Verwendung von SSL zum Sichern von Client/Server-Verbindungen
Benutzerhandbuch
- Verwenden von SSL zum Sichern von Client/Server-Verbindungen, auf Seite 1
Einführung
Dieses Kapitel enthält Informationen zum Erstellen einer Zertifikatsignierungsanforderung, zum Ausstellen eines SSL-Zertifikats (oder zum Ausstellen durch eine externe Zertifizierungsstelle) und zum Installieren des Zertifikats auf dem Cisco Unity Connection-Server, um Cisco Personal Communications Assistant (Cisco PCA) und IMAP-E-Mails zu sichern Client-Zugriff auf Cisco Unity Connection.
Die Cisco PCA webDie Website bietet Zugriff auf die web Tools, mit denen Benutzer Nachrichten und persönliche Präferenzen mit Unity Connection verwalten. Beachten Sie, dass der Zugriff des IMAP-Clients auf Unity Connection-Sprachnachrichten eine lizenzierte Funktion ist.
Verwandte Themen
Dieses Kapitel enthält mehrere Fälle, in denen ein Benutzer die Certificate Signing Request (CSR) mithilfe von Multi-Server-Zertifikaten oder Single-Server-Zertifikaten erstellen, generieren, herunterladen und hochladen muss. Weitere Informationen finden Sie im Kapitel „Sicherheit“ des Cisco Unified Communications Operating System Administration Guide für Cisco Unity Connection Release 14, verfügbar unter https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/os_administration/guide/b_14cucosagx.html.
Entscheidung über die Installation eines SSL-Zertifikats zur Sicherung des Cisco PCA-, Unity Connection SRSV- und IMAP-E-Mail-Client-Zugriffs auf Unity Connection
Wenn Sie Unity Connection installieren, wird automatisch ein lokales selbstsigniertes Zertifikat erstellt und installiert, um die Kommunikation zwischen Cisco PCA und Unity Connection, die Kommunikation zwischen IMAP-E-Mail-Clients und Unity Connection sowie die Kommunikation zwischen Unity Connection SRSV und dem zentralen Unity Connection-Server zu sichern. Das bedeutet, dass der gesamte Netzwerkverkehr (einschließlich Benutzernamen, Passwörter, andere Textdaten und Sprachnachrichten) zwischen Cisco PCA und Unity Connection automatisch verschlüsselt wird. Der Netzwerkverkehr zwischen IMAP-E-Mail-Clients und Unity Connection wird automatisch verschlüsselt, wenn Sie die Verschlüsselung aktivieren Die IMAP-Clients und der Netzwerkverkehr zwischen Unity Connection SRSV und dem zentralen Unity Connection-Server werden automatisch verschlüsselt. Wenn Sie jedoch das Risiko von Man-in-the-Middle-Angriffen verringern möchten, führen Sie die Verfahren in diesem Kapitel aus.
Wenn Sie sich für die Installation eines SSL-Zertifikats entscheiden, empfehlen wir Ihnen, auch das Vertrauenszertifikat der Zertifizierungsstelle zum Trusted Root Store auf den Benutzerarbeitsplätzen hinzuzufügen. Ohne den Zusatz, der web Der Browser zeigt Sicherheitswarnungen für Benutzer an, die auf Cisco PCA zugreifen, und für Benutzer, die mit einigen IMAP-E-Mail-Clients auf Unity Connection-Sprachnachrichten zugreifen.
Informationen zum Verwalten von Sicherheitswarnungen finden Sie im Abschnitt „Verwalten von Sicherheitswarnungen bei der Verwendung selbstsignierter Zertifikate mit SSL-Verbindungen„Abschnitt im Kapitel „Einrichten des Zugriffs auf den Cisco Personal Communications Assistant“ im User Workstation Setup Guide für Cisco Unity Connection Release 14, verfügbar unter https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/user_setup/guide/b_14cucuwsx.html.
