el 03-25-2022 01:11 PM
Buen día,
agradezco de su atención, estoy realizando una implementación donde se requiere poner dos equipos en HA por medio de HRSP con una conexión de una troncal sip por medio de TLS, ¿debo generar un solo CSR en uno de los CUBE y con este copiar las llaves privadas y subirlos al cube alterno? o si tienen algo de documentación donde pueda encontrar sobre este temas, muchas gracias por su atencion!
¡Resuelto! Ir a solución.
el 03-31-2022 02:41 AM
Hola jd.suarez9!
Espero que te encuentres muy bien! He estado investigando al respecto y según mi investigación, puedes generar un CSR por CUBE, firmarlo independientemente con el CA que escojas, y luego compartirlo con CUCM o PSTN, dependiendo de con quién quieras hacer la conexión TLS.
Puedes encontrar documentación de como realizar este proceso a continuación
https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2018/pdf/BRKCOL-3224.pdf
Lamentablemente no pude encontrar documentación especifica para CUBE HA, o los pasos a seguir para usar el mismo certificado en ambos CUBE. Sin embargo, después de revisar solicitudes similares internamente, pude encontrar lo siguiente:
### There a two ways to do it: ####
Here and example:
Conf t
crypto key generate rsa general-keys label CUBE-HA modulus 2048 exportable
crypto pki rustpoint CUBE-HA
enrollment terminal pem
subject-name CN=<name>
revocation-check none
rsakeypair CUBE-HA
exit
crypto pki enroll CUBE-HA
----
Sign by CA
----
Crypto pki uthenticate CUBE-HA
Crypto pki import CUBE-HA certificate
crypto pki export CUBE-HA pkcs12 terminal password mySecretPassword
crypto pki import CUBE-HA pkcs12 terminal password mySecretPassword
Now, in case you are using Selg-signed certificates the procedure would be similar :
crypto key generate rsa general-keys label CUBE-HA exportable modulus 2048
crypto pki trustpoint CUBE-HA
enrollment selfsigned
subject-name CN=CUBE-HA.test.lab
revocation-check none
rsakeypair CUBE-HA
exit
crypto pki enroll CUBE-HA
crypto pki export CUBE-HA pkcs12 terminal password mySecretPassword
####On second SBC: ####
crypto pki import CUBE-HA pkcs12 terminal password mySecretPassword
Le sugiero que utilice la segunda opción, ya que es más fácil, sin embargo, ambas deberían funcionar.
el 03-31-2022 02:41 AM
Hola jd.suarez9!
Espero que te encuentres muy bien! He estado investigando al respecto y según mi investigación, puedes generar un CSR por CUBE, firmarlo independientemente con el CA que escojas, y luego compartirlo con CUCM o PSTN, dependiendo de con quién quieras hacer la conexión TLS.
Puedes encontrar documentación de como realizar este proceso a continuación
https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2018/pdf/BRKCOL-3224.pdf
Lamentablemente no pude encontrar documentación especifica para CUBE HA, o los pasos a seguir para usar el mismo certificado en ambos CUBE. Sin embargo, después de revisar solicitudes similares internamente, pude encontrar lo siguiente:
### There a two ways to do it: ####
Here and example:
Conf t
crypto key generate rsa general-keys label CUBE-HA modulus 2048 exportable
crypto pki rustpoint CUBE-HA
enrollment terminal pem
subject-name CN=<name>
revocation-check none
rsakeypair CUBE-HA
exit
crypto pki enroll CUBE-HA
----
Sign by CA
----
Crypto pki uthenticate CUBE-HA
Crypto pki import CUBE-HA certificate
crypto pki export CUBE-HA pkcs12 terminal password mySecretPassword
crypto pki import CUBE-HA pkcs12 terminal password mySecretPassword
Now, in case you are using Selg-signed certificates the procedure would be similar :
crypto key generate rsa general-keys label CUBE-HA exportable modulus 2048
crypto pki trustpoint CUBE-HA
enrollment selfsigned
subject-name CN=CUBE-HA.test.lab
revocation-check none
rsakeypair CUBE-HA
exit
crypto pki enroll CUBE-HA
crypto pki export CUBE-HA pkcs12 terminal password mySecretPassword
####On second SBC: ####
crypto pki import CUBE-HA pkcs12 terminal password mySecretPassword
Le sugiero que utilice la segunda opción, ya que es más fácil, sin embargo, ambas deberían funcionar.
el 03-31-2022 11:45 AM
Estimado @alorodri gracias por asistir a @jd.suarez9 con la duda
el 04-05-2022 05:59 AM
Hola @alorodri @Hilda Arteaga,
Les agradezco la ayuda que me brindaron de esta manera pude replicar el mismo certificado TLS en el cube alterno y subir la trunk en los dos cube. Por otra parte dentro de la solución contaba con equipos ISR4000 por lo cual para HA ya no es recomendado hacerlo por HSRP, en su reemplazo esta box-to-box, dejo en enlace para alguna próxima búsqueda https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/voice/cube/configuration/cube-book/voi-cube-high-availability-ISR4K.html y que el foro sea de ayuda.
Nota: para equipos 2900 aún se puede utilizar HSRP para HA.
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad