Para habilitar o modelo de controle de acesso de autenticação, autorização e contabilidade (AAA), use o aaa new-model comando no modo de configuração global. Para desativar o modelo de controle de acesso AAA, use o no forma deste comando.

aaa novo modelo

não aaa novo modelo

Este comando não tem argumentos ou palavras-chave.

Padrão de comando: O AAA não está habilitado.

Modo de comando: Configuração global (configuração)

Diretrizes de uso: Este comando habilita o sistema de controle de acesso AAA.

Para definir a autenticação, a autorização e a autenticação contábil (AAA) no logon, use o aaa login de autenticação comando no modo de configuração global. Para desativar a autenticação AAA, use o no forma deste comando.

login de autenticação aaa { default | list-name } method1 [ method2...]

nãologin de autenticação aaa {padrão |nome da lista } método1 [método2...]

Padrão de comando: A autenticação AAA no logon está desativada.

Modo de comando: Configuração global (configuração)

Diretrizes de uso: Se o padrão A palavra-chave não está definida, apenas o banco de dados do usuário local está marcado. Isso tem o mesmo efeito que o seguinte comando:

aaa authentication login default local

No console, o logon terá sucesso sem nenhuma verificação de autenticação se padrão A palavra-chave não está definida.

Os nomes de lista padrão e opcional que você cria com o aaa login de autenticação comando são usados com o autenticação de logon comando.

Crie uma lista inserindo o aaa login de autenticação comando de método list-name para um protocolo específico. O argumento list-name é a sequência de caracteres usada para nomear a lista de métodos de autenticação ativada quando um usuário faz logon. O argumento do método identifica a lista de métodos que o algoritmo de autenticação tenta, em determinada sequência. A seção "Métodos de autenticação que não podem ser usados para o Argumento de nome de lista" lista os métodos de autenticação que não podem ser usados para o argumento de nome de lista e a tabela abaixo descreve as palavras-chave do método.

Para criar uma lista padrão que será usada se nenhuma lista for atribuída a uma linha, use o autenticação de logon comando com o argumento padrão seguido pelos métodos que você deseja usar em situações padrão.

A senha é solicitada apenas uma vez para autenticar as credenciais do usuário e, em caso de erros devido a problemas de conectividade, várias tentativas são possíveis através dos métodos adicionais de autenticação. No entanto, a transição para o próximo método de autenticação acontece apenas se o método anterior retornar um erro, e não se ele falhar. Para garantir que a autenticação seja bem-sucedida mesmo se todos os métodos retornarem um erro, especifique none como o método final na linha de comando.

Se a autenticação não for especificamente definida para uma linha, o padrão será negar o acesso e nenhuma autenticação será executada. Usar o mais sistema: running-config comando para exibir listas atualmente configuradas de métodos de autenticação.

Métodos de autenticação que não podem ser usados para o Argumento de nome da lista

Os métodos de autenticação que não podem ser usados para o argumento list-name são os seguintes:

• auth-guest

• ativar

• convidado

• se autenticado

• se necessário

• krb5

• instância krb

• krb-telnet

• linha

• local

• nenhum

• raio

• rcmd

• tacacs

• tacacsplus

Na tabela abaixo, o raio de grupo, os métodos de tacacs +, ldap de grupo e nome de grupo de grupo se referem a um conjunto de servidores RADIUS ou TACACS+ previamente definidos. Use os comandos host de servidor de raio e tacacs para configurar os servidores de host. Use o raio do servidor de grupo aaa, ldap de servidor de grupo aaa e comandos tacacs+ de servidor de grupo aaa para criar um grupo nomeado de servidores.

A tabela abaixo descreve as palavras-chave do método.

Palavra-chave	Descrição
nome do grupo de cache	Usa um grupo de servidores de cache para autenticação.
ativar	Usa a senha de ativação para autenticação. Esta palavra-chave não pode ser usada.
grupo nome do grupo	Usa um subconjunto de servidores RADIUS ou TACACS+ para autenticação conforme definido pela aaa raio do servidor de grupo ou aaa servidor de grupo tacacs+ comando.
grupo ldap	Usa a lista de todos os servidores LDAP (Lightweight Directory Access Protocol) para autenticação.
raio de grupo	Usa a lista de todos os servidores RADIUS para autenticação.
grupo tacacs+	Usa a lista de todos os servidores TACACS+ para autenticação.
krb5	Usa Kerberos 5 para autenticação.
krb5-telnet	Usa o protocolo de autenticação Telnet Kerberos 5 ao usar o Telnet para se conectar ao roteador.
linha	Usa a senha da linha para autenticação.
local	Usa o banco de dados do nome de usuário local para autenticação.
caso local	Usa autenticação com nome de usuário local sensível a maiúsculas e minúsculas.
nenhum	Não usa autenticação.
passwd-expire	Ativa o vencimento da senha em uma lista de autenticação local.   O radius-server vsa enviar autenticação comando é necessário para fazer o passwd-expire trabalho de palavra-chave.

Para definir os parâmetros que restringem o acesso do usuário a uma rede, use o aaa autorização comando no modo de configuração global. Para remover os parâmetros, use o no forma deste comando.

aaaautorização { proxy autenticado|cache|comandosnível |comandos de configuração|configuração|console|exec|ipmobile|multicast|rede|política-se|pré-pago|proxy de raio|acesso reverso|Serviço de assinantes|modelo{}padrão|nome da lista } [método1 [método2... ]]

nãoaaaautorização { proxy autenticado|cache|comandosnível |comandos de configuração|configuração|console|exec|ipmobile|multicast|rede|política-se|pré-pago|proxy de raio|acesso reverso|Serviço de assinantes|modelo{}padrão|nome da lista } [método1 [método2... ]]

Padrão de comando: A autorização está desativada para todas as ações (equivalente à palavra-chave do método none ).

Modo de comando: Configuração global (configuração)

Diretrizes de uso: Use o comando de autorização aaa para habilitar a autorização e criar listas de métodos nomeados, que definem métodos de autorização que podem ser usados quando um usuário acessa a função especificada. As listas de métodos para autorização definem as maneiras pelas quais a autorização será executada e a sequência em que esses métodos serão executados. Uma lista de métodos é uma lista nomeada que descreve os métodos de autorização (como RADIUS ou TACACS+) que devem ser usados em sequência. As listas de métodos permitem que você designe um ou mais protocolos de segurança a serem usados para autorização, garantindo assim um sistema de backup caso o método inicial falhe. O software Cisco IOS usa o primeiro método listado para autorizar usuários para serviços de rede específicos; se esse método não responder, o software Cisco IOS seleciona o próximo método listado na lista de métodos. Esse processo continua até que haja uma comunicação bem-sucedida com um método de autorização listado ou até que todos os métodos definidos sejam esgotados.

