글 싣는 순서
1. CUCM에 인증서 올리기
2. 전화기에 인증서 올리기
3. CUCM Mixed Mode 전환하여 암호화 통신하기
4. CUCM 보안 관련 문제 정리
시작하며
앞장에서 기업에서 사용하는 인증서버에 의해 서명된 인증서를 SAN 방식으로 CUCM 11.5에 업로드를 했습니다. 시스코의 모든 협업 제품들은 와일드 카드 방식의 인증서 - 예를들면, *.nexpert.net - 를 지원하지 않으므로 SAN을 이용해야 합니다.
이번 글에서는 시스코 전화기, DX 시리즈, 시스코 잽에 인증서를 주입하는 과정입니다.
전화기에 인증서를 배포하기 위한 서비스 활성화
CUCM의 네비게이션에서 "Cisco Unified Serviceabliity" 웹페이지로 이동합니다. 메뉴바에서 "Tools >> Service Activation"을 선택한 후에 활성화할 Publisher를 서버로 지정합니다.
전화기 및 시스코 단말에 인증서를 배포하는 서비스는 CAPF (인증 기관 대행 기능, Certificate Authority Proxy Function) 입니다. CUCM에 등록된 단말에 한해 인증기관을 대행하여 인증서의 관리 및 배포를 단순화합니다.
"Cisco Certificate Authority Proxy Function" 을 선택한 후에 "Save"를 누르면 활성화 여부를 묻는 질문창이 뜹니다. "OK"를 누릅니다.
메뉴바에서 "Tools >> Control Center - Feature"을 선택한 후에 Cisco CAPF 서비스가 활성화되었는 지를 확인합니다.
그리고, "Tools >> Control Center - Feature"을 선택한 후에 Cisco TFTP 서비스를 "Restart"합니다. 이때 CTL (Certificate Trust List) 파일에 CAPF 인증서가 추가됩니다.
시스코 전화기에 LSC 인증서 생성하기
시스코 전화기에서 "Settings" 버튼을 클릭한 후에 "Admin Setting >> Security Setup"으로 이동합니다. 아래 그림처럼 아직 Secure Mode가 적용되지 않은 상태이며, LSC (Locally Signed Certificate)는 설치되지 않았습니다. 이 과정은 시스코 공장에서 전화기를 만들때 배포된 MIC (Manufacturer Installed Certificate)를 이용하는 것이 아니라 CAPF에 의해 서명된 인증서를 활용하는 과정입니다.
CUCM Administration 웹페이지로 이동합니다. 메뉴바에서 "Device >> Phone"을 선택한 후에 공개키와 개인키 쌍을 생성하려는 단말을 선택합니다.
전화기 설정 화면에 보면 아래와 같이 "Certification Authority Proxy Fuction (CAPF) Information" 이라는 색션이 나옵니다.
키쌍 생성을 위해 Certificate Operation 을 "Install/Upgrade"로 선택합니다. 인증모드는 MIC를 선택하여 시스코 공장에서 설치한 인증서를 신뢰하도록 합니다. 키 길이 2048과 생성방식은 RSA Only 를 선택합니다. 여기서 구형 7900 시리즈 전화기라면 키길이를 1024로 하시기 바랍니다. 구형은 CPU가 낮아서 키생성에 오랜 시간이 걸립니다.
설정을 저장하기 위해 "Save" 버튼을 클릭하고 "Apply Config"를 클릭하여 적용합니다. 전화기는 자동으로 재부팅합니다. 부팅이 완료되면, 시스코 전화기에서 "Settings" 버튼을 클릭한 후에 "Admin Setting >> Security Setup"으로 이동합니다. CAPF에 의해 서명된 LSC 인증서를 볼 수 있습니다.
만일, 기업에서 사용하는 인증서버나 3rd party 인증기관의 서명이 반드시 필요한 경우에는 Off-line CA를 이용하는 방법의 글을 보시기 바랍니다.
DX 70 및 DX 80 단말에 인증서 적용하기 (Android Only)
DX 시리즈는 화면이 큰 전화기이므로 인증서 적용 방식은 지금까지 설명한 방법과 동일합니다. 인증서 적용 여부를 확인하기 위해 "Settings >> Security >> Enterprise Security Setting" 로 이동합니다. 아래 그림과 같이 LSC가 적용된 것을 확인합니다.
LSC가 적용된 단말 확인
단말 검색에서 "LSC Status"를 선택하면 각 단말별 LSC 적용 여부를 확인할 수 있습니다.
시스코 재버에 LSC 적용하기
시스코 재버 (Cisco Jabber)는 소프트웨어 클라이언트이므로 시스코 공장에서 주입한 MIC 인증서가 없습니다. 그래서 키쌍 생성후 서명의 안전성을 높이기 위해 "By Authentication String"을 사용합니다.
설정을 저장하기 위해 "Save" 버튼을 클릭하고 "Apply Config"를 클릭하여 적용합니다. 시스코 재버를 "Setting >> Exit"하여 완전 종료 후에 재시작합니다.
로그인을 시도하면서 아래와 같이 "Authentication String"을 입력하는 창이 표시됩니다. CAPF 인증 설정시에 넣었던 값을 기입한 후에 "OK" 버튼을 클릭합니다.
인증서가 재대로 배포되지 않았다면, 아래의 전화서비스가 X 표시가 되었을 것입니다.
중요한 사항
여기서 반드시 짚고 넘어가야 할 것이 있습니다. 시스코 전화기와 DX 시리즈와 같은 하드웨어 단말은 ITL (초기 인증서 목록, Initial Trust List)을 지원합니다. CTL 없는 상황에서도 CUCM과 전화기간의 신뢰가능하다는 의미입니다. 즉, 시스코 전화기와 DX 시리즈는 CUCM을 Mixed Mode로 전환하여 CTL을 생성하지 않아도 인증서를 설치할 수 있습니다.
시스코 재버는 ITL을 지원하지 않으므로 인증서 생성할 수도 없고, CAPF에 등록할 수도 없습니다. 시스코 재버는 다음편에서 다루는 CUCM을 Mixed Mode로 전환해야만 인증서 생성이 가능합니다.
이부분을 보지도 않고 안된다고 하면 할말없습니다.
마치며
지금까지는 인증서를 배포한 것입니다. 배포의 목적은 TLS / SRTP 를 이용한 음성 / 영상 통화를 위한 것입니다. 다음에는 CUCM을 Mixed Mode로 전환하여 통화를 시도해 보겠습니다.
라인하트 유씨누스 (CCIEV #18487) ______________________________________________________
ucwana@gmail.com (라인하트의 구글 이메일)
http://twitter.com/nexpertnet (넥스퍼트 블로그의 트위터, 최신 업데이트 정보 및 공지 사항)
http://groups.google.com/group/cciev (시스코 UC를 공부하는 사람들이 모인 구글 구룹스)
http://groups.google.com/group/ucforum (UC를 공부하는 사람들이 모인 구글 구룹스)
세상을 이롭게 하는 기술을 지향합니다. _____________________________________________________
