Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
1159
Visitas
10
ÚTIL
3
Respuestas

Certificado TLS CUBE en HA para troncal sip 5061

Ir a solución
jd.suarez9
Level 1
Level 1

el ‎03-25-2022 01:11 PM

Buen día,

 

agradezco de su atención, estoy realizando una implementación donde se requiere poner dos equipos en HA por medio de HRSP con una conexión de una troncal sip por medio de TLS, ¿debo generar un solo CSR en uno de los CUBE y con este copiar las llaves privadas y subirlos al cube alterno? o si tienen algo de documentación donde pueda encontrar sobre este temas, muchas gracias por su atencion! 

Etiquetas:
0 Útil
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Ir a solución
alorodri
Cisco Employee
Cisco Employee

el ‎03-31-2022 02:41 AM

Hola jd.suarez9!

 

Espero que te encuentres muy bien!  He estado investigando al respecto y según mi investigación, puedes generar un CSR por CUBE, firmarlo independientemente con el CA que escojas, y luego compartirlo con CUCM o PSTN, dependiendo de con quién quieras hacer la conexión TLS.

 

Puedes encontrar documentación de como realizar este proceso a continuación

https://www.cisco.com/c/en/us/support/docs/voice-unified-communications/unified-border-element/100446-cube-sip-tls.html

https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-border-element/215412-configure-sip-tls-between-cucm-cube-cube.html

https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-border-element/212090-Configure-SIP-TLS-between-CUCM-CUBE-CUBE.pdf

https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2018/pdf/BRKCOL-3224.pdf

 

Lamentablemente no pude encontrar documentación especifica para CUBE HA, o los pasos a seguir para usar el mismo certificado en ambos CUBE. Sin embargo, después de revisar solicitudes similares internamente, pude encontrar lo siguiente:

 

### There a two ways to do it: ####

 

  • First Option:

 

  1. Generate the RSA keys and the CSR. Get the CSR signed so you get the certificate and upload to one CUBE
  2. For the other CUBE, you export the RSA keys and you upload the certificate and the RSA keys and that is all.

 

  • Second option:

 

  1. Generate the RSA keys and CSR.
  2. Sign the CSR and upload the certificate to CUBE
  3. Export the complete information as PKCS12 and import to CUBE 2 (PKCS12 has all Keys and certificates as a bundle.)

 

Here and example:

 

Conf t

crypto key generate rsa general-keys label CUBE-HA modulus 2048 exportable

crypto pki rustpoint CUBE-HA

enrollment terminal pem

subject-name CN=<name>

revocation-check none

rsakeypair CUBE-HA

exit

crypto pki enroll CUBE-HA

----

Sign by CA

----

Crypto pki uthenticate CUBE-HA

Crypto pki import CUBE-HA certificate

 

crypto pki export CUBE-HA pkcs12 terminal password mySecretPassword

crypto pki import CUBE-HA pkcs12 terminal password mySecretPassword

 

Now, in case you are using Selg-signed certificates the procedure would be similar :

 

  • Self-signed Certificate

 

  1. You just need to generate the crypto RSA key in exportable mode with the self signed certificate on one CUBE.
  2. Then export and import them to the other CUBE.

crypto key generate rsa general-keys label CUBE-HA exportable modulus 2048

crypto pki trustpoint CUBE-HA

enrollment selfsigned

subject-name CN=CUBE-HA.test.lab

revocation-check none

rsakeypair CUBE-HA

exit

crypto pki enroll CUBE-HA

crypto pki export CUBE-HA pkcs12 terminal password mySecretPassword

 

####On second SBC: ####

 

crypto pki import CUBE-HA pkcs12 terminal password mySecretPassword

 

Le sugiero que utilice la segunda opción, ya que es más fácil, sin embargo, ambas deberían funcionar. 

.:|:.:|:.
c i s c o
Alonso Onuamure Rodriguez Medina.
Cisco Solution Support Engineer, HCS & Collaboration

Ver la solución en mensaje original publicado

3 RESPUESTAS 3

Ir a solución
alorodri
Cisco Employee
Cisco Employee

el ‎03-31-2022 02:41 AM

Hola jd.suarez9!