O software Cisco IOS tenta autorização com o próximo método listado somente quando não há resposta do método anterior. Se a autorização falhar em qualquer ponto deste ciclo - o que significa que o servidor de segurança ou o banco de dados de nome de usuário local responde negando os serviços do usuário - o processo de autorização para e nenhum outro método de autorização são tentados.

Se o comando aaa authorization de um tipo específico de autorização for emitido sem uma lista de métodos nomeados especificada, a lista de métodos padrão será automaticamente aplicada a todas as interfaces ou linhas (onde esse tipo de autorização se aplica), exceto aquelas que tenham uma lista de métodos nomeados explicitamente definida. (Uma lista de métodos definida substitui a lista de métodos padrão.) Se nenhuma lista de métodos padrão for definida, nenhuma autorização ocorrerá. A lista de métodos de autorização padrão deve ser usada para executar a autorização de saída, como autorizar o download de pools IP do servidor RADIUS.

Use o comando aaa authorization para criar uma lista inserindo os valores para o list-name e os argumentos do método, onde list-name é qualquer cadeia de caracteres usada para nomear esta lista (excluindo todos os nomes de método) e o método identifica a lista de métodos de autorização tentados na sequência especificada.

O comando de autorização aaa suporta 13 listas de métodos separadas. Por exemplo:

aaa rádio do grupo methodlist1 da configuração de autorização

aaa configuração de autorização methodlist2 raio do grupo

...

aaa authorization configuration methodlist13 group radius

Na tabela abaixo, o nome do grupo, o ldap do grupo, o raio do grupo e os métodos do tacacs + do grupo se referem a um conjunto de servidores RADIUS ou TACACS+ previamente definidos. Use os comandos host de servidor de raio e tacacs para configurar os servidores de host. Use o raio do servidor de grupo aaa, ldap de servidor de grupo aaa e comandos tacacs+ de servidor de grupo aaa para criar um grupo nomeado de servidores.

O software Cisco IOS suporta os seguintes métodos de autorização:

• Grupos de servidores de cache - O roteador consulta seus grupos de servidores de cache para autorizar direitos específicos para os usuários.

• Se autenticado --O usuário tem permissão para acessar a função solicitada, desde que tenha sido autenticado com êxito.

• Local --O roteador ou servidor de acesso consulta seu banco de dados local, conforme definido pelo comando username, para autorizar direitos específicos para os usuários. Apenas um conjunto limitado de funções pode ser controlado através do banco de dados local.

• Nenhum --O servidor de acesso à rede não solicita informações de autorização; a autorização não é executada por esta linha ou interface.

• RADIUS --O servidor de acesso à rede solicita informações de autorização do grupo de servidores de segurança RADIUS. A autorização RADIUS define direitos específicos para os usuários associando atributos, que são armazenados em um banco de dados no servidor RADIUS, com o usuário apropriado.

• TACACS+ --O servidor de acesso à rede troca informações de autorização com o daemon de segurança TACACS+. A autorização TACACS+ define direitos específicos para os usuários associando pares de atributo-valor (AV), que são armazenados em um banco de dados no servidor de segurança TACACS+, com o usuário apropriado.

Para permitir conexões entre tipos específicos de endpoints em uma rede VoIP, use o conexões de permissão comando no modo de configuração do serviço de voz. Para recusar tipos específicos de conexões, use o no forma deste comando.

permitir-conexões do tipo ao ao tipo

não permitir-conexões do tipo a ao tipo

Padrão de comando: As conexões SIP para SIP são desativadas por padrão.

Modo de comando: Configuração do serviço de voz (config-voi-serv)

Diretrizes de uso: Esse comando é usado para permitir conexões entre tipos específicos de endpoints em um gateway IP para IP multiserviço da Cisco. O comando é ativado por padrão e não pode ser alterado.

Para permitir a inserção de '#' em qualquer lugar no registro de voz dn, use o allow-hash-in-dn comando no modo de registro de voz global. Para desativar isso, use o no forma deste comando.

permitir-hash-in-dn

sem permissão-hash-in-dn

Padrão de comando: O comando está desativado por padrão.

Modo de comando: configuração global de registro de voz (config-register-global)

Diretrizes de uso: Antes de este comando ser introduzido, os caracteres suportados no registro de voz dn eram 0-9, +, e *. O novo comando é habilitado sempre que o usuário exigir a inserção de # no registro de voz dn. O comando está desativado por padrão. Você pode configurar esse comando apenas nos modos Cisco Unified SRST e Cisco Unified E-SRST. O caractere # pode ser inserido em qualquer lugar no registro de voz dn. Quando este comando é ativado, os usuários são obrigados a alterar o caractere de terminação padrão (#) para outro caractere válido usando terminal de dial-peer comando no modo de configuração.

Para inserir o modo de configuração do aplicativo de redundância, use o redundância do aplicativo comando no modo de configuração de redundância.

redundância de aplicativo

Este comando não tem argumentos ou palavras-chave.

Padrão de comando: Nenhum(a)

Modo de comando: Configuração de redundância (vermelho de configuração)

Diretrizes de uso: Use este recurso redundância do aplicativo comando para configurar a redundância do aplicativo para alta disponibilidade.

Para definir o gateway padrão para um aplicativo, use o app-default-gateway comando no modo de configuração de hospedagem de aplicativos. Para remover a gatway padrão, use o no forma deste comando.

app-default-gateway [ ip-address guest-interface network-interface-number ]

no app-default-gateway [ ip-address guest-interface network-interface-number ]

Padrão de comando: O gateway padrão não está configurado.

Modo de comando: Configuração de hospedagem de aplicativos (config-app-hosting)

Diretrizes de uso: Usar o app-default-gateway comando para definir o gateway padrão para um aplicativo. Os conectores de gateway são aplicativos instalados no contêiner Cisco IOS XE GuestShell.

Para configurar um aplicativo e entrar no modo de configuração de hospedagem de aplicativos, use o app-hosting appid comando no modo de configuração global. Para remover o aplicativo, use o no forma deste comando.

app-hosting appid nome do aplicativo

Padrão de comando: Nenhum aplicativo está configurado.

Modo de comando: Configuração global (configuração)

Diretrizes de uso: O argumento do nome do aplicativo pode ter até 32 caracteres alfanuméricos.

Você pode atualizar a configuração de hospedagem do aplicativo depois de configurar este comando.

Para substituir o perfil de recurso fornecido pelo aplicativo, use o app-resoure profile comando no modo de configuração de hospedagem de aplicativos. Para reverter para o perfil de recurso especificado pelo aplicativo, use o no forma deste comando.

app-resoure profile profile-name

no app-resoure profile profile-name

Padrão de comando: O perfil do recurso está configurado.