Weitere Informationen zum selbstsignierten Zertifikat finden Sie im „Sicherheit in Cisco Unity Connection Survivable Remote Site Voicemail„Kapitel des vollständigen Referenzhandbuchs für Cisco Unity Connection Survivable Remote Site Voicemail (SRSV), Version 14, verfügbar unter https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/srsv/guide/b_14cucsrsvx.html.
Sichern der Verbindungsverwaltung, Cisco PCA, Unity Connection SRSV und IMAP-E-Mail-Client-Zugriff auf Unity Connection
Führen Sie die folgenden Aufgaben aus, um ein SSL-Serverzertifikat zu erstellen und zu installieren, um den Zugriff von Cisco Unity Connection Administration, Cisco Personal Communications Assistant, Unity Connection SRSV und dem IMAP-E-Mail-Client auf Cisco Unity Connection zu sichern:
- Wenn Sie Microsoft Certificate Services zum Ausstellen von Zertifikaten verwenden, installieren Sie Microsoft Certificate Services.
- Wenn Sie eine andere Anwendung zum Ausstellen von Zertifikaten verwenden, installieren Sie die Anwendung. Installationsanweisungen finden Sie in der Dokumentation des Herstellers. Fahren Sie dann mit Aufgabe 3 fort.
Wenn Sie eine externe Zertifizierungsstelle zum Ausstellen von Zertifikaten verwenden, fahren Sie mit Aufgabe 3 fort.
Notiz
Wenn Sie bereits Microsoft Certificate Services oder eine andere Anwendung installiert haben, die Zertifikatsignaturanforderungen erstellen kann, fahren Sie mit Aufgabe 3 fort. - Wenn ein Unity Connection-Cluster konfiguriert ist, führen Sie den Satz aus web-security CLI-Befehl oder generieren Sie ein Multiserver-SAN-Zertifikat (nur für SIP-Integration) für beide Unity Connection-Server im Cluster und weisen Sie beiden Servern denselben alternativen Namen zu. Der alternative Name wird automatisch in die Zertifikatsignierungsanforderung und in das Zertifikat aufgenommen. Für Informationen zum Set web-security CLI-Befehl finden Sie im entsprechenden Referenzhandbuch zur Befehlszeilenschnittstelle für Cisco Unified Communications Solutions unter https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html.
- Wenn ein Unity Connection-Cluster konfiguriert ist, konfigurieren Sie einen DNS-A-Eintrag, der den alternativen Namen enthält, den Sie in Aufgabe 3 zugewiesen haben. Listen Sie zuerst den Herausgeberserver auf. Dadurch können alle IMAP-E-Mail-Anwendungen, Cisco Personal Communications Assistant und Unity Connection SRSV über denselben Unity Connection-Servernamen auf Unity Connection-Sprachnachrichten zugreifen.
- Erstellen Sie eine Zertifikatsignierungsanforderung. Laden Sie dann die Zertifikatsignaturanforderung auf den Server herunter, auf dem Sie Microsoft Certificate Services oder eine andere Anwendung installiert haben, die Zertifikate ausstellt, oder laden Sie die Anforderung auf einen Server herunter, über den Sie die Zertifikatsignaturanforderung an eine externe Zertifizierungsstelle senden können.
Wenn ein Unity Connection-Cluster mit einer Einzelserver-Zertifikatsignierungsanforderung konfiguriert ist, führen Sie diese Aufgabe aus
beide Server im Unity Connection-Cluster. - Wenn Sie Microsoft-Zertifikatdienste zum Exportieren des Stammzertifikats und zum Ausstellen des Serverzertifikats verwenden, finden Sie weitere Informationen zum Ausstellen von Zertifikaten unter Wenn Sie eine andere Anwendung zum Ausstellen des Zertifikats verwenden, finden Sie in der Dokumentation der Anwendung weitere Informationen.
Wenn Sie eine externe Zertifizierungsstelle zum Ausstellen des Zertifikats verwenden, senden Sie die Zertifikatsignierungsanforderung an die externe Zertifizierungsstelle. Wenn die externe Zertifizierungsstelle das Zertifikat zurückgibt, fahren Sie mit Aufgabe 7 fort.
