Cisco Cisco TelePresence Video Communication Server Expressway 관리 매뉴얼

The 

 page (

) is used to configure how the VCS retrieves authorization 

credentials (the username) from a client browser's certificate.

This configuration is required if Client certificate-based security (as defined on the 

 page) has been 

set to Certificate-based authentication. This setting means that the standard login mechanism is no longer 
available and that administrators (and FindMe accounts, if accessed via the VCS) can log in only if they 
present a valid browser certificate — typically provided via a smart card (also referred to as a Common 
Access Card or CAC) — and the certificate contains appropriate credentials that have a suitable 
authorization level.

The recommended procedure for enabling certificate-based authentication is described below:

 1.  Add the VCS's trusted CA and server certificate files (on the 

 and 

 pages, respectively).

 2.  Configure certificate revocation lists (on the 

 page).

 3.  Use the 

 page to verify that the client certificate you intend to use is valid.

 4.  Set Client certificate-based security to Certificate validation (on the 

 page).

 5.  Restart the VCS.

 6.  Use the 

 page again to set up the required regex and format patterns to extract 

the username credentials from the certificate.

 7.  Only when you are sure that the correct username is being extracted from the certificate, set Client 

certificate-based security to Certificate-based authentication.

When the VCS is operating in certificate-based authentication mode, user authentication is managed by a 
process external to the VCS.

When a user attempts to log in to the VCS, the VCS will request a certificate from the client browser. The 
browser may then interact with a card reader to obtain the certificate from the smart card (or alternatively the 
certificate may already be loaded into the browser). To release the certificate from the card/browser, the user 
will typically be requested to authenticate themselves by entering a PIN. If the client certificate received by 
the VCS is valid (signed by a trusted certificate authority, in date and not revoked by a CRL) then the user is 
deemed to be authenticated.

To determine the user's authorization level (read-write, read-only and so on) the VCS must extract the user's 
authorization username from the certificate and present it to the relevant local or remote authorization 
mechanism.

The following diagram shows an example authorization and authentication process. It shows how a 
certificate is obtained from a card reader  and then validated by the VCS. It then shows how the VCS obtains 
the user's authorization level from an Active Directory service.

Cisco TelePresence Video Communication Server Administrator Guide (X8.5.2)     

Page 334 of 567

Maintenance

About security certificates