Modo de comando: Configuração de hospedagem de aplicativos (config-app-hosting)

Diretrizes de uso: Os recursos reservados especificados no pacote de aplicativos podem ser alterados definindo um perfil de recurso personalizado. Somente os recursos de CPU, memória e CPU virtual (vCPU) podem ser alterados. Para que as alterações de recurso tenham efeito, pare e desative o aplicativo, em seguida, ative e inicie-o novamente.

Apenas o perfil personalizado é suportado.

O comando configura o perfil de recurso de aplicativo personalizado e insere o modo de configuração de perfil de recurso de aplicativo personalizado.

Para configurar um gateway de interface de rede virtual para um aplicativo, use o app-vnic gateway comando no modo de configuração de hospedagem de aplicativos. Para remover a configuração, use o no forma deste comando.

Esse comando é suportado apenas em plataformas de roteamento. Ele não é suportado em plataformas de comutação.

gateway app-vnic virtualportgroup number guest-interface network-interface-number

no app-vnic gateway virtualportgroup number guest-interface network-interface-number

Padrão de comando: O gateway de rede virtual não está configurado.

Modo de comando: Configuração de hospedagem de aplicativos (config-app-hosting)

Diretrizes de uso: Depois de configurar o gateway de interface de rede virtual para um aplicativo, o modo de comando muda para o modo de configuração de gateway de hospedagem de aplicativos. Neste modo, você pode configurar o endereço IP da interface do convidado.

Para ativar o suporte para o cabeçalho de ID declarado nas solicitações ou mensagens de resposta do Protocolo de Iniciação de Sessão (SIP) recebidas e para enviar as informações de privacidade da ID declarada nas solicitações ou mensagens de resposta SIP de saída, use o asserted-id comando no modo de configuração VoIP-SIP do serviço de voz ou no modo de configuração do locatário da classe de voz. Para desativar o suporte para o cabeçalho de ID reivindicado, use o no forma deste comando.

sistema asserted-id { pai | ppi }

sistema asserted-id { pai | ppi }

Padrão de comando: As informações de privacidade são enviadas usando o cabeçalho Remote-Party-ID (RPID) ou o cabeçalho FROM.

Modo de comando: Configuração do locatário do serviço de voz VoIP-SIP (conf-serv-sip) e configuração do locatário da classe de voz (config-class)

Diretrizes de uso: Se você escolher o pai palavra-chave ou o -ppi . palavra-chave, o gateway constrói o cabeçalho PAI ou o cabeçalho PPI, respectivamente, na pilha SIP comum. O pai palavra-chave ou o -ppi . a palavra-chave tem a prioridade sobre o cabeçalho RPID (Remote-Party-ID) e remove o cabeçalho RPID da mensagem de saída, mesmo que o roteador esteja configurado para usar o cabeçalho RPID no nível global.

Para configurar o suporte de carga assimétrica do Protocolo de Iniciação de Sessão (SIP), use o carga assimétrica comando no modo de configuração SIP ou no modo de configuração do locatário de classe de voz. Para desativar o suporte de carga assimétrica, use o no forma deste comando.

assimétrica carga útil { dtmf |codecs dinâmicos |cheio |sistema }

nãoassimétricocarga útil { dtmf |codecs dinâmicos |cheio |sistema }

Padrão de comando: Este comando está desativado.

Modo de comando: Configuração SIP do serviço de voz (conf-serv-sip), configuração do locatário da classe de voz (config-class)

Diretrizes de uso: Insira o modo de configuração SIP do modo de configuração do serviço de voz, conforme mostrado no exemplo.

Para o Cisco UBE, o tipo de carga assimétrica SIP é suportado para codecs de áudio/vídeo, DTMF e NSE. Portanto, dtmf e codecs dinâmicos palavras-chave são mapeadas internamente para o full palavra-chave para fornecer suporte de tipo de carga assimétrica para codecs de áudio/vídeo, DTMF e NSE.

Para habilitar a autenticação de resumo SIP em um par de discagem individual, use o autenticação comando no modo de configuração de voz do colega de discagem. Para desativar a autenticação de resumo SIP, use o no forma deste comando.

autenticaçãonome de usuárionome de usuáriosenha { 0|6|7 } senha [reinoreino|desafio|tudo ]

nãoautenticaçãonome de usuárionome de usuáriosenha { 0|6|7 } senha [reinoreino|desafio|tudo ]

Padrão de comando: A autenticação de resumo SIP está desativada.

Modo de comando: Configuração de voz do colega de discagem (config-dial-peer)

Diretrizes de uso: As seguintes regras de configuração são aplicáveis ao ativar a autenticação Digest:

• Apenas um nome de usuário pode ser configurado por par de discagem. Qualquer configuração de nome de usuário existente deve ser removida antes de configurar um nome de usuário diferente.

• Um máximo de cinco senha ou realm os argumentos podem ser configurados para qualquer nome de usuário.

O nome de usuário e senha argumentos são usados para autenticar um usuário. Um servidor/proxy autenticador que emite uma resposta de desafio 407/401 inclui um domínio na resposta de desafio e o usuário fornece credenciais que são válidas para esse domínio. Como se assume que um máximo de cinco servidores proxy no caminho de sinalização pode tentar autenticar uma determinada solicitação de um cliente de agente de usuário (UAC) para um servidor de agente de usuário (UAS), um usuário pode configurar até cinco combinações de senha e domínio para um nome de usuário configurado.

O usuário fornece a senha em texto simples, mas é criptografado e salvo para resposta de desafio 401. Se a senha não for salva de forma criptografada, uma senha lixo eletrônico será enviada e a autenticação falhará.

• A especificação do reino é opcional. Se omitida, a senha configurada para esse nome de usuário se aplica a todos os reinos que tentam se autenticar.

• Apenas uma senha pode ser configurada por vez para todos os reinos configurados. Se uma nova senha estiver configurada, ela substituirá qualquer senha configurada anteriormente.

Isso significa que apenas uma senha global (uma sem um domínio especificado) pode ser configurada. Se você configurar uma nova senha sem configurar um domínio correspondente, a nova senha substituirá a anterior.

• Se um domínio for configurado para um nome de usuário e senha previamente configurados, essa especificação será adicionada à configuração de nome de usuário e senha existente. No entanto, uma vez que um domínio é adicionado a uma configuração de nome de usuário e senha, essa combinação de nome de usuário e senha é válida apenas para esse domínio. Um domínio configurado não pode ser removido de uma configuração de nome de usuário e senha sem primeiro remover toda a configuração desse nome de usuário e senha - você pode então reconfigurar essa combinação de nome de usuário e senha com ou sem um domínio diferente.

• Em uma entrada com uma senha e um domínio, você pode alterar a senha ou o domínio.