Es können nur PEM-formatierte (auch als Base-64-kodierter DER bezeichnete) Zertifikate in Unity Connection hochgeladen werden. Das Zertifikat muss eine PEM-Datei haben fileNamenserweiterung. Wenn das Zertifikat nicht in diesem Format vorliegt, können Sie es normalerweise mit frei verfügbaren Dienstprogrammen wie OpenSSL in das PEM-Format konvertieren.
Wenn ein Unity Connection-Cluster mit einer Einzelserver-Zertifikatsignierungsanforderung konfiguriert ist, führen Sie diese Aufgabe für beide Server im Unity Connection-Cluster aus - Laden Sie das Stammzertifikat und das Serverzertifikat auf den Unity Connection-Server hoch.
Wenn ein Unity Connection-Cluster mit einer Einzelserver-Zertifikatsignierungsanforderung konfiguriert ist, führen Sie diese Aufgabe für beide Server im Unity Connection-Cluster aus. - Starten Sie den Unity Connection IMAP-Serverdienst neu, damit Unity Connection und die IMAP-E-Mail-Clients die neuen SSL-Zertifikate verwenden. Führen Sie den Neustart des Verbindungs-IMAP-Serverdienstes durch.
Wenn ein Unity Connection-Cluster konfiguriert ist, führen Sie diese Aufgabe für beide Server im Unity Connection-Cluster aus. - Um zu verhindern, dass Benutzern eine Sicherheitswarnung angezeigt wird, wenn sie über die Verbindungsverwaltung, Cisco PCA oder einen IMAP-E-Mail-Client auf Unity Connection zugreifen, führen Sie die folgenden Aufgaben auf allen Computern aus, von denen aus Benutzer auf Unity Connection zugreifen:
Importieren Sie das Serverzertifikat, das Sie in Aufgabe 7 auf den Unity Connection-Server hochgeladen haben, in den Zertifikatspeicher. Die Vorgehensweise unterscheidet sich je nach Browser oder IMAP-E-Mail-Client. Weitere Informationen finden Sie in der Dokumentation zum Browser oder IMAP-E-Mail-Client.
Importieren Sie das Serverzertifikat, das Sie in Aufgabe 7 auf den Unity Connection-Server hochgeladen haben, in den Java Store. Das Verfahren unterscheidet sich je nach Betriebssystem, das auf dem Client-Computer ausgeführt wird. Weitere Informationen finden Sie in der Betriebssystemdokumentation und der Java Runtime Environment-Dokumentation.
Neustart des IMAP-Serverdienstes
| Schritt 1 | Melden Sie sich bei Cisco Unity Connection Serviceability an. |
| Schritt 2 | Wählen Sie im Menü „Extras“ die Option „Dienstverwaltung“. |
| Schritt 3 | Wählen Sie im Abschnitt „Optionale Dienste“ für den Verbindungs-IMAP-Serverdienst die Option „Beenden“ aus. |
| Schritt 4 | Wenn im Statusbereich eine Meldung angezeigt wird, dass der Verbindungs-IMAP-Serverdienst erfolgreich gestoppt wurde, wählen Sie „Starten“ für den Dienst aus. |
Sichern des Zugriffs auf Cisco Unified MeetingPlace
Um den Zugriff auf MeetingPlace zu sichern, führen Sie die folgenden Aufgaben aus.
- Konfigurieren Sie SSL für MeetingPlace. Weitere Informationen finden Sie im Kapitel „Konfigurieren von SSL für den Cisco Unified MeetingPlace Application Server“ der Verwaltungsdokumentation für Cisco Unified MeetingPlace Version 8.0 unter
https://www.cisco.com/c/en/us/support/conferencing/unified-meetingplace/products-maintenance-guides-list.html. - Integrieren Sie Unity Connection mit MeetingPlace. Wenn Sie Unity Connection für die MeetingPlace-Kalenderintegration konfigurieren, geben Sie SSL für den Sicherheitstransport an.
