Acheter ou Renouveler
Acheter ou Renouveler
annuler
Activer les suggestions
La fonction de suggestion automatique permet d'affiner rapidement votre recherche en suggérant des correspondances possibles au fur et à mesure de la frappe.
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Créer un nouveau blog
552
Visites
0
Compliment
0
Commentaires

Guide preparation des certificats pour déployer Cisco Meeting Server

Meddane
VIP
VIP
‎19-07-2022 09:18 AM

Cisco Meeting Server combine les conférences audio, vidéo et Web dans une seule solution pour répondre aux besoins de collaboration. La solution permet de garantir aux participants une expérience de réunion cohérente et familière, qu'ils rejoignent une réunion à l’aide d’une solution Cisco ou de terminaux tiers.

L'objectif dans un déploiement avec plus d'un nœud CMS est:

  • Haute Disponibilité, voir le même service dans plusieurs nœuds, par exemple si les CallBridges sont en cluster, si un call bridge est hors service, un autre CallBridge peut héberger les meetings.
  • Evolutivité, en d'autre termes, un meeting peut être hébergé par plusieurs CallBridge si l'un deux n'a pas assez de capacité pour héberger tous les participants. (En règle générale, il est recommandé d'avoir le meeting et ses participants hébergés par un seul CallBridge avec la notion de distribution  ou bien d'une manière encore plus optimale en utilisant la fonctionnalité CallBridge Group).
  • Efficacité, un Meeting Server peut décider quels sont les nœuds du cluster offrant une meilleur expérience utilisateur pour des participants se connectant de différents emplacements géographiques.

L’Intégration avec Cisco Expressway comme EDGE à la place de l'ancienne solution Cisco CMS Edge afin de permettre aux participants de se connecter à un meeting en utilisant un navigateur supportant le WebRTC. Cisco Expressway version X8.11 et plus supporte le CallBridge Group pour un équilibrage de charge efficace dans un environnement Cluster CallBridges, cela permet en effet de réduire le nombre de distribution entre les CallBridge réduire ainsi le nombre de ports HD.

Meddane_0-1658247254227.png

Configuration de Cisco Meeting Server

Configuration de base

La première étape d'implémentation concerne les paramètres réseaux nécessaires pour la connectivité: Adresse IP, Gateway, Serveur DNS, nom de domaine et le serveur NTP.

acano>hostname hq-cms

acano>reboot

hq-cms>

hq-cms>ipv4 a add 10.1.5.20/24 10.1.5.29

hq-cms>ntp server add 10.1.5.29

hq-cms>dns add forwardzone collab.com 10.1.5.27

Préparation des certificats

La deuxième étape consiste en la préparation des certificats pour les services.

Un serveur Cisco Meeting Server est composé des modules suivants:

  • WebAdmin: Pour l'administration à travers l'interface graphique.
  • WebBridge3: Pour assurer la fonctionnalité WebRTC.
  • CallBridge: C'est le pont de conférence qui héberge les meetings.

L'activation et l'implémentation des services nécessitent des certificats, un certificat avec comme Common Name CN:non de domaine et dont le SAN inclue les FQDNs webbridge.domain.com, callbridge.domain.com, les FQDNs des nœuds ainsi que l'URL du meeting, le deuxième certificat est une chaine de certification composé du certificat racine du CA et un certificat de subordination avec le Common Name = nom de domaine. Les certificats doivent être signés par un CA interne ou externe.

Pour générer un CSR Certificate Signing Request et une clé privée, on utilise la commande suivante, ici on donne un nom cmscert.

Meddane_1-1658247254228.png

hq-cms>pki csr cmscert CN:collab.com OU:CCNP O:Collaboration L:Hydra ST:Algiers C:AL subjectAltName:webbridge.collab.com,xmpp.collab.com,callbridge.collab.com,join.collab.com,webadmin.collab.com,hq-cms.collab.com,*.lab.local,10.1.5.20

Pour récupérer le CSR, il suffit de se connecter au CMS en utilisant l’outil WinSCP et on copy le CSR crée précédemment dans votre PC.

Au niveau du serveur CA 10.1.5.27.

