证书服务器证书

CiscoUnifiedMobilityAdvantage与ASA的服务器证书问题目录简介先决条件要求使用的组件规则部署方案安装思科UMA服务器自签名证书任务执行在CUMA服务器麻烦添加CUMA证书请求到其他证书权限问题1Error:无法连接解决方案一些页在CUMAAdmin门户不可访问解决方案相关信息简介本文描述如何交换在可适应安全工具(ASA)和CiscoUnifiedMobilityAdvantage(CUMA)服务器之间的自签名证书反之亦然.
发生的它也解释如何排除故障常见问题,当您导入证书时.
先决条件要求本文档没有任何特定的要求.
使用的组件本文档中的信息基于以下软件和硬件版本:5500系列Cisco的ASAqCiscoUnifiedMobilityAdvantage服务器7q本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
规则有关文档规则的详细信息,请参阅Cisco技术提示规则.
部署方案有CiscoMobility优点解决方案使用的TLS代理的两个部署方案.
注意:在两种情况下,客户端从互联网连接.
可适应安全工具功能作为防火墙和TLS代理.
1.
可适应安全工具功能作为仅TLS代理.
2.
在两种情况下,您需要导出思科UMA服务器证书和密钥对在PKCS-12格式和导入它到可适应安全工具.
证书使用在握手期间与思科UMA客户端.
思科UMA服务器自签名证书的安装在可适应安全工具truststore的是必要为了可适应安全工具能验证思科UMA服务器在可适应安全工具代理和思科UMA服务器之间的握手期间.
安装思科UMA服务器自签名证书任务执行在CUMA服务器这些步骤在CUMA服务器需要被实行.
使用这些步骤,您创建在CUMA的一自签名证书交换与与CN=portal.
aipc.
com的ASA.
这在ASA信任存储需要安装.
完成这些步骤:创建在CUMA服务器的自已签署的cert.
签到到CiscoUnifiedMobilityAdvantageAdmin门户.
选择在安全上下文管理旁边的[+].
选择安全上下文.
选择添加上下文.
输入此信息:Doyouwanttocreate/uploadanewcertificatecreateContextName"cuma"Description"cuma"TrustPolicy"TrustedCertificates"ClientAuthenticationPolicy"none"ClientPassword"changeme"ServerNamecuma.
ciscodom.
comDepartmentName"vsec"CompanyName"cisco"City"sanjose"State"ca"Country"US"1.
下载从CiscoUnifiedMobilityAdvantage的自签名证书.
完成这些步骤为了完成任务:选择在安全上下文管理旁边的[+].
选择安全上下文.
选择管理在有证书下载的安全上下文旁边的上下文.
选择下载证书.
注意:如果证书是一系列和关联根或中间证书,只有在一系列的第一证书下载.
这为自签名证书是满足的.
保存文件.
2.
下一步是添加从CiscoUnifiedMobilityAdvantage的自签名证书在ASA上.
完成在ASA的这些步骤:打开从CiscoUnifiedMobilityAdvantage的自签名证书在文本编辑.
导入证书到思科可适应安全工具信任存储:cuma-asa(config)#cryptocatrustpointcuma-server-id-certcuma-asa(config-ca-trustpoint)#enrollmentterminalcuma-asa(config-ca-trustpoint)#cryptocaauthenticatecuma-server-id-certEnterthebase64encodedCAcertificate.
Endwiththeword"quit"onalinebyitself----BEGINCERTIFICATE----**pastethecontentsfromwordpad**----ENDCERTIFICATE----3.
导出在CUMA服务器的ASA自签名证书.
您需要配置CiscoUnifiedMobilityAdvantage需要从4.
思科可适应安全工具的一证书.
完成这些步骤为了提供需要的自签名证书.
这些步骤在ASA需要被实行.
生成一个新密钥对:cuma-asa(config)#cryptokeygeneratersalabelasa-id-keymod1024INFO:Thenameforthekeyswillbe:asa-id-keyKeypairgenerationprocessbegin.
Pleasewait.
.
.
添加一新的信任点:cuma-asa(config)#cryptocatrustpointasa-self-signed-id-certcuma-asa(config-ca-trustpoint)#keypairasa-id-keycuma-asa(config-ca-trustpoint)#enrollmentself登记信任点:cuma-asa(config-ca-trustpoint)#cryptocaenrollasa-self-signed-id-cert%Thefully-qualifieddomainnameinthecertificatewillbe:cuma-asa.
cisco.
com%Includethedeviceserialnumberinthesubjectname[yes/no]:nGenerateSelf-SignedCertificate[yes/no]:y导出证书到文本文件.
cuma-asa(config)#cryptocaexportasa-self-signed-id-certidentity-certificateThePEMencodedidentitycertificatefollows:-----BEGINCERTIFICATE-----Certificatedataomitted-----ENDCERTIFICATE-----复制上一个输出到文本文件并且添加它到CUMA服务器信任存储并且使用此步骤:选择在安全上下文管理旁边的[+].
选择安全上下文.
选择管理在您导入签名证书的安全上下文旁边的上下文.
选择导入在信任证书柱状图.
粘贴证书文本.
为证书命名.
选择Import.
注意:远程目的地配置,呼叫到台式电话里为了确定移动电话是否同时响.
这确认移动连接工作,并且没有与远程目的地配置的问题.
5.
麻烦添加CUMA证书请求到其他证书权限问题1许多它帮助的演示/原型安装,如果CUMC/CUMA解决方案与信任证书一起使用是自已签署的或获取从其他证书权限.
Verisign认证昂贵,并且需要很长时间获得这些证书.
是好,如果解决方案支持自签名证书和证书从其他CA.
支持的当前证书是GeoTrust和Verisign.
这在CiscoBugIDCSCta62971(仅限注册用户)描述Error:无法连接当您设法访问用户入口页面,例如,https://:8443,Connect出现.
解决方案此问题在CiscoBugIDCSCsm26730(仅限注册用户)描述.
为了访问用户入口页面,请完成此应急方案:此问题的原因是美元字符,因此请退出与另一个美元字符的美元字符在被管理的服务器的server.
xml文件.
例如,请编辑/opt/cuma/jboss-4.
0.
1sp1/server/cuma/deploy/jbossweb-tomcat50.
sar/server.
xml.
在线路中:keystorePass="pa$word"maxSpareThreads="15"用$$替换$字符.
它看起来象keystorePass="pa$$word"maxSpareThreads="15".
一些页在CUMAAdmin门户不可访问这些页不可能在CUMAAdmin门户查看:激活/撤销用户q搜索/维护q如果用户点击在菜单的上述两个页之一到左边,浏览器似乎指示装载页,但是什么都不发生(在浏览器仅的上一页可视).
解决方案为了解决此问题与用户页涉及,更换用于活动目录的端口到3268并且重新启动CUMA.
相关信息ASA-CUMA代理步骤配置qIntroduccionAlASR5000v1q升级CiscoUnifiedMobilityAdvantageq语音技术支持q语音和统一通信产品支持q技术支持和文档-CiscoSystemsq