- Laden Sie auf dem Unity Connection-Server das Stammzertifikat der Zertifizierungsstelle hoch, von der Sie das Serverzertifikat erhalten haben, das Sie in Aufgabe 1 auf dem MeetingPlace-Server installiert haben. Beachten Sie Folgendes:
- Das Stammzertifikat ist nicht dasselbe wie das Zertifikat, das auf dem MeetingPlace-Server installiert wurde.
Das Stammzertifikat für die Zertifizierungsstelle enthält einen öffentlichen Schlüssel, der zur Überprüfung der Authentizität des auf den MeetingPlace-Server hochgeladenen Zertifikats verwendet werden kann.
• Das Stammzertifikat ist nicht dasselbe wie das Zertifikat, das auf dem MeetingPlace-Server installiert wurde.
Das Stammzertifikat für die Zertifizierungsstelle enthält einen öffentlichen Schlüssel, der zur Überprüfung der Authentizität des auf den MeetingPlace-Server hochgeladenen Zertifikats verwendet werden kann.
• Nur PEM-formatierte (auch als Base-64-kodierter DER bezeichnete) Zertifikate können auf Unity Connection hochgeladen werden. Das Zertifikat muss eine PEM-Datei haben fileNamenserweiterung. Wenn das Zertifikat nicht in diesem Format vorliegt, können Sie es normalerweise mit frei verfügbaren Dienstprogrammen wie OpenSSL in das PEM-Format konvertieren.
• Das Stammzertifikat fileDer Name darf keine Leerzeichen enthalten.
Sichern der Kommunikation zwischen Unity Connection und Cisco Unity Gateway-Servern
Führen Sie die folgenden Aufgaben aus, um ein SSL-Serverzertifikat zu erstellen und zu installieren, um den Zugriff von Connection Administration, Cisco Personal Communications Assistant und dem IMAP-E-Mail-Client auf Unity Connection zu sichern, wenn das Netzwerk auf Unity Connection konfiguriert ist:
- Wenn Sie Microsoft Certificate Services zum Ausstellen von Zertifikaten verwenden, installieren Sie Microsoft Certificate Services.
Informationen zur Installation von Microsoft-Zertifikatdiensten auf einem Server, auf dem eine neuere Version von Windows Server ausgeführt wird, finden Sie in der Microsoft-Dokumentation.
Wenn Sie eine andere Anwendung zum Ausstellen von Zertifikaten verwenden, installieren Sie die Anwendung. Installationsanweisungen finden Sie in der Dokumentation des Herstellers. Fahren Sie dann mit Aufgabe 2 fort.
Wenn Sie eine externe Zertifizierungsstelle zum Ausstellen von Zertifikaten verwenden, fahren Sie mit Aufgabe 2 fort.
Notiz
Wenn Sie bereits Microsoft Certificate Services oder eine andere Anwendung installiert haben, die Zertifikatsignaturanforderungen erstellen kann, fahren Sie mit Aufgabe 2 fort. - Wenn ein Unity Connection-Cluster für den Unity Connection-Gateway-Server konfiguriert ist, führen Sie den Satz aus webFühren Sie den CLI-Befehl -security auf beiden Unity Connection-Servern im Cluster aus und weisen Sie beiden Servern denselben alternativen Namen zu. Der alternative Name wird automatisch in die Zertifikatsignierungsanfrage und in das Zertifikat aufgenommen. Für Informationen zum Set web-security CLI-Befehl finden Sie im entsprechenden Referenzhandbuch zur Befehlszeilenschnittstelle für Cisco Unified Communications Solutions unter http://www.cisco.com/c/en/us/support/unified-communications/unity-connection/products-maintenance-guides-list.html.
