis são baseadas no tamanho chave escolhido. Configuração de CLI Uma unidade nova do certificado nomeada CallManager-ECDSA foi adicionada para os comandos cli ajuste o [unit] CERT REGEN? regenera o certificado auto-assinado ajuste a importação CERT possuem confie o [unit]? certificado assinado de CA das importações ajuste o [unit] gen csr? gerencie o request(csr) de assinatura do certificado para a unidade especificada ajuste a exportação maioria consolide importe tftp? Quando tftp é o nome da unidade, os Certificados do CallManager-ECDSA obtêm auto-incluídos com os Certificados do CallManager RSA em operações maiorias. Arquivos CTL e ITL: Os arquivos CTL e ITL têm o presente do CallManager-ECDSA. O certificado do CallManager-ECDSA tem a função de CCM+TFTP no arquivo ITL e CTL. Você pode usar o ctl da mostra ou mostrar comandos ITL ver esta informação segundo as indicações da imagem:

Você pode usar a atualização do ctl dos utils para gerar o arquivo CTL. Função do proxy do Certificate Authority (CAPF) A versão 3.0 CAPF em CUCM 11 fornece o apoio para tamanhos chaves EC junto com o RSA. As opções adicionais CAPF fornecidas além do que os campos existentes CAPF são ordem chave e tamanho chave EC (bit). A opção existente do tamanho chave (bit) foi mudada ao tamanho chave RSA (bit). A ordem chave fornece o apoio para o RSA somente, o EC somente e o EC preferido, opções do backup RSA. O tamanho chave EC fornece o apoio para tamanhos chaves 384 e 521 de bit 256. O tamanho chave RSA fornece o apoio para 512, 1024 e 2048 bit Quando chave a ordem de RSA somente é selecionada, simplesmente o tamanho chave RSA pode ser selecionado. Quando o EC somente for selecionado, simplesmente o tamanho chave EC pode ser selecionado. Quando o EC preferido, backup RSA é selecionado, o tamanho chave RSA e EC pode ser selecionado.

Opções adicionais CAPF para o telefone, o perfil de segurança do telefone, o utilizador final e as páginas de usuário do aplicativo O dispositivo > o telefone > relacionaram os links Navegue ao > segurança do sistema > ao perfil de segurança do telefone Gerenciamento de usuário > configurações de usuário > perfil do usuário CAPF do aplicativo Navigaet ao gerenciamento de usuário > às configurações de usuário > ao perfil do utilizador final CAPF.

O TLS calcula parâmetros empresariais As cifras do parâmetro empresarial TLS foram atualizadas para apoiar cifras ECDSA. As cifras do parâmetro empresarial TLS agora ajustam as cifras TLS para a linha do SORVO, tronco do SORVO e fixam o gerenciador de CTI. Apoio do SORVO ECDSA A liberação 11.0 do gerente das comunicações unificadas de Cisco inclui o apoio ECDSA para linhas do SORVO e interfaces de tronco do SORVO. A conexão entre o gerente das comunicações unificadas de Cisco e um telefone do valorlimite ou um dispositivo de vídeo é uma linha conexão do SORVO visto que a conexão entre dois gerentes das comunicações unificadas de Cisco é uma conexão de tronco do SORVO.

Todas as conexões do SORVO apoiam as cifras ECDSA e usam Certificados ECDSA. A relação segura do SORVO foi atualizada para apoiar estas duas cifras TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 Estas são as encenações quando o SORVO faz conexões TLS (do Transport Layer Security): Quando o SORVO atuar como um server TLS Quando a interface de tronco do SORVO do gerente das comunicações unificadas de Cisco atua como um server TLS para a conexão segura entrante do SORVO, a interface de tronco do SORVO determina se o certificado do CallManager-ECDSA existe no disco. Se o certificado existe no disco, a interface de tronco do SORVO usa o certificado do CallManager-ECDSA se a série selecionada da cifra é TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ou TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 Quando o SORVO atuar como um cliente TLS Quando a interface de tronco do SORVO atua como um cliente TLS, a interface de tronco do SORVO envia uma lista de séries pedidas da cifra ao server baseado no campo das cifras TLS (que igualmente inclui o ECDSA calcula a opção) nos parâmetros empresariais CUCM as cifras TLS. Esta configuração determina a lista da série da cifra do cliente TLS e as séries apoiadas da cifra por ordem da preferência. Nota: 1. Os dispositivos que usam uma cifra ECDSA para fazer uma conexão a CUCM devem ter o certificado do CallManager-ECDSA em seu arquivo da lista da confiança da identidade (ITL). Nota: 2. As séries da cifra do apoio RSA TLS da interface de tronco do SORVO para conexões dos clientes que não apoiam séries da cifra ECDSA ou quando uma conexão TLS é estabelecida com uma versão anterior de CUCM, isso não apoiam ECDSA. Apoio seguro do gerenciador de CTI ECDSA A relação segura do gerenciador de CTI foi atualizada para apoiar estas quatro cifras: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 A carga segura da relação do gerenciador de CTI o certificado do CallManager e do CallManager-ECDSA. Isto permite que a relação segura do gerenciador de CTI apoie as cifras novas junto com a cifra existente RSA.

Similar à relação do SORVO, a opção das cifras do parâmetro empresarial TLS no gerente das comunicações unificadas de Cisco é usada para configurar as cifras TLS que são apoiadas na interface segura do gerenciador de CTI. Apoio HTTPS para a transferência da configuração Para a transferência segura da configuração (por exemplo clientes do Jabber), a liberação 11.0 do gerente das comunicações unificadas de Cisco é aumentada para apoiar o HTTPS além do que as relações HTTP e TFTP que foram usadas nas versões anterior. Se for necessário, ambo autenticação mútua do uso do cliente e servidor. Contudo, os clientes que são registrados com ECDSA LSC e configurações de TFTP cifradas são exigidos apresentar seu LSC. A relação HTTPS usa o CallManager e os Certificados do CallManager-ECDSA como os certificados de servidor. Nota: 1. Quando você atualiza Certificados do CallManager, do CallManager ECDSA, ou do Tomcat, você deve desativar e reactivate o serviço TFTP. Nota: 2. A porta 6971 é usada para a autenticação dos Certificados do CallManager e do CallManager-ECDSA, usada por telefones. Nota: 3. A porta 6972 é usada para a autenticação dos Certificados de Tomcat, usada pelo Jabber. Entropia A entropia é uma medida da aleatoriedade dos dados e ajuda em determinar o limiar mínimo para critérios comuns das exigências. Para ter a criptografia forte, uma fonte robusta de entropia é exigida. Se um algoritmo de criptografia forte, tal como ECDSA, usa um origem fraca da entropia, a criptografia pode facilmente quebrar-se. No gerente das comunicações unificadas de Cisco libere 11.0, a fonte da entropia para comunicações unificadas que de Cisco o gerente é melhorado. O demônio da monitoração da entropia é uma característica incorporado que não exija a configuração. Contudo, você pode desligá-la através do gerente CLI das comunicações unificadas de Cisco. Use os seguintes comandos CLI controlar o serviço de demônio da monitoração da entropia:

Informações Relacionadas http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/11_5_1/secugd/cucm_b K_SEE2CFE1_00_cucm-security-guide-1151/CUCM_BK_SEE2CFE1_00_cucm-securityguide-1151_chapter_011.html#CUCM_RF_C0383C35_00l Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback