글 싣는 순서

       1. Service Discovery 의 이해
       2. Service Discovery 설정하기 

       3. Cisco Jabber for Windows 설치 및 인증서 관리

       4. Cisco Expressway 의 이해

       5. Cisco Expressway 설치 및 기본 설정하기
       6. Cisco Expressway 클러스터링 및 CUCM 연동
       7. Cisco Expressway 에 인증서 주입하기 
       8. Cisco Expressway 에서 Traversal Zone 구성하기 
       9. 사외에서 웹서버를 이용해 사진 추가하기
      10. Cisco Jabber 9.5 에서 URI Dialing 구성하기



시작하며

이 번에는 Cisco Expressway C와 E 가 안전한 통신이 가능하도록 인증서를 주입하는 부분을 살펴보겠습니다. 


마이크로소프트 CA 서버를 이용한 CSR을 통한 인증서 발생을 할 것이므로 설치 및 간단한 사용법은 다음글을 참조하시기 바랍니다.


2014/10/22 - [Secure UC] - 인증서 발행을 위한 마이크로소프트 CA 설치하기



마이크로소프트 CA 서버에서 Client Server Template 만들기
CUCM의 인증서들은 CA에 설정된 Server Authentication만을 하는 Web Server 템플릿을 이용하지만, Expressway 서버는 Server Authentication 뿐만 아니라 Client Authentication을 같이 할 수 있도록 별도의 템플릿을 만들어야 합니다. 


마이크로소프트 CA 에 접속한 후에 "Start >> All Programs >> Administrative Tools >> Certification Authority"를 클릭하여 certsrv 매니저를 오픈합니다. 




certmgr의 왼쪽 탭에서 "Certificate Templates"를 오른쪽 클릭하여 "Manage"를 클릭합니다. 




아래 그림과 같이 Certificate Templates Console 창이 열리면 "Web Server" 템플릿을 찾아서 "Duplicate Template"를 선택합니다. Expressway 서버를 위한 CSR 인증을 위해 사용할 새로운 템플릿을 만들기 위함입니다. 




"Duplicate Template" 창에서 "Windwos Server 2003 Enterprise"를 선택한 후 OK를 클릭합니다. 




"Properties of New Template"의 General 탭에서 Template을 위한 이름과 표시 이름을 명기합니다. 여기에서는 "ClientServer"라는 이름으로 입력하였습니다. 




"Request Handling" 탭에서 "All private key to be exported" 를 체크합니다. 





Extension 탭에서 "Application Policies"를 선택한 후에 "Edit" 버튼을 클릭합니다. 




"Edit Application Policies Extension" 창에서 "Add" 버튼을 클릭합니다.





"Add Application Policy" 창에서 "Client Authentication"을 선택 한 후 "OK"를 클릭합니다.  


ㅇㄹ



다시 "Edit Application Policies Extension" 창에서 원래 있던 "Server Authentication" 과 "Client Authentication"이 있는 것을 확인 한 후 "OK" 버튼을 누릅니다. 




이제 새로운 템플릿이 만들어 졌습니다. "Certificate Templates Console" 창을 닫고 certsrv 창의 왼쪽 탭에서 "Certificate Template"를 오른쪽 클릭한 후 " New >> Certificate Template to Issue"를 선택합니다. 





"Enable Certificate Templates" 창에서 새로 만든 ClientServer 템플릿을 선택한 후 "OK"를 클릭합니다. 





certsrv 창에서 새로 생성한 ClientServer 템프릿이 활성화되었습니다. 




이제 Certification Authority 창을 닫습니다. 


새로만든 ClientServer 템플릿은 클라이언트 인증과 서버인증이 수행합니다. 



CA 서버에서 CRL 다운로드하기
CRL은 Certificate Revocation List의 약어로 인증서 취소 목록입니다. 인증서가 유효기간의 만료나 분실로 인해 재갱신을 받을 경우에 기존 인증서를 폐기하기하고 새로운 인증서를 요구할 수 있도록 하는 것이 CRL입니다. 지금까지 CUCM을 구성할 경우에는 별도로 인증서 취소 목록 검증을 하지 않았지만, Expressway 가 방화벽 투과를 하다보니 보다 엄격한 보안을 요구합니다. 



마이크로소프트 CA 서버에 웹브라우저로 접속한 후에 "Downlaod a CA Certificate, Certificate chain, or CRL"을 클릭합니다. 




"Download latest base CRL"을 선택합니다. 





아래와 같이 파일을 다운로드 받기 위해 "OK" 버튼을 클릭합니다. 파일명은 certcrl.crl 입니다. 





아래와 같이 기존 파일명을 이해하기 쉬운 형태로 "CARootCRL.crl" 로 변경합니다. 