- Wenn ein Unity Connection-Cluster für den Unity Connection-Gatewayserver konfiguriert ist, konfigurieren Sie einen DNS-A-Eintrag, der den alternativen Namen enthält, den Sie in Aufgabe 2 zugewiesen haben. Listen Sie zuerst den Herausgeberserver auf. Dadurch kann Cisco Unity unter Verwendung desselben Unity Connection-Servernamens auf Unity Connection-Sprachnachrichten zugreifen.
Notiz
Erstellen Sie auf dem Unity Connection-Gateway-Server eine Zertifikatsignierungsanforderung. Laden Sie dann die Zertifikatsignaturanforderung auf den Server herunter, auf dem Sie Microsoft Certificate Services oder eine andere Anwendung installiert haben, die Zertifikate ausstellt, oder laden Sie die Anforderung auf einen Server herunter, über den Sie die Zertifikatsignaturanforderung an eine externe Zertifizierungsstelle senden können. Wenn ein Unity Connection-Cluster konfiguriert ist, führen Sie diese Aufgabe für beide Server im Unity Connection-Cluster aus.
Notiz
Erstellen Sie auf dem Cisco Unity-Gateway-Server eine Zertifikatsignierungsanforderung. Laden Sie dann die Zertifikatsignaturanforderung auf den Server herunter, auf dem Sie Microsoft Certificate Services oder eine andere Anwendung installiert haben, die Zertifikate ausstellt, oder laden Sie die Anforderung auf einen Server herunter, über den Sie die Zertifikatsignaturanforderung an eine externe Zertifizierungsstelle senden können. Wenn Cisco Unity-Failover konfiguriert ist, führen Sie diese Aufgabe für den primären und sekundären Server aus. - Wenn Sie Microsoft-Zertifikatdienste verwenden, um die Stammzertifikate zu exportieren und die Serverzertifikate auszustellen, führen Sie das Verfahren unter „Exportieren des Stammzertifikats und Ausstellen des Serverzertifikats (nur Microsoft-Zertifikatdienste)“ aus.
Wenn Sie eine andere Anwendung zur Ausstellung des Zertifikats verwenden, finden Sie in der Dokumentation der Anwendung Informationen zur Ausstellung von Zertifikaten.
Wenn Sie eine externe Zertifizierungsstelle zum Ausstellen von Zertifikaten verwenden, senden Sie die Zertifikatssignierungsanforderung an die externe Zertifizierungsstelle. Wenn die externe Zertifizierungsstelle die Zertifikate zurückgibt, fahren Sie mit Aufgabe 7 fort.
Es können nur PEM-formatierte (auch als Base-64-kodierter DER bezeichnete) Zertifikate in Unity Connection hochgeladen werden. Das Zertifikat muss über eine PEM verfügen fileNamenserweiterung. Wenn das Zertifikat nicht in diesem Format vorliegt, können Sie es normalerweise mit frei verfügbaren Dienstprogrammen wie OpenSSL in das PEM-Format konvertieren.
Führen Sie diese Aufgabe für den Unity Connection-Server (beide Server, wenn ein Unity Connection-Cluster konfiguriert ist) und für den Cisco Unity-Server (beide Server, wenn Failover konfiguriert ist) aus. - Laden Sie das Stammzertifikat und das Serverzertifikat auf den Unity Connection-Server hoch.
Notiz
Wenn ein Unity Connection-Cluster konfiguriert ist, führen Sie diese Aufgabe für beide Server im Unity Connection-Cluster aus. - Starten Sie den Unity Connection IMAP-Serverdienst neu, damit Unity Connection und die IMAP-E-Mail-Clients die neuen SSL-Zertifikate verwenden. Führen Sie den Schritt „Neustart des IMAP-Serverdienstes“ durch.
Wenn ein Unity Connection-Cluster konfiguriert ist, führen Sie diese Aufgabe für beide Server im Unity Connection-Cluster aus. - Laden Sie das Stammzertifikat und das Serverzertifikat auf den Cisco Unity-Server hoch.