• Usar o nenhuma autenticação comando para remover todas as entradas de autenticação do usuário.

É obrigatório especificar o tipo de criptografia para a senha. Se uma senha de texto clara (digite <UNK> 0 <UNK> ) está configurado, está criptografado como tipo <UNK> 6 <UNK> antes de salvá-la na configuração em execução.

Se você especificar o tipo de criptografia como <UNK> 6 <UNK> ou <UNK> 7 <UNK> , a senha inserida é selecionada em um tipo válido <UNK> 6 <UNK> ou <UNK> 7 <UNK> formato de senha e salvo como tipo <UNK> 6 <UNK> ou <UNK> 7 <UNK> respectivamente.

As senhas do tipo 6 são criptografadas usando a cifra AES e uma chave primária definida pelo usuário. Essas senhas são comparativamente mais seguras. A chave primária nunca é exibida na configuração. Sem o conhecimento da chave primária, digite <UNK> 6 <UNK> senhas são inutilizáveis. Se a chave primária for modificada, a senha salva como tipo 6 será criptografada novamente com a nova chave primária. Se a configuração da chave primária for removida, o tipo <UNK> 6 <UNK> senhas não podem ser descriptografadas, o que pode resultar na falha de autenticação de chamadas e registros.

Ao fazer backup de uma configuração ou migrar a configuração para outro dispositivo, a chave primária não é descartada. Portanto, a chave primária deve ser configurada novamente manualmente.

Para configurar uma chave pré-compartilhada criptografada, consulte Configurando uma chave pré-compartilhada criptografada .

A seguinte mensagem de aviso é exibida quando o tipo de criptografia <UNK> 7 <UNK> está configurado. Aviso: O comando foi adicionado à configuração usando uma senha tipo 7. No entanto, as senhas do tipo 7 serão descontinuadas em breve. Migre para um tipo de senha compatível 6.

Para vincular o endereço de origem dos pacotes de sinalização e mídia ao endereço IPv4 ou IPv6 de uma interface específica, use o bind comando no modo de configuração SIP. Para desativar a vinculação, use o no forma deste comando.

vincular { controle|mídia|tudo } interface de origemID da interface { endereço ipv4endereço ipv4|endereço ipv6endereço ipv6 }

nãovincular { controle|mídia|tudo } interface de origemID da interface { endereço ipv4endereço ipv4|endereço ipv6endereço ipv6 }

Padrão de comando: A vinculação está desativada.

Modo de comando: Configuração SIP (conf-serv-sip) e locatário de classe de voz.

Diretrizes de uso: Async, Ethernet, FastEthernet, Loopback e Serial (incluindo o retransmissão de quadros) são interfaces no aplicativo SIP.

Se o bind o comando não está ativado, a camada IPv4 ainda fornece o melhor endereço local.

Para ativar as configurações básicas do Call-Home, use o relatório de chamada de casa comando no modo de configuração global.

relatórios de chamada para casa { anônimo |contato-e-mail-addr } [ http-proxy { endereço ipv4 |endereço ipv6 |nome } porta número da porta ]

Padrão de comando: Nenhum comportamento ou valores padrão

Modo de comando: Configuração global (configuração)

Diretrizes de uso: Depois de ativar com êxito o Call-Home no modo de registro anônimo ou completo usando o relatório de chamada de casa comando, uma mensagem de inventário é enviada. Se Call-Home estiver ativado no modo de registro completo, uma mensagem de inventário completa para o modo de registro completo será enviada. Se Call-Home estiver ativado no modo anônimo, uma mensagem de inventário anônimo será enviada. Para obter mais informações sobre os detalhes da mensagem, consulte Eventos e comandos do acionador do grupo de alertas .

Para ativar o suporte do Cisco Unified SRST e entrar no modo de configuração de fallback do gerenciador de chamadas, use o gerenciador de chamadas-fallback comando no modo de configuração global. Para desativar o suporte do Cisco Unified SRST, use o no forma deste comando.

retorno de chamada-gerente-fallback

no call-manager-fallback

Este comando não tem argumentos ou palavras-chave.

Padrão de comando: Nenhum comportamento ou valores padrão.

Modo de comando: Configuração global

Para habilitar a validação de identidade de servidor, cliente ou bidirecional de um certificado de colega durante o handshake TLS, use o comando cn-san validar no modo de configuração de perfil tls de classe de voz. Para desativar a validação de identidade do certificado, use no forma deste comando.

cn-sanvalidar { servidor|cliente|bidirecional }

nãocn-sanvalidar { servidor|cliente|bidirecional }

Padrão de comando: A validação da identidade está desativada.

Modo de comando: Configuração de classe de voz (config-class)

Diretrizes de uso: A validação da identidade do servidor está associada a uma conexão de sinalização segura por meio do global Sinalização de criptografia e classe de voz tls-profile configurações.

O comando foi aprimorado para incluir o cliente e bidirecional Palavras-chave. A opção de cliente permite que um servidor valide a identidade de um cliente verificando os nomes de organizadores CN e SAN incluídos no certificado fornecido em relação a uma lista confiável de FQDNs cn-san. A conexão só será estabelecida se uma correspondência for encontrada. Esta lista de FQDNs cn-san agora também é usada para validar um certificado de servidor, além do nome do host de destino da sessão. O bidirecional a opção valida a identidade do par para conexões de cliente e servidor, combinando ambas as servidor e cliente modos. Depois de configurar cn-san validar , a identidade do certificado de colega é validada para cada nova conexão TLS.

Para configurar uma lista de nome de domínio totalmente qualificado (FQDN) para validar em relação ao certificado de colega para conexões TLS de entrada ou de saída, use o cn-san comando no modo de configuração de perfil tls de classe de voz. Para excluir a entrada de validação do certificado cn-san, use o no forma deste comando.

cn-san {1-10} fqdn

No cn-san {1-10} fqdn

Padrão de comando: Nenhum nome cn-san está configurado.

Modo de comando: Modo de configuração de perfil tls de classe de voz (config-class)

Diretrizes de uso: O FQDN usado para validação de certificado de colega é atribuído a um perfil TLS com até dez cn-san entradas. Pelo menos uma dessas entradas deve ser correspondida a um FQDN em qualquer um dos campos de nome comum (CN) ou nome alternativo (SAN) do certificado antes que uma conexão TLS seja estabelecida. Para corresponder a qualquer host de domínio usado em um campo CN ou SAN, um cn-san a entrada pode ser configurada com um curinga de domínio, estritamente no formato *.domínio-nome (por exemplo *.cisco.com). Nenhum outro uso de curingas é permitido.

Para conexões de entrada, a lista é usada para validar os campos CN e SAN no certificado do cliente. Para conexões de saída, a lista é usada juntamente com o nome do host de destino da sessão para validar os campos CN e SAN no certificado do servidor.