Lancez la console Certification Authority, sélectionner Certificate Template. Double clic sur le Certificate Template et sélectionner Manage.

Faites un duplicate du template Web Server et configurer le nouveau template pour fournir l’authentification client et serveur.

Meddane_2-1658247254232.png

Configurez un nom du Template et un Display Name, par exemple Cisco Meeting Server et CMS respectivement.

Meddane_3-1658247254237.png

Meddane_4-1658247254242.png

Dans la console certificate,  on émet le certificat template dénommé CMS.

Meddane_5-1658247254244.png

Au niveau d’un pc, on accede au server CA en utilisant l’URL suivante http://10.1.5.27/certsrv.

Clique sur Request a certificate ensuite sur advanced request certificate.

Meddane_6-1658247254258.png

Meddane_7-1658247254262.png

On édite le CSR crée précédemment avec bloc-notes et on copie le contenu. On colle ensuite le CSR dans la partie Base-64 encoded et on sélectionne le certificate template Cisco Meeting Server.

Meddane_8-1658247254271.png

On selectionne Base 64 Encoded on clique Download certificate, on sauvegarde le certificate avec le nom cmscert.                             

Meddane_9-1658247254273.png

Ci-dessous les détails du certificat dénommé cmscert généré auparavant.

Meddane_10-1658247254287.png

Une chaine de certificat est requise pour truster le certificat cmscert lorsqu’on activera les services webadmin, callbridge et webbridge3.

Une chaine de certificat est un fichier unique avec l’extension .pem, .cer ou bien .crt qui englobe le certificat du CA c’est-à-dire le root CA ainsi que les certificats intermédiaires dans la chaine

Pour créer une chaine de certificat, il nous faut le certificat du CA et un certificat de subordination avec comme Common Name : collab.com.

Pour générer un certificat de subordination, il nous faut un CSR.

On peut utiliser plusieurs outils dont openssl pour générer un CSR avec un Common Name : collab.com.

Si vous n’avez pas openssl, on peut intuitivement utiliser le CMS pour générer le CSR.

A partir de la ligne command du CMS, on génère un CSR avec comme Common Name : collab.com. On lui octroie un nom, par exemple adcert.

hq-cms>pki csr adcert CN:collab.com OU:CCNP O:Collaboration L:Hydra ST:Algiers C:AL

Ensuite on utilisera le WinSCP pour copier le CSR afin de le soumettre à notre autorité de certification.

Meddane_11-1658247254296.png

Access the CA server 10.1.5.27 GUI using the url http://10.1.5.27/certsrv.

Au niveau du serveur CA, on procède de la même manière qu’auparavant afin de générer un certificat dont le common name est collab.com à partir du CSR adcert.

Meddane_12-1658247254310.png

Meddane_13-1658247254314.png

On edit le CSR adcert avec notepade et on colle le contenu. Il est très important de selectionner dans Certificate Template, Subordinate Certification Authority. Cela nous permettra par la suite de créer un Certificat Bundle afin de l’utiliser comme une chaine de certificat pour truster le certificat des services.

Meddane_14-1658247254326.png

On selectionne Base 64 Encoded et on clique sur Download certificate.

Meddane_15-1658247254330.png

Finalement on obtient un certificat d’un CA intermédiaire nomme adcert qui ressemblera à ça.

Meddane_16-1658247254334.png

Il nous reste maintenant de télécharger le Certificat de l’autorité de certification ou bien communément connu Root CA en cliquant simplement sur Download a CA certificate, certificate chain, or CRL.

Meddane_17-1658247254353.png

On utilise Base 64 et on clique sur Download CA certificate, ici j’l’ai nommé Root-CA.

Meddane_18-1658247254371.png

Le certificate de l’autorité de certification ressemblera à ça.

Meddane_19-1658247254385.png

Maintenant le certificat du CA Root-CA et le certificat intermédiaire ou subordonné adcet sont prêts, on peut procéder à la création d’une chaine de certificat.

Pour créer une chaine de certificat, on utilise le notepad. Tous les caractères qui incluent

-----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- doivent être inserés dans le document txt.

On edit le certificat intermédiaire adcert crée précédemment avec notepad.