Notiz
Wenn Failover konfiguriert ist, führen Sie diese Aufgabe für den primären und sekundären Server aus.
Erstellen und Herunterladen einer Zertifikatsignierungsanforderung auf einem Cisco Unity Gateway-Server
| Schritt 1 | Wählen Sie im Windows-Startmenü Programme > Verwaltung > Internetinformationsdienste (IIS)-Manager. |
| Schritt 2 | Erweitern Sie den Namen des Cisco Unity-Servers. |
| Schritt 3 | Expandieren Web Standorte. |
| Schritt 4 | Klicken Sie mit der rechten Maustaste auf Standard Web Site und wählen Sie Eigenschaften aus. |
| Schritt 5 | Im Standard Web Wählen Sie im Dialogfeld „Site-Eigenschaften“ die Registerkarte „Verzeichnissicherheit“. |
| Schritt 6 | Wählen Sie unter „Sichere Kommunikation“ die Option „Serverzertifikat“ aus. |
| Schritt 7 | Im Web Serverzertifikat-Assistent: a) Wählen Sie Weiter. b) Wählen Sie „Neues Zertifikat erstellen“ und dann „Weiter“. c) Wählen Sie „Anfrage jetzt vorbereiten, aber später senden“ und klicken Sie auf „Weiter“. d) Geben Sie einen Namen und eine Bitlänge für das Zertifikat ein. Wir empfehlen dringend, eine Bitlänge von 512 zu wählen. Größere Bitlängen können die Leistung beeinträchtigen. e) Wählen Sie Weiter. f) Geben Sie die Organisationsinformationen ein und wählen Sie Weiter. g) Geben Sie als allgemeinen Namen der Site entweder den Systemnamen des Cisco Unity-Servers oder den vollständig qualifizierten Domänennamen ein. Vorsicht Der Name muss genau mit dem Namen übereinstimmen, den der Unity Connection-Site-Gateway-Server zum Erstellen eines verwendet URL um auf den Cisco Unity-Server zuzugreifen. Dieser Name ist der Wert des Feldes „Hostname“ in der Verbindungsverwaltung auf der Seite „Netzwerk“ > „Links“ > „Intersite-Links“. h) Wählen Sie Weiter. i) Geben Sie die geografischen Informationen ein und wählen Sie Weiter. j) Geben Sie die Zertifikatsanforderung an fileGeben Sie Name und Ort ein und notieren Sie die fileGeben Sie Name und Ort ein, da Sie die Informationen im nächsten Schritt benötigen. k) Speichern Sie die file auf eine Festplatte oder in ein Verzeichnis, auf das der Server der Zertifizierungsstelle (CA) zugreifen kann. l) Wählen Sie Weiter. m) Überprüfen Sie die Anfrage file Geben Sie die gewünschten Informationen ein und wählen Sie Weiter. n) Wählen Sie „Fertig stellen“, um den Vorgang zu beenden Web Assistent für Serverzertifikate. |
| Schritt 8 | Wählen Sie „OK“, um die Standardeinstellung zu schließen Web Dialogfeld „Site-Eigenschaften“. |
| Schritt 9 | Schließen Sie das Fenster Internet Information Services Manager. |
Neustart des Verbindungs-IMAP-Serverdienstes
| Schritt 1 | Melden Sie sich bei Cisco Unity Connection Serviceability an. |
| Schritt 2 | Wählen Sie im Menü „Extras“ die Option „Dienstverwaltung“. |
| Schritt 3 | Wählen Sie im Abschnitt „Optionale Dienste“ für den Verbindungs-IMAP-Serverdienst die Option „Beenden“ aus. |
| Schritt 4 | Wenn im Statusbereich eine Meldung angezeigt wird, dass der Verbindungs-IMAP-Serverdienst erfolgreich gestoppt wurde, wählen Sie „Starten“ für den Dienst aus. |
Hochladen des Stamm- und Serverzertifikats auf den Cisco Unity Server
| Schritt 1 | Installieren Sie auf dem Cisco Unity-Server die MMC-Zertifikate für das Computerkonto. |
| Schritt 2 | Laden Sie die Zertifikate hoch. Weitere Informationen finden Sie in der Microsoft-Dokumentation. |
Installieren der Microsoft-Zertifikatdienste (Windows Server 2008)
Wenn Sie eine Zertifizierungsstelle eines Drittanbieters zum Ausstellen von SSL-Zertifikaten verwenden möchten oder Microsoft Certificate Services bereits installiert ist, überspringen Sie diesen Abschnitt.