Os certificados do servidor também podem ser verificados correspondendo ao FQDN de destino da sessão SIP a um campo CN ou SAN.

Para especificar uma lista de codecs preferidos para usar em um par de discagem, use o codec preference comando no modo de configuração da classe de voz. Para desativar essa funcionalidade, use o no forma deste comando.

codec preference value codec type

no codec preference value codec type

Padrão de comando: Se este comando não for inserido, nenhum tipo específico de codecs será identificado com preferência.

Modo de comando: configuração de classe de voz (config-class)

Diretrizes de uso: Os roteadores em extremidades opostas da WAN podem ter que negociar a seleção de codec para os pares de discagem da rede. O codec preference comando especifica a ordem de preferência para selecionar um codec negociado para a conexão. A tabela abaixo descreve as opções de carga de voz e os valores padrão para os codecs e os protocolos de voz do pacote.

Para usar a porta global do ouvinte para enviar solicitações por UDP, use o reutilização da conexão comando no modo sip-ua ou no modo de configuração do locatário de classe de voz. Para desativar, use no forma deste comando.

reutilização da conexão { via-port | system }

não reutilização da conexão { via-port | system }

Padrão de comando: O Gateway local usa uma porta UDP efêmera para enviar solicitações por UDP.

Modos de comando: Configuração do SIP UA (config-sip-ua), configuração do locatário de classe de voz (config-class)

Diretrizes de uso: A execução desse comando permite usar a porta do ouvinte para enviar solicitações por UDP. A porta padrão do ouvinte para SIP não seguro regular é 5060 e o SIP seguro é 5061. Configurar comando de porta de escuta [| não seguro] porta no modo de configuração de serviço de voz > sip para alterar a porta UDP global.

Para alterar a cota ou a unidade da CPU alocada para um aplicativo, use o cpu comando no modo de configuração de perfil de recursos de aplicativos personalizados. Para reverter para a cota de CPU fornecida pelo aplicativo, use o no forma deste comando.

unidade cpu

No cpu unidade

Padrão de comando: A CPU padrão depende da plataforma.

Modo de comando: Configuração de perfil de recurso de aplicativo personalizado (config-app-resource-profile-custom)

Diretrizes de uso: Uma unidade de CPU é a alocação mínima de CPU pelo aplicativo. O total de unidades de CPU é baseado em unidades de CPU normalizadas medidas para o dispositivo de destino.

Dentro de cada pacote de aplicativos, um perfil de recurso específico do aplicativo é fornecido que define a carga recomendada da CPU, o tamanho da memória e o número de CPUs virtuais (vCPUs) necessários para o aplicativo. Use este comando para alterar a alocação de recursos para processos específicos no perfil de recursos personalizados.

Os recursos reservados especificados no pacote de aplicativos podem ser alterados definindo um perfil de recurso personalizado. Somente os recursos de CPU, memória e vCPU podem ser alterados. Para que as alterações de recurso tenham efeito, pare e desative o aplicativo, em seguida, ative-o e inicie-o novamente.

Os valores de recursos são específicos de aplicativos e qualquer ajuste a esses valores deve garantir que o aplicativo possa ser executado de forma confiável com as alterações.

Para configurar um gateway multiplexação de divisão de tempo (TDM) do Cisco IOS Session Initiation Protocol (SIP), um Cisco Unified Border Element (Cisco UBE) ou Cisco Unified Communications Manager Express (Cisco Unified CME) para enviar uma mensagem de registro SIP quando estiver no estado UP, use o credenciais comando no modo de configuração SIP UA ou no modo de configuração do locatário de classe de voz. Para desativar as credenciais de resumo SIP, use o no forma deste comando.

credenciais { dhcp|númeronúmeronome de usuárionome de usuário } senha { 0|6|7 } senhareinoreino

nãocredenciais { dhcp|númeronúmeronome de usuárionome de usuário } senha { 0|6|7 } senhareinoreino

Padrão de comando: As credenciais de resumo SIP estão desativadas.

Modo de comando: Configuração do SIP UA (config-sip-ua) e configuração do locatário da classe de voz (config-class).

Diretrizes de uso: As seguintes regras de configuração são aplicáveis quando as credenciais são ativadas:

• Apenas uma senha é válida para todos os nomes de domínio. Uma nova senha configurada substitui qualquer senha configurada anteriormente.

• A senha sempre será exibida no formato criptografado quando o credenciais comando configurado e o show configuração de execução comando é usado.

O dhcp palavra-chave no comando significa que o número primário é obtido via DHCP e o gateway SIP TDM do Cisco IOS, Cisco UBE ou Cisco Unified CME no qual o comando está habilitado usa esse número para registrar ou cancelar o registro do número primário recebido.

É obrigatório especificar o tipo de criptografia para a senha. Se uma senha de texto clara (digite <UNK> 0 <UNK> ) está configurado, está criptografado como tipo <UNK> 6 <UNK> antes de salvá-la na configuração em execução.

Se você especificar o tipo de criptografia como <UNK> 6 <UNK> ou <UNK> 7 <UNK> , a senha inserida é selecionada em um tipo válido <UNK> 6 <UNK> ou <UNK> 7 <UNK> formato de senha e salvo como tipo <UNK> 6 <UNK> ou <UNK> 7 <UNK> respectivamente.

As senhas do tipo 6 são criptografadas usando a cifra AES e uma chave primária definida pelo usuário. Essas senhas são comparativamente mais seguras. A chave primária nunca é exibida na configuração. Sem o conhecimento da chave primária, digite <UNK> 6 <UNK> senhas são inutilizáveis. Se a chave primária for modificada, a senha salva como tipo 6 será criptografada novamente com a nova chave primária. Se a configuração da chave primária for removida, o tipo <UNK> 6 <UNK> senhas não podem ser descriptografadas, o que pode resultar na falha de autenticação de chamadas e registros.

Ao fazer backup de uma configuração ou migrar a configuração para outro dispositivo, a chave primária não é descartada. Portanto, a chave primária deve ser configurada novamente manualmente.

Para configurar uma chave pré-compartilhada criptografada, consulte Configurando uma chave pré-compartilhada criptografada .

Aviso: O comando foi adicionado à configuração usando uma senha tipo 7. No entanto, as senhas do tipo 7 serão descontinuadas em breve. Migre para um tipo de senha compatível 6.

No YANG, você não pode configurar o mesmo nome de usuário em dois reinos diferentes.

