重新生成CUCM IM/P服务自签名证书

简介

本文档介绍如何在CUCM IM/P 8.x及更高版本中重新生成证书的推荐分步过程。

先决条件

要求

思科建议您了解即时消息和在线状态(IM/P)服务证书。

使用的组件

本文档中的信息基于IM/P版本8.x及更高版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

证书存储利用率

Cisco Unified Presence(CUP)证书

用于SIP联合的安全SIP连接、用于Lync/OCS/LCS的Microsoft远程呼叫控制、Cisco Unified Certificate Manager(CUCM)和IM/P之间的安全连接等。

Cisco Unified Presence — 可扩展消息传送和在线状态协议(CUP-XMPP)证书

用于在创建XMPP会话时验证XMPP客户端的安全连接。

Cisco Unified Presence — 可扩展消息传送和在线状态协议 — 服务器到服务器(CUP-XMPP-S2S)证书

用于验证具有外部联合XMPP系统的XMPP域间联合的安全连接。

IP安全(IPSec)证书

用于：
·验证灾难恢复系统(DRS)/灾难恢复框架(DRF)的安全连接
·验证到集群中思科统一通信管理器(CUCM)和IM/P节点的IPsec隧道的安全连接

Tomcat证书

用于：

·验证各种Web访问，例如从集群中的其他节点访问服务页面和Jabber访问。
·验证SAML单点登录(SSO)的安全连接。

·验证集群间对等体的安全连接。

注意：如果您在统一通信服务器上使用SSO功能，并且重新生成Cisco Tomcat证书，则必须使用新证书重新配置SSO。在CUCM和ADFS 2.0上配置SSO的链接为：https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html。

注：CUCM证书再生/续订流程的链接为:https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200199-CUCM-Certificate-Regeneration-Renewal-Pr.html。

证书再生过程

CUP证书

步骤1:为集群中的每台服务器打开图形用户界面(GUI)。从IM/P发布服务器开始，然后依次打开每个IM/P用户服务器的GUI，并导航至  Cisco Unified OS Administration > Security > Certificate Management.

第二步：从发布服务器GUI开始，然后选择 Find  显示所有证书。选择  cup.pem 证书.打开后，选择 Regenerate 然后等到您看到成功后，弹出窗口才会关闭。

第三步：继续后续用户，参阅步骤2中的相同步骤。并完成集群中的所有用户。

步骤4.在所有节点上重新生成CUP证书后，必须重新启动服务。

注意：如果在线状态冗余组配置已选中启用高可用性， Uncheck 在服务重新启动之前。在线状态冗余组配置可在以下位置访问：  CUCM Pub Administration > System > Presence Redundancy Group.服务重新启动会导致IM/P临时中断，必须在生产时间之外完成。

按以下顺序重新启动服务：

·登录发布服务器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

b. Restart  思科SIP代理服务。

c.一旦服务重新启动完成，请继续订阅用户和  Restart 思科SIP代理服务。

d.从发布者开始，然后继续订阅者。 Restart  思科SIP代理服务(也来自  Cisco Unified Serviceability > Tools > Control Center - Feature Services影响。

·登录发布服务器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

b. Restart Cisco Presence引擎服务。

c.服务重新启动完成后，继续执行  Restart  的Cisco Presence EngineService。

注意：如果为SIP联合配置，  Restart Cisco XCP SIP联合连接管理器服务(位于  Cisco Unified Serviceability > Tools > Control Center - Feature Services影响。从发布服务器开始，然后继续订阅服务器。

CUP-XMPP证书

注意：由于Jabber使用CUCM和IM/P Tomcat以及CUP-XMPP服务器证书来验证Tomcat和CUP-XMPP服务的连接，因此这些CUCM和IM/P证书在大多数情况下都是CA签名的。假设Jabber设备没有根证书和中间证书（该证书是CUP-XMPP证书的一部分）安装在其证书信任库中，在这种情况下，Jabber客户端显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备信任存储的证书中，则必须通过组策略、MDM、邮件等将根证书和任何中间证书推送到Jabber设备，具体取决于Jabber客户端。

注意：如果CUP-XMMP证书是自签名证书，如果CUP-XMPP证书未安装在Jabber设备证书的信任存储中，则Jabber客户端会显示不可信证书的安全警告弹出窗口。如果尚未安装自签名CUP-XMPP证书，则必须通过组策略、MDM、电子邮件等推送到Jabber设备，具体取决于Jabber客户端。

步骤1:为集群中的每台服务器打开GUI。从IM/P发布服务器开始，然后依次打开每个IM/P用户服务器的GUI，并导航至  Cisco Unified OS Administration > Security > Certificate Management.