| Schritt 1 | Öffnen Sie den Server-Manager, klicken Sie auf Rollen hinzufügen, auf Weiter und dann auf Active Directory-Zertifikatdienste. Klicken Sie auf „Weiter“. mal. |
| Schritt 2 | Klicken Sie auf der Seite „Rollendienste auswählen“ auf Zertifizierungsstelle. Weiter klicken. |
| Schritt 3 | Klicken Sie auf der Seite „Setup-Typ angeben“ auf „Standalone“ oder „Enterprise“. Weiter klicken. Notiz Sie müssen über eine Netzwerkverbindung zu einem Domänencontroller verfügen, um eine Unternehmenszertifizierungsstelle zu installieren. |
| Schritt 4 | Klicken Sie auf der Seite „CA-Typ angeben“ auf Root-CA. Weiter klicken. |
| Schritt 5 | Klicken Sie auf der Seite „Privaten Schlüssel einrichten“ auf „Neuen privaten Schlüssel erstellen“. Weiter klicken. |
| Schritt 6 | Wählen Sie auf der Seite Kryptografie konfigurieren einen Kryptografiedienstanbieter, eine Schlüssellänge und einen Hash-Algorithmus aus. Klicken Nächste. |
| Schritt 7 | Erstellen Sie auf der Seite „CA-Namen konfigurieren“ einen eindeutigen Namen zur Identifizierung der CA. Weiter klicken. |
| Schritt 8 | Geben Sie auf der Seite „Gültigkeitszeitraum festlegen“ die Anzahl der Jahre oder Monate an, die das Stamm-CA-Zertifikat gültig ist. Weiter klicken. |
| Schritt 9 | Akzeptieren Sie auf der Seite „Zertifikatdatenbank konfigurieren“ die Standardspeicherorte, es sei denn, Sie möchten einen benutzerdefinierten Speicherort angeben für die Zertifikatsdatenbank und das Zertifikatsdatenbankprotokoll. Weiter klicken. |
| Schritt 10 | Auf der Seite „Installationsoptionen bestätigen“ sieheview alle von Ihnen ausgewählten Konfigurationseinstellungen. Falls Sie es wollen Um alle diese Optionen zu akzeptieren, klicken Sie auf „Installieren“ und warten Sie, bis der Einrichtungsvorgang abgeschlossen ist. |
| Schritt 11 | Klicken Sie mit der rechten Maustaste auf die Active Directory-Zertifizierungsstelle. Wählen Sie „Rollendienste hinzufügen“ und aktivieren Sie das Kontrollkästchen für „Zertifizierungsstelle“. Web Registrierung, Online-Responder, Registrierungsdienst für Netzwerkgeräte und installieren Sie diese Dienste. |
| Schritt 12 | Gehen Sie zu Server-Manager -> Rolle hinzufügen -> Weiter -> überprüfen Sie das Web Öffnen Sie die Server-Box (IIS) und installieren Sie sie. |
| Schritt 13 | Klicken Sie mit der rechten Maustaste auf Web Server (IIS). Wählen Sie „Rollendienste hinzufügen“, überprüfen Sie alle Rollendienste und installieren Sie sie. |
Exportieren des Stammzertifikats und Ausstellen des Serverzertifikats (nur Microsoft-Zertifikatdienste)
| Schritt 1 | Melden Sie sich auf dem Server, auf dem Sie Microsoft Certificate Services installiert haben, bei Windows mit einem Konto an, das Mitglied der Gruppe „Domänen-Admins“ ist. |
| Schritt 2 | Wählen Sie im Windows-Startmenü Programme > Verwaltung > Zertifizierungsstelle. |