 

Espero que te encuentres muy bien!  He estado investigando al respecto y según mi investigación, puedes generar un CSR por CUBE, firmarlo independientemente con el CA que escojas, y luego compartirlo con CUCM o PSTN, dependiendo de con quién quieras hacer la conexión TLS.

 

Puedes encontrar documentación de como realizar este proceso a continuación

https://www.cisco.com/c/en/us/support/docs/voice-unified-communications/unified-border-element/100446-cube-sip-tls.html

https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-border-element/215412-configure-sip-tls-between-cucm-cube-cube.html

https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-border-element/212090-Configure-SIP-TLS-between-CUCM-CUBE-CUBE.pdf

https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2018/pdf/BRKCOL-3224.pdf

 

Lamentablemente no pude encontrar documentación especifica para CUBE HA, o los pasos a seguir para usar el mismo certificado en ambos CUBE. Sin embargo, después de revisar solicitudes similares internamente, pude encontrar lo siguiente:

 

### There a two ways to do it: ####

 

  • First Option:

 

  1. Generate the RSA keys and the CSR. Get the CSR signed so you get the certificate and upload to one CUBE
  2. For the other CUBE, you export the RSA keys and you upload the certificate and the RSA keys and that is all.

 

  • Second option:

 

  1. Generate the RSA keys and CSR.
  2. Sign the CSR and upload the certificate to CUBE
  3. Export the complete information as PKCS12 and import to CUBE 2 (PKCS12 has all Keys and certificates as a bundle.)

 

Here and example:

 

Conf t

crypto key generate rsa general-keys label CUBE-HA modulus 2048 exportable

crypto pki rustpoint CUBE-HA

enrollment terminal pem

subject-name CN=<name>

revocation-check none

rsakeypair CUBE-HA

exit

crypto pki enroll CUBE-HA

----

Sign by CA

----

Crypto pki uthenticate CUBE-HA

Crypto pki import CUBE-HA certificate

 

crypto pki export CUBE-HA pkcs12 terminal password mySecretPassword

crypto pki import CUBE-HA pkcs12 terminal password mySecretPassword

 

Now, in case you are using Selg-signed certificates the procedure would be similar :

 

  • Self-signed Certificate

 

  1. You just need to generate the crypto RSA key in exportable mode with the self signed certificate on one CUBE.
  2. Then export and import them to the other CUBE.

crypto key generate rsa general-keys label CUBE-HA exportable modulus 2048

crypto pki trustpoint CUBE-HA

enrollment selfsigned

subject-name CN=CUBE-HA.test.lab

revocation-check none

rsakeypair CUBE-HA

exit

crypto pki enroll CUBE-HA

crypto pki export CUBE-HA pkcs12 terminal password mySecretPassword

 

####On second SBC: ####

 

crypto pki import CUBE-HA pkcs12 terminal password mySecretPassword

 

Le sugiero que utilice la segunda opción, ya que es más fácil, sin embargo, ambas deberían funcionar. 

.:|:.:|:.
c i s c o
Alonso Onuamure Rodriguez Medina.
Cisco Solution Support Engineer, HCS & Collaboration

Ir a solución
Hilda Arteaga
Cisco Employee
Cisco Employee
En respuesta a alorodri

el ‎03-31-2022 11:45 AM

Estimado @alorodri gracias por asistir a @jd.suarez9 con la duda 

0 Útil

Ir a solución
jd.suarez9
Level 1
Level 1
En respuesta a Hilda Arteaga

el ‎04-05-2022 05:59 AM

Hola @alorodri @Hilda Arteaga,

 

Les agradezco la ayuda que me brindaron de esta manera pude replicar el mismo certificado TLS en el cube alterno y subir la trunk en los dos cube. Por otra parte dentro de la solución contaba con equipos ISR4000 por lo cual para HA ya no es recomendado hacerlo por HSRP, en su reemplazo esta box-to-box, dejo en enlace para alguna próxima búsqueda https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/voice/cube/configuration/cube-book/voi-cube-high-availability-ISR4K.html y que el foro sea de ayuda.

 

Nota: para equipos 2900 aún se puede utilizar HSRP para HA.

0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Videos de Video & Voz IP Documentos de Video & Voz IP Eventos Archivados de Video y Voz IP
Customers Also Viewed These Support Documents