Para especificar a preferência por um conjunto de codificação SRTP que será oferecido pelo Cisco Unified Border Element (CUBE) no SDP em oferta e resposta, use o criptografia comando no modo de configuração da classe de voz. Para desativar essa funcionalidade, use o no forma deste comando.

conjunto de criptografia preference cipher

No crypto preference conjunto de cifras

Padrão de comando: Se este comando não estiver configurado, o comportamento padrão é oferecer os pacotes de codificação srtp na seguinte ordem de preferência:

• AEAD <UNK> _ <UNK> AES <UNK> _ <UNK> 256 <UNK> _ <UNK> GCM

• AEAD <UNK> _ <UNK> AES <UNK> _ <UNK> 128 <UNK> _ <UNK> GCM

• AES_CM_128_HMAC_SHA1_80

• AES <UNK> _ <UNK> CM <UNK> _ <UNK> 128 <UNK> _ <UNK> HMAC <UNK> _ <UNK> SHA1 <UNK> _ <UNK> 32

Modo de comando: criptografia srtp de classe de voz (classe de configuração)

Diretrizes de uso: Se você alterar a preferência de um conjunto de codificação já configurado, a preferência será substituída.

Para gerar pares de chaves Rivest, Shamir e Adelman (RSA), use o chave de criptografia gerar rsa comando no modo de configuração global.

chave de criptografia gerar rsa [ { teclas gerais |teclas de uso |assinatura |criptografia [] [ rótulo rótulo de chave [ exportável [ módulo tamanho do módulo [ armazenamento devicename : [ redundânciaem devicename : ]

Padrão de comando: Os pares de chaves RSA não existem.

Modo de comando: Configuração global (configuração)

Diretrizes de uso: Usar o chave de criptografia gerar rsa comando para gerar pares de chaves RSA para seu dispositivo Cisco (como um roteador).

As chaves RSA são geradas em pares: uma chave RSA pública e uma chave RSA privada.

Se o roteador já tiver chaves RSA quando você emitir este comando, você será avisado e solicitado a substituir as chaves existentes por novas chaves.

O chave de criptografia gerar rsa command is not saved in the router configuration; however, the RSA keys generated by this command are saved in the private configuration in NVRAM (which is never displayed to the user or backup up to another device) the next time the configuration is written to NVRAM.

• Chaves de uso especial : Se você gerar chaves de uso especial, dois pares de chaves RSA serão gerados. Um par será usado com qualquer política do Internet Key Exchange (IKE) que especifique assinaturas RSA como o método de autenticação e o outro par será usado com qualquer política IKE que especifique chaves criptografadas RSA como o método de autenticação.

  Uma autoridade de certificação é usada apenas com políticas IKE especificando assinaturas RSA, e não com políticas IKE especificando nonces criptografados por RSA. (No entanto, você pode especificar mais de uma política IKE e ter assinaturas RSA especificadas em uma política e non-ces criptografados por RSA em outra política.)

  Se você planeja ter ambos os tipos de métodos de autenticação RSA em suas políticas IKE, você pode preferir gerar chaves de uso especial. Com chaves de uso especial, cada tecla não é desnecessariamente exposta. (Sem chaves de uso especial, uma chave é usada para ambos os métodos de autenticação, aumentando a exposição dessa chave).

• Chaves de uso geral : Se você gerar chaves de propósito geral, apenas um par de chaves RSA será gerado. Esse par será usado com políticas IKE especificando assinaturas RSA ou chaves criptografadas RSA. Portanto, um par de chaves de uso geral pode ser usado com mais frequência do que um par de chaves de uso especial.

• Pares-chave nomeados : Se você gerar um par de chaves nomeado usando o argumento de etiqueta de chave, você também deverá especificar o teclas de uso palavra-chave ou o teclas gerais palavra-chave. Os pares de chaves nomeados permitem que você tenha vários pares de chaves RSA, permitindo que o software Cisco IOS mantenha um par de chaves diferente para cada certificado de identidade.

• Comprimento do módulo : Quando você gerar chaves RSA, você será solicitado a inserir um comprimento de módulo. Quanto mais tempo o módulo, mais forte a segurança. No entanto, um módulo mais longo leva mais tempo para ser gerado (veja a tabela abaixo para os tempos de amostra) e leva mais tempo para ser usado.

  Tabela 2. Exemplo de vezes por comprimento do módulo para gerar teclas RSA

  Roteador	360 bits	512 bits	1024 bits	2048 bits (máximo)
  Cisco 2500	11 segundos	20 segundos	4 minutos, 38 segundos	Mais de 1 hora
  Cisco 4700	Menos de 1 segundo	1 segundo	4 segundos	50 segundos

  O software Cisco IOS não é compatível com um módulo maior que 4096 bits. Um comprimento de menos de 512 bits normalmente não é recomendado. Em determinadas situações, o módulo mais curto pode não funcionar corretamente com o IKE, então recomendamos o uso de um módulo mínimo de 2048 bits.

  Limitações adicionais podem ser aplicadas quando as chaves RSA são geradas por hardware criptográfico. Por exemplo, quando as chaves RSA são geradas pelo adaptador de porta dos serviços VPN (VSPA) da Cisco, o módulo de chave RSA deve ser um mínimo de 384 bits e deve ser um múltiplo de 64.

• Especificando um local de armazenamento para chaves RSA: Quando você emite o chave de criptografia gerar rsa comando com o armazenamento devicename : palavra-chave e argumento, as teclas RSA serão armazenadas no dispositivo especificado. Este local substituirá qualquer armazenamento de chave de criptografia configurações do comando.

• Especificando um dispositivo para geração de chave RSA : Você pode especificar o dispositivo onde as chaves RSA são geradas. Os dispositivos suportados incluem NVRAM, discos locais e tokens USB. Se o roteador tiver um token USB configurado e disponível, o token USB poderá ser usado como dispositivo criptográfico além de um dispositivo de armazenamento. O uso de um token USB como um dispositivo criptográfico permite que operações de RSA, como geração de chaves, assinatura e autenticação de credenciais sejam executadas no token. A chave privada nunca deixa o token USB e não é exportável. A chave pública é exportável.

  As chaves RSA podem ser geradas em um token USB configurado e disponível, pelo uso do on devicename : palavra-chave e argumento. As chaves que residem em um token USB são salvas no armazenamento de token persistente quando são geradas. O número de chaves que podem ser geradas em um token USB é limitado pelo espaço disponível. Se você tentar gerar chaves em um token USB e estiver cheio, você receberá a seguinte mensagem:

  % Error in generating keys:no available resources 

  A exclusão de chave removerá imediatamente as chaves armazenadas no token do armazenamento persistente. (As teclas que não residem em um token são salvas ou excluídas dos locais de armazenamento não token quando o copy ou comando semelhante é emitido).

• Especificando a geração de redundância de chave RSA em um dispositivo : Você pode especificar redundância para chaves existentes apenas se elas forem exportáveis.