| Schritt 3 | Erweitern Sie im linken Bereich Zertifizierungsstelle (lokal) > der Name ist, den Sie der Zertifizierungsstelle bei der Installation der Microsoft-Zertifikatdienste im Abschnitt „Installieren von Microsoft-Zertifikatdiensten (Windows Server 2008)“ gegeben haben. . |
| Schritt 4 | Exportieren Sie das Stammzertifikat: a) Klicken Sie mit der rechten Maustaste auf den Namen der Zertifizierungsstelle und wählen Sie Eigenschaften. b) Wählen Sie auf der Registerkarte Allgemein die Option aus View Zertifikat. c) Wählen Sie die Registerkarte Details. d) Wählen Sie Kopieren nach File. e) Wählen Sie auf der Seite „Willkommen beim Zertifikatexport-Assistenten“ die Option „Weiter“ aus. f) Zum Export File Wählen Sie auf der Seite „Format“ die Option „Weiter“ aus, um den Standardwert „DER Encoded Binary X.509 (.CER)“ zu übernehmen. g) Auf der File Geben Sie zur Exportseite einen Pfad ein und fileName für die .cer file. Wählen Sie einen Netzwerkstandort aus, auf den Sie über den Unity Connection-Server zugreifen können. Schreiben Sie den Weg auf und fileName. Sie benötigen es in einem späteren Verfahren. h) Folgen Sie den Anweisungen auf dem Bildschirm, bis der Assistent den Export abgeschlossen hat. i) Wählen Sie „OK“, um das Dialogfeld „Zertifikat“ zu schließen, und wählen Sie erneut „OK“, um das Dialogfeld „Eigenschaften“ zu schließen. |
| Schritt 5 | Stellen Sie das Serverzertifikat aus: a) Klicken Sie mit der rechten Maustaste auf den Namen der Zertifizierungsstelle und wählen Sie Alle Aufgaben > Neue Anfrage senden. b) Navigieren Sie zum Speicherort der Zertifikatsignierungsanforderung file das Sie im erstellt haben, und doppelklicken Sie auf das file. c) Wählen Sie im linken Bereich der Zertifizierungsstelle die Option „Ausstehende Anfragen“ aus. d) Klicken Sie mit der rechten Maustaste auf die ausstehende Anfrage, die Sie in b. übermittelt haben, und wählen Sie Alle Aufgaben > Problem aus. e) Wählen Sie im linken Bereich der Zertifizierungsstelle „Ausgestellte Zertifikate“ aus. f) Klicken Sie mit der rechten Maustaste auf das neue Zertifikat und wählen Sie Alle Aufgaben > Binärdaten exportieren. g) Wählen Sie im Dialogfeld „Binärdaten exportieren“ in der Liste „Spalten, die Binärdaten enthalten“ die Option „Binärzertifikat“ aus. h) Wählen Sie Binärdaten speichern unter a File. i) Wählen Sie OK. j) Geben Sie im Dialogfeld „Binärdaten speichern“ einen Pfad ein und fileName. Wählen Sie einen Netzwerkstandort aus, auf den Sie über den Cisco Unity Connection-Server zugreifen können. Schreiben Sie den Weg auf und fileName. Sie benötigen es in einem späteren Verfahren. k) Wählen Sie OK. |
| Schritt 6 | Schließen Sie die Zertifizierungsstelle. |
Dokumente / Ressourcen
 |
CISCO nutzt SSL zur Sicherung von Client/Server-Verbindungen [pdf] Benutzerhandbuch Verwenden von SSL zum Sichern von Client-Server-Verbindungen, SSL zum Sichern von Client-Server-Verbindungen, Sichern von Client-Server-Verbindungen, Client-Server-Verbindungen, Server-Verbindungen, Verbindungen |