Meddane_20-1658247254402.png

On édite le certificat du CA Root-CA avec nodepad également.

Meddane_21-1658247254413.png

On colle le certificate adcert en premier et ensuite le certificat Root-CA en deuxième.

Il ne faut pas qu’il y’ait d’espace entre la ligne -----END CERTIFICATE-----  du premier certificate et la ligne -----BEGIN CERTIFICATE-----  du deuxième certificat. Finalement on sauvegard le fichier avec l’extension .cer et on le renomme CA-Chain.cer.

Meddane_22-1658247254435.png

Meddane_23-1658247254439.png

Notre chaine de certificat CA-Chain ressemblera à ça.

Meddane_24-1658247254450.png

Une chaine de certificat est aussi requise pour le Webbridge3 dans version 3.

Pour le créer, il nous faut le certificat cmscert et la chaine de certificat CA-Chain crées auparavant.

Dans le premier temps on édite le certificat cmscert avec nodepad.

Meddane_25-1658247254469.png

Ensuite on édite la chaine de certificat CA-Chain avec nodepad également.

Meddane_26-1658247254491.png

Meddane_27-1658247254496.png

On colle le certificat cmscert en premier ensuite on colle le certificat CA-Chain certificate en deuxième lieu. Finalement on sauvegarde le fichier avec l’extension .cer extension. On le nomme par exemple CMS-Chain.cer.

Meddane_28-1658247254518.png

Meddane_29-1658247254538.png

Ci-dessous la chaine de certificat CMS-Chain qui sera utilisé pour le webbridge3.

Meddane_30-1658247254550.png

La dernière étape consister à copier les trois certificats cmscert, CA-Chain et CMS-Chain dans hq-cms avec WinSCP.

On peut vérifier avec la commande pki list que les trois certificats sont bel et bien copiés.

Meddane_32-1658247254583.png

L’activation des services se fera selon le procédé suivant :

  1. WebAdmin
  2. CallBridge
  3. WebBridge3

Note: Il recommandé d’utiliser le port 445 au lieu de 443 pour l’accès à l’interface graphique des serveurs Cisco Meeting Server.  Le port traditionnel 443 sera utilisé pour le WebRTC lorsque les utilisateurs accèdent au meeting en utilisant le navigateur avec une URL Guest du portal Cisco Meeting App, par exemple https://join.domain.com, cela leur évitera d’être redirigés vers l’interface graphique d’un serveur Cisco Meeting Server.

Cisco Meeting Server Spaces

Un "Space" est une salle virtuelle qui permet à des utilisateurs de joindre une conférence ou un meeting. Spaces est la terminologie qu'on trouve dans le fonctionnement de Cisco Meeting Server et dans l'interface graphique d'administration, Cisco Meeting Server contient une Space table, un administrateur peut ajouter des Spaces ou bien s'appuyer sur Active Directory lors de l'import des AD users pour une création d'un space personnel pour chaque AD user. Cette space table contient trois informations importantes lors de la création des spaces:

  • Le nom du space
  • User Portion URI
  • Meeting ID ou bien Call ID

Pour pouvoir router un utilisateur vers un space, Cisco Meeting Server utilise la partie host de l'URI pour trouver un match dans la table Incoming Rules.

Un space ou un meeting (Conférence) peut être joint en utilisant une URI ou bien un Numéro (Meeting ID), à partir d'un système Télépresence, un navigateur web supportant le WebRTC pour les utilisateurs Nomades avec une URL Guest, ou bien un Téléphone en composant le numéro correspondant au Meeting ID.

Meddane_0-1658247596615.png

Cisco Meeting Server Dial Plan

Le routage des appels dans Cisco Meeting Server sollicite peu de tables de routage et elles sont analysées dans l'ordre suivant:

  1. Incoming Call Table
  2. Call Forwarding Table
  3. Outbound Call Table

Meddane_1-1658247596618.png

Ci-dessous, un schéma qui résume comme un endpoint enregistré dans le call control Unified CM accède à un meeting, ou une conférence, ou bien un space (les trois mots signifient la meme chose) en composant l’URI du meeting.

Pour rappel une URI est composé de la partie user et la partie host.

Exemple :

ccnp@collab.lab.local.