Para autenticar a autoridade de certificação (CA) (obtendo o certificado da CA), use o crypto pki authenticate comando no modo de configuração global.

crypto pki authentic nome

Padrão de comando: Nenhum comportamento ou valores padrão.

Modo de comando: Configuração global (configuração)

Diretrizes de uso: Esse comando é necessário quando você configura inicialmente o suporte de CA no seu roteador.

Esse comando autentica a autoridade de certificação ao seu roteador obtendo o certificado autoassinado da autoridade de certificação que contém a chave pública da autoridade de certificação. Como a CA assina seu próprio certificado, você deve autenticar manualmente a chave pública da CA entrando em contato com o administrador da CA ao inserir este comando.

Se você estiver usando o modo de Anúncios do roteador (RA) (usando o inscrição comando) quando você emite o criptografia pki autenticar comando, em seguida, a assinatura de autoridade de registro e os certificados de criptografia serão retornados do CA e do certificado de CA.

Este comando não é salvo na configuração do roteador. No entanto, as chaves públicas incorporadas nos certificados de CA (e RA) recebidos são salvas para a configuração como parte do registro de chave pública Rivest, Shamir e Adelman (RSA) (chamado de "cadeia de chaves pública RSA").

Se a autoridade de certificação não responder por um período de tempo esgotado depois que este comando for emitido, o controle do terminal será retornado para que ele permaneça disponível. Se isso acontecer, você deve entrar novamente no comando. O software Cisco IOS não reconhecerá as datas de expiração do certificado CA definidas para além do ano de 2049. Se o período de validade do certificado CA estiver definido para expirar após o ano de 2049, a seguinte mensagem de erro será exibida quando a autenticação com o servidor CA for tentada: Erro ao recuperar o certificado:cadeia incompleta Se você receber uma mensagem de erro semelhante a esta, verifique a data de expiração do seu certificado CA. Se a data de vencimento do seu certificado de CA for definida após o ano de 2049, você deverá reduzir a data de vencimento em um ano ou mais.

Para importar um certificado manualmente via TFTP ou como um corte e colar no terminal, use o crypto pki import comando no modo de configuração global.

certificado de criptografia pki import name

Padrão de comando: Nenhum comportamento ou valores padrão

Modo de comando: Configuração global (configuração)

Diretrizes de uso: Você deve inserir o Importação de pki cripto comando duas vezes se as chaves de uso (assinatura e chaves de criptografia) forem usadas. A primeira vez que o comando é inserido, um dos certificados é colado no roteador; a segunda vez que o comando é inserido, o outro certificado é colado no roteador. (Não importa qual certificado é colado primeiro.)

Para declarar o ponto de confiança que seu roteador deve usar, use o crypto pki trustpoint comando no modo de configuração global. Para excluir todas as informações de identidade e certificados associados ao trustpoint, use o no forma deste comando.

redundância de pki trustpoint name

no crypto pki trustpoint name redundância

Padrão de comando: Seu roteador não reconhece nenhum ponto confiável até que você declare um ponto confiável usando este comando. Seu roteador usa identificadores exclusivos durante a comunicação com servidores OCSP (Online Certificate Status Protocol), conforme configurado em sua rede.

Modo de comando: Configuração global (configuração)

Diretrizes de uso:

Declarando pontos de confiança

Usar o criptografia pki trustpoint comando para declarar um ponto confiável, que pode ser uma autoridade de certificação raiz (CA) autoassinada ou uma CA subordinada. Emitindo o criptografia pki trustpoint o comando o coloca no modo de configuração ca-trustpoint.

Você pode especificar características para o ponto confiável usando os seguintes subcomandos:

• crl —Consulta a lista de revogação de certificados (CRL) para garantir que o certificado do par não foi revogado.

• padrão (ca-trustpoint)—Restaura o valor dos subcomandos do modo de configuração ca-trustpoint para seus padrões.

• inscrição —Especifica parâmetros de inscrição (opcional).

• inscrição http-proxy —Acessa a CA por HTTP por meio do servidor proxy.

• inscrição selfsigned —Especifica a inscrição autoassinada (opcional).

• corresponder certificate —Associa uma lista de controle de acesso baseada em certificado (ACL) definida com o crypto ca certificado mapa comando.

• ocsp disable-nonce —Especifica que o roteador não enviará identificadores exclusivos ou não, durante as comunicações OCSP.

• primary —Atribui um ponto confiável especificado como o ponto confiável primário do roteador.

• root —Define o TFTP para obter o certificado de CA e especifica um nome para o servidor e um nome para o arquivo que armazenará o certificado de CA.

Especificando o uso de identificadores exclusivos

Ao usar o OCSP como seu método de revogação, identificadores exclusivos ou não, são enviados por padrão durante as comunicações entre pares com o servidor OCSP. O uso de identificadores exclusivos durante as comunicações do servidor OCSP permite comunicações mais seguras e confiáveis. No entanto, nem todos os servidores OCSP suportam o uso de dentaduras exclusivas, consulte seu manual OCSP para obter mais informações. Para desativar o uso de identificadores exclusivos durante as comunicações OCSP, use o ocsp desativar-nonce subcomando.

Para importar (baixar) manualmente o pacote de certificados da autoridade de certificação (CA) no pool confiável da infraestrutura de chave pública (PKI) para atualizar ou substituir o pacote de CA existente, use o crypto pki trustpool importação comando no modo de configuração global. Para remover qualquer um dos parâmetros configurados, use o no forma deste comando.

criptografiapkitrustpoolimportarlimpo [ terminal|urlurl ]

nãocriptografiapkitrustpoolimportarlimpo [ terminal|urlurl ]

Padrão de comando: O recurso de trustpool do PKI está ativado. O roteador usa o pacote de certificados CA integrado no trustpool PKI, que é atualizado automaticamente da Cisco.

Modo de comando: Configuração global (configuração)

As ameaças à segurança, bem como as tecnologias criptográficas para ajudar a proteger contra elas, estão em constante mudança. Para obter mais informações sobre as recomendações criptográficas mais recentes da Cisco, consulte o artigo técnico Next Generation Encryption (NGE).

Os certificados confiáveis PKI são atualizados automaticamente da Cisco. Quando os certificados confiáveis PKI não estiverem atuais, use o crypto pki trustpool importação comando para atualizá-los de outro local.

O url argumento especifica ou altera o sistema de arquivos URL da CA. A tabela abaixo lista os sistemas de arquivos de URL disponíveis.

