É um tema bastante similar ao que escrevi outro dia sobre SIP Trunk over TLS, só que criaremos outras chaves, outro trustpoint, etc. E novamente, reforçarei o que escrevi nesse post sobre Secure SIP: Isso definitivamente não é a minha área de especialidade, então certamente tem coisa que pode estar errada. O que mostro abaixo é como eu fiz e deu certo.
1. Crie um par de chaves (pública e privada) no Voice Gateway, dando um nome qualquer (diferente do nome que foi dado às chaves do Secure SIP). Sugiro o nome da própria Conference Bridge:
crypto key generate rsa general-keys label CFB_Teste_01 mod 2048 exportable
2. Crie um Trustpoint no Voice Gateway, e nomeie ele com o mesmo nome da Conference Bridge:
crypto pki trustpoint CFB_Teste_01
enrollment terminal
fqdn none
subject-name CN=CFB_Teste_01 ! -- Aqui está o segredo. O CN do certificado deve conter o nome da Conference Bridge
revocation-check none
rsakeypair CFB_Teste_01
crypto pki authenticate CFB_Teste_01
Ao dar o comando, o roteador vai pedir para você colar o certificado root. Esse certificado você deve pedir ao cliente:
Enter the base 64 encoded CA certificate
<COLE A STRING CONTENDO O CERTIFICADO ROOT>
4. Gere o CSR (Certificate Sign Request) do roteador para ser assinado pelo cliente:
crypto pki enroll CFB_Teste_01
%Start certificate enrolment ..
Include serial? No
Include IP Address? No
Display CSR? Yes
O roteador vai gerar uma string no terminal. Você deve copiar toda ela num TXT e encaminhar para o cliente assinar no CA dele. Caso seja um Windows, o template deve conter as funções TLS Web Server Authentication, TLS Web Client Authentication e IPSec End System.
5. Quando o cliente enviar o certificado assinado pelo CA dele, importe de volta para o Roteador:
crypto pki import CFB_Teste_01 certificate
Enter the base 64 encoded certificate
<COLE A STRING CONTENDO O CERTIFICADO ASSINADO>
6. Importe os certificados Root no CUCM como CallManager-trust, e assine os certificados do CUCM no CA do cliente. O passo-a-passo desse procedimento está detalhado no post sobre Secure SIP.
7. Crie uma nova Conference Bridge no roteador, como de costume, porém, seguindo os comando abaixo:
sccp local GigabitEthernet0/0
sccp ccm <CUCM1> identifier 1 version 7.0 trustpoint CFB_Teste_01
sccp ccm <CUCM2> identifier 2 version 7.0 trustpoint CFB_Teste_01
sccp ip precedence 3
sccp
sccp ccm group 1
bind interface GigabitEthernet0/0
associate ccm 2 priority 1
associate ccm 1 priority 2
associate profile 1 register CFB_Teste_01
dspfarm profile 1 conference security
trustpoint CFB_Teste_01
codec g729br8
codec g729r8
codec g729abr8
codec g729ar8
codec g711alaw
codec g711ulaw
maximum sessions 2
associate application SCCP
8. Ao criar a CFB no Call Manager, marque a opção "Encrypted Conference Bridge".
Pronto, a sua Conference Bridge já está encriptada!