Ccnp est la partie user. (Ça peut être aussi des chiffres 1111).

Collab.lab.local est la partie host ou bien domaine SIP.

Le routage des appels URIs se base bien évidemment sur la partie host ou domaine SIP, par conséquent, il est nécessaire d’avoir une SIP route pattern pour router les URIs.

Meddane_2-1658247596629.png

Activation du service WebAdmin

Le service WebAdmin est responsable de l’interface graphique du CMS. Pour pouvoir configurer notre CMS via GUI, il est impératif d’activer ce service.

Par défaut le WebAdmin écoute sur le port 443. Mais dans un déploiement avec le WebRTC, il est recommandé de modifier ce port afin de laisser le port 443 pour les utilisateurs guest qui utiliseront le WebRTC du navigateur pour accéder à un meeting.

Généralement le port 445 est utilisé pour le WebAdmin, ainsi pour accéder à l’interface graphique, on utilisera l’URL https://10.1.5.20:445.

La commande suivante nous permettra de spécifier l’interface sur laquelle le CMS écoutera et le port.

Meddane_3-1658247596629.png

hq-cms>webadmin listen a 445

Les certificats sont primordiaux pour activer tous les services WebAdmin, CallBridge et WebBridge3.

Il est à noter qu’on peut utiliser un certificat par service ou bien un seul certificat pour tous les services, dans cet exemple, le meme certificat sera utilisé pour tous les services.

For the certificate to be used, specify the certificat cmscert created in previously with the relevant key.

Pour spécifier le certificat qui sera utilisé par le service WebAdmin, on utilise la commande suivant, il est très important de spécifier la clé privée du certificat ainsi que la chaine des autorités qui va valider ce certificat.

Meddane_4-1658247596629.png

hq-cms>webadmin certs cmscert.key cmscert.cer CA-Chain.cer

On configure la redirection du http vers https.

Meddane_5-1658247596630.png

hq-cms>webadmin http-redirect enable

Finalement on active le service WebAdmin.

Meddane_6-1658247596630.png

hq-cms>webadmin enable

La commande webadmin est très utile pour vérifier que tout est bon.

Meddane_7-1658247596630.png

Activation de la licence d’eval avec Cisco Meeting Management

A partir de l’interface graphique de Cisco Meeting Management hq-cmm.

Meddane_8-1658247596646.png

 

Dans Settings, aller dans License, clique sur Change et selectionner Smart Licensing.

Clique Save.

Meddane_9-1658247596651.png

Meddane_10-1658247596660.png

Meddane_11-1658247596669.png

Ajouter le CallBridge au CMM

Clique sur Servers pour ajouter le Callbridge au CMM. Clique Add Call Bridge.

Entrer les informations suivantes :

  • Server Address: 10.1.5.20
  • Port: 445
  • Username: admin
  • Password: (password of CMS)
  • Display name: hq-cms

Cocher l’option Use Trusted Certificate Chain boxes. Selectionner la chaine de certificat CA-Chain créé précédemment.

Meddane_12-1658247596673.png

Meddane_13-1658247596680.png

Meddane_14-1658247596686.png

Aller ensuite dans License, et clique sur Start Trial. Le CMM doit avoir une connectivité internet pour activer le mode trial.

Meddane_15-1658247596692.png

Meddane_16-1658247596699.png

Configuration du CallBridge

Configurer le service callbridge pour écouter sur l’interface a.

hq-cms>callbridge listen a

 Specifier le certificat cmscert créé précédemment, la clé privée ainsi que la chaine d’autorité.

 hq-cms>callbridge certs cmscert.key cmscert.cer CA-Chain.cer

Redémarrer le service callbridge

hq-cms>callbridge restart

Meddane_17-1658247596700.png

Verifier le service callbridge.

Meddane_18-1658247596701.png

Configuration du WebBridge3

Toujours en ligne de commande, entrez les commandes suivantes.

Meddane_19-1658247596703.png

Vérifier la configuration du WebBridge3.

Meddane_20-1658247596705.png

 

 

0 Compliments
Mise en Route
Bienvenue dans la Communauté !

La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.

Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :

Articles Populaires
Customers Also Viewed These Support Documents