Tabela 3. Sistemas De Arquivos De URL

Sistema De Arquivos	Descrição
arquivo:	Importações do sistema de arquivos de arquivo.
cns:	Importações do sistema de arquivos Cluster Namespace (CNS).
disk0:	Importações do sistema de arquivos Disc0.
disco1:	Importações do sistema de arquivos Disc1.
FTP:	Importações do sistema de arquivos FTP.
http:	Importações do sistema de arquivos HTTP. A URL deve estar nos seguintes formatos: http:// Nome:80 , onde Nome é o sistema de nome de domínio (DNS) http:// Endereço ipv4 :80. Por exemplo: http://10.10.10.1:80. http://[endereço ipv6]:80 ... Por exemplo: http://[2001:DB8:1:1::1]:80. O endereço IPv6 está na notação hexadecimal e deve ser incluído entre parênteses na URL.
https:	Importações do sistema de arquivos HTTPS. A URL deve usar os mesmos formatos que o HTTP: formatos do sistema de arquivos.
nulo:	Importações do sistema de arquivos nulo.
Nvram:	Importações do sistema de arquivos NVRAM.
pram:	Importações do sistema de arquivos de memória de acesso aleatório de parâmetros (PRAM).
rcp:	Importações do sistema de arquivos do protocolo de cópia remota (rcp).
scp:	Importações do sistema de arquivos do protocolo de cópia segura (scp).
snmp:	Importações do protocolo SNMP (Simple Network Management Protocol).
sistema:	Importações do sistema de arquivos.
tar:	Importações do sistema de arquivos UNIX tar.
tftp:	Importações do sistema de arquivos TFTP.   A URL deve estar na de: tftp:// Nome/filespecificação ...
tmpsys:	Importações do sistema de arquivos Tmpsys do Cisco IOS.
unix:	Importações do sistema de arquivos UNIX.
xmodem:	Importações do sistema de protocolo de transferência de arquivos simples xmodem.
ymodem:	Importações do sistema de protocolo de transferência de arquivos simples ymodem.

Para identificar o trustpoint trustpoint-name palavra-chave e argumento usados durante o handshake TLS (Transport Layer Security) que corresponde ao endereço do dispositivo remoto, use o Sinalização de criptografia comando no modo de configuração do agente de usuário (UA) SIP. Para redefinir para o padrão trustpoint string, use o no forma deste comando.

sinalização de criptografia { padrão|addr remoto endereço IP máscara de sub-rede } [ perfil tls etiqueta |ponto confiável nome do ponto de confiança [ cn-san-validação servidor [ cliente-vtp nome do ponto de confiança [ ecdsa-cifra |tamanho da curva 384 |cifra estrita ]

nãosinalização de criptografia { padrão|addr remoto endereço IP máscara de sub-rede } [ perfil tls etiqueta |ponto confiável nome do ponto de confiança [ cn-san-validação servidor [ cliente-vtp nome do ponto de confiança [ ecdsa-cifra |tamanho da curva 384 |cifra estrita ]

Padrão de comando: O comando de sinalização de criptografia está desativado.

Modo de comando: Configuração do SIP UA (sip-ua)

Diretrizes de uso: O trustpoint trustpoint-name palavra-chave e argumento refere-se ao certificado do CUBE gerado como parte do processo de registro usando os comandos PKI do Cisco IOS.

Quando um único certificado é configurado, ele é usado por todos os dispositivos remotos e é configurado pela padrão palavra-chave.

Quando vários certificados são usados, eles podem estar associados com os serviços remotos usando o remote addr argumento para cada ponto confiável. O remote addr e os argumentos padrão podem ser usados juntos para cobrir todos os serviços, conforme necessário.

O conjunto de codificação padrão neste caso é o seguinte conjunto compatível com a camada SSL no CUBE: TLS <UNK> _ <UNK> RSA <UNK> _ <UNK> COM <UNK> _ <UNK> RC4 <UNK> _ <UNK> 128 <UNK> _ <UNK> MD5 TLS <UNK> _ <UNK> RSA <UNK> _ <UNK> COM <UNK> _ <UNK> AES <UNK> _ <UNK> 128 <UNK> _ <UNK> CBC <UNK> _ <UNK> SHA TLS <UNK> _ <UNK> DHE <UNK> _ <UNK> RSA <UNK> _ <UNK> COM <UNK> _ <UNK> AES <UNK> _ <UNK> 128 <UNK> _ <UNK> CBC <UNK> _ <UNK> SHA1 TLS_ECDHE_RSA_COM_AES_128_GCM_SHA256 TLS <UNK> _ <UNK> ECDHE <UNK> _ <UNK> RSA <UNK> _ <UNK> COM <UNK> _ <UNK> AES <UNK> _ <UNK> 256 <UNK> _ <UNK> GCM <UNK> _ <UNK> SHA384 TLS_ECDHE_ECDSA_COM_AES_128_GCM_SHA256 TLS <UNK> _ <UNK> ECDHE <UNK> _ <UNK> ECDSA <UNK> _ <UNK> COM <UNK> _ <UNK> AES <UNK> _ <UNK> 256 <UNK> _ <UNK> GCM <UNK> _ <UNK> SHA384

A palavra-chave cn-san-validate servidor habilita a validação da identidade do servidor por meio dos campos CN e SAN no certificado ao estabelecer conexões SIP/TLS do lado do cliente. A validação dos campos CN e SAN do certificado do servidor garante que o domínio do lado do servidor seja uma entidade válida. Ao criar uma conexão segura com um servidor SIP, o CUBE valida o nome de domínio de destino da sessão configurado em relação aos campos CN/SAN no certificado do servidor antes de estabelecer uma sessão TLS. Depois de configurar cn-san-validate servidor , a validação da identidade do servidor acontece para cada nova conexão TLS.

O tls-profile opção associa as configurações de política de TLS feitas por meio do associado classe de voz tls-profile configuração. Além das opções de política TLS disponíveis diretamente com o Sinalização de criptografia comando, a tls-profile também inclui o sni enviar opção.

sni send habilita a Indicação de nome do servidor (SNI), uma extensão TLS que permite que um cliente TLS indique o nome do servidor ao qual ele está tentando se conectar durante o processo inicial de handshake TLS. Somente o nome de host DNS totalmente qualificado do servidor é enviado no hello do cliente. O SNI não suporta endereços IPv4 e IPv6 na extensão de hello do cliente. Depois de receber um "hello" com o nome do servidor do cliente TLS, o servidor usa o certificado apropriado no processo de handshake TLS subsequente. O SNI requer o TLS versão 1.2.

Os recursos da política de TLS estarão disponíveis apenas por meio de um classe de voz tls-profile configuração. O Sinalização de criptografia o comando continua a suportar as opções de criptografia TLS anteriormente existentes. Você pode usar qualquer um dos classe de voz tls-profile tag ou Sinalização de criptografia comando para configurar um ponto de confiança. Recomendamos que você use o classe de voz tls-profile tag comando para executar configurações de perfil TLS.