Expressway에 CRL (인증서 취소 목록) 을 업로드하기
이제 CRL을 업로드하기 위해 메뉴바에서 "Maintenance >> Security Certificates >> CRL management"로 이동합니다. 




CRL Management 페이지에서 "Browse" 버튼을 클릭하여 CRL을 연결한 후에 "Upload CRL File" 버튼을 클릭합니다. 




아래와 같이 정상적으로 업로드 되었음을 표시합니다.





Expressway 서버를 위한 CSR 생성 및 다운로드하기

이제 Expessway에 접속하여 CSR을 생성하기 위해 메뉴바에서 "Manatenance >> Security Certificates >> Server certificate"를 선택합니다. 



"Generate CSR" 페이지에서 다음의 정보를 입력한 후에 "Generate CSR"을 클릭합니다.

  • Common name : FQDN of Expressway

  • Subject Alternative Names :  FQDN of Expressway Cluster Plus FQDNs of all peers in the cluster

  • IM and Presence chat note aliases : <비워두기>

  • Key Length (in bits) : 2048

  • Country : <국가명>

  • State or Province : <특별시 또는 도명>

  • Locality (town name) : <구 또는 시명>

  • Organization (company name) : <회사이름>

  • Organizational Unit : <부서명>


위의 내용은 인증서의 Subject Name에 포함됩니다. 




Expressway의 CSR을 다운로드하기 위해  "Certificate Signing Request (CSR)" 색션에서 download 버튼을 클릭합니다. 



파일을 다운로드 합니다. 




다운로드 파일을 노트패드를 이용하여 오픈합니다. 보기가 어려울 경우에는 노트패드에서 "Format >> Word Wrap"을 선택합니다. 




노트패드의 내용을 전체 복사합니다. 



마이크로소프트 CA  서버에서 CSR서명하기
마이크로소프트 CA에 웹브라우저로 접속하여 "Request a certificate"를 클릭합니다. 



"advanced certificate request"를 클릭합니다. 



 Saved Request에서 노트패드에서 복사한 CSR의 내용을 Copy and Paste를 합니다. 또한, 상호인증을 수행하도록 새로만든 ClientServer 템플릿을 Certificate Template으로 선택한 후 "Submit" 버튼을 클릭합니다. 



"Base 64 encoded"를 선택한 후에 "Download certificate"를 클릭합니다. 



파일을 저장한 후 알기쉬운 이름으로 변경합니다.



Expressway에 Certificate (인증서)를 업로드하기
다시 Expressway로 돌아와서" Server Certificate" 페이지의 맨 아래에 있는 "Upload server certificate data" 를 클릭합니다. 




정상적으로 인증서가 업데이트 된 것을  확인합니다. 



 인증서 업로드 후에는 메뉴바에서 "Maintenabce >> Restart Option" 에서 재부팅을 수행합니다.




마치며
지금까지 Cisco Expressway C 를 기준으로 설명드렸습니다. 동일하게 Expressway E 에서 CSR을 추출한 후에 CA에서 서명한 후 다시 주입하는 작업을 합니다. 

그렇다면, 클러스터 내의 다른 Expressway는 어떻게 할까요? 이미 전 글에서 SAN (Subject Alternative Names)에 대해 배웠습니다. 하나의 인증서를 이용하여 클러스터 내의 모든 서버를 동일하게 인증하는 것입니다. CSR 생성 시 SAN 옵션에서 " FQDN of Expressway Cluster Plus FQDNs of all peers in the cluster"를 선택했습니다. 


내용 추가 (2016년 11월 2일)
만일 생성한 CSR 파일이 MS CA 서버에서 문제를 일으키거나 Openssl 에서 문제를 일으킬 경우 CSR 파일의 내용을 확인해야 합니다. 이 때는 다음의 명령어를 이용할 수 있습니다.


openssl req -in filename.csr -noout -text 


또는 인터넷 상의 디코더를 이용합니다.

https://www.sslshopper.com/csr-decoder.html





라인하
트 (CCIEV #18487)
  -----------------------------------------------------
ucwana@gmail.com (라인하트의 구글 이메일) 
http://twitter.com/nexpertnet (넥스퍼트 블로그의 트위터, 최신 업데이트 정보 및 공지 사항) 
http://groups.google.com/group/cciev (시스코 UC를 공부하는 사람들이 모인 구글 구룹스) 
http://groups.google.com/group/ucforum (벤더에 상관없이 UC를 공부하는 사람들이 모인 구글 구룹스) 
세상을 이롭게 하는 기술을 지향합니다. ________________________________________________________


저작자 표시 비영리
신고
Posted by 라인하트

댓글을 달아 주세요



티스토리 툴바