通过CAPF联机CA配置自动证书登记和续订-Cisco.PDF

通过CAPF联机CA配置自动证书登记和续订 Contents Introduction Prerequisites Requirements Components Used 背景信息 验证服务器时间和日期 更新服务器计算机名称 Configure AD服务、用户和和认证模板 IIS认证和SSL约束配置 CUCM配置 Verify 验证IIS证书 验证CUCM配置 相关链接 Introduction 本文通过Cisco Unified通信管理器的(CUCM)认证机关代理功能(CAPF)联机功能描述自动证书登记 和续订。 贡献用迈克尔Mendoza， Cisco TAC工程师。 Prerequisites Requirements Cisco 建议您了解以下主题： 思科统一通信管理器 X.509证书 Windows 服务器 Windows激活目录(AD) Windows互联网信息服务(IIS) NT (新技术) LAN管理器(NTLM)认证 Components Used 本文档中的信息基于以下软件和硬件版本： CUCM版本0000-22 Windows服务器2012 R2 IP电话CP-8865/固件：SIP 12-1-1SR1-4和12-5-1SR2。 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.如果您的网络处于 活动状态，请确保您了解所有命令的潜在影响。 背景信息  本文包括功能和相关资源的配置另外的研究的。 验证服务器时间和日期 保证您的Windows服务器有正确的日期，时间和作为它被配置的时间区域影响它以及那些证书的正 确性时代发行的服务器的根CA (认证机关)认证。 更新服务器计算机名称 默认情况下服务器的计算机名称有一个随机的名字例如WIN-730K65R6BSK。第一件事需要做，在 您enable (event) AD域服务将保证更新服务器的计算机名称到前什么您希望服务器的主机名-和根 CA发证者名字是在安装以前;否则，在安装后，它采取很多额外步骤更改此AD服务。 连接到当地服务器 ，选择计算机名称打开系统特性 选择更改按钮并且输入新的计算机名称： 重新启动更改的服务器得到应用 Configure AD服务、用户和和认证模板 Enable (event)和配置激活目录服务 在服务器管理器请选择添加角色并且以选项为特色，选择基于任务的或基于特点安装并且从池 (必须只有一个在池)然后激活目录域服务选择您的服务器： 继续选择Next按钮然后安装 在完成安装后，请选择关闭按钮 警告选项出现在服务器管理器与对于激活目录域服务是必需的标题配置的AD DS下 ;选择更多 链路可用操作然后运行设置向导： 按照在域设置向导的提示，添加有您的期望根域名的(此实验室的使用的一个新 的森林)并且非选定DNS机箱，当可得到时，定义DSRM密码(使用的C1sc0123!此实验室) ： 您需要指定NetBIOS域名(使用的MICHAMEN1在此实验室)。 理解向导对完成。完成安装的服务器然后重新启动。 您需要指定您的新域名您登陆的下次。 即MICHAMEN1\Administrator。 Enable (event)和配置证书服务 在服务器管理器请选择添加角色和功能 选择激活目录证书服务并且按照提示添加必需的功能(所有可用的功能从为此实验室是启用的)的 角色服务被挑选 对于角色服务检查认证机构Web登记 警告选项必须出现在与对于激活目录证书服务是必需的标题配置的服务器管理器AD DS下;选 择更多链路然后可用操作： 在ADC过帐中请安装配置向导通过这些步骤连接：  选择认证机构和认证机构Web登记角色 选择与选项的企业CA ： 根CA 创建一把新的专用密钥 请使用专用密钥–与默认设置的SHA1 设置一个普通的名字对于CA (必须匹配主机名-服务器) ： 设置正确性5年如果需要(或更多) 通过向导的其余选择Next按钮 CiscoRA