第二步：从发布服务器GUI开始，然后选择  Find 显示所有证书。从的类型列  cup-xmpp.pem  证书，确定它是自签名还是CA签名。如果   cup-xmpp.pem  证书是第三方签名的（类型CA签名的）分发多SAN，当您生成多SAN CUP-XMPP CSR并提交给CA以获取CA签名的CUP-XMPP证书时，请查看此链接；使用CA签名的多服务器主体备用名称配置示例的统一通信集群设置。

如果   cup-xmpp.pem  证书是第三方签名的（类型CA签名）分发单节点（分发名称等于证书的公用名称），在生成单节点时查看此链接 CUP-XMPP CSR并提交给CA以获取CA签名的CUP-XMPP证书；Jabber完成证书验证操作指南。如果  cup-xmpp.pem 证书是自签名的，请继续步骤3。

第三步：选择  Find 以便显示所有证书，然后选择  cup-xmpp.pem 证书.打开后，选择  Regenerate 然后等到您看到成功后，弹出窗口才会关闭。

第四步：继续后续用户；请参考步骤2中的相同过程，并为集群中的所有用户完成该过程。

第五步：在所有节点上重新生成CUP-XMPP证书后，必须在IM/P节点上重新启动Cisco XCP路由器服务。

注意：如果在线状态冗余组配置已选中启用高可用性，  Uncheck 在服务重新启动之前执行此操作。在线状态冗余组配置可在以下网址访问：  CUCM Pub Administration > System > Presence Redundancy Group. 服务重新启动会导致IM/P临时中断，必须在生产时间之外完成。

·登录发布服务器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Network Services.

b. Restart cisco XCP路由器服务。

c.服务重新启动完成后，继续执行  Restart 用户上的Cisco XCP路由器服务。

CUP-XMPP-S2S证书

步骤1: 为集群中的每台服务器打开GUI。从IM/P发布服务器开始，然后依次打开每个IM/P用户服务器的GUI，并导航至  Cisco Unified OS Administration > Security > Certificate Management.

第二步：从发布服务器GUI开始，选择  Find 显示所有证书，然后选择  cup-xmpp-s2s.pem 证书.打开后，选择  Regenerate 然后等到您看到成功后，弹出窗口才会关闭。

第三步：继续后续订阅服务器并参考步骤2中的相同过程，并为集群中的所有订阅服务器完成。

第四步：在所有节点上重新生成CUP-XMPP-S2S证书后，必须按照上述顺序重新启动服务。

注意：如果在线状态冗余组配置已选中启用高可用性，Uncheck 在重新启动这些服务之前执行此操作。在线状态冗余组配置可在  CUCM Pub Administration > System > Presence Redundancy Group.服务重新启动会导致IM/P临时中断，必须在生产时间之外完成。

·登录发布服务器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Network Services.
b. Restart cisco XCP路由器服务。
c.服务重新启动完成后，继续执行  Restart  Cisco XCP路由器服务的IP地址。

·登录发布服务器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

b. Restart cisco XCP XMPP联合连接管理器服务。

c.服务重新启动完成后，继续执行  Restart  用户上的Cisco XCP XMPP Federation Connection Manager服务。

IPSec证书

注:  ipsec.pem cucm发布方中的证书必须有效且存在于IPSec信任存储中的所有用户（CUCM和IM/P节点）中。此  ipsec.pem  发布服务器中不存在用户的证书，因为标准部署中存在IPSec信任存储。为了验证有效性，请比较  ipsec.pem 来自CUCM-PUB的证书，并在用户中具有IPSec-trust。它们必须匹配。

注意：DRS在源代理和本地代理之间使用基于安全套接字层(SSL)的通信对CUCM集群节点（CUCM和IM/P节点）之间的数据进行身份验证和加密。DRS将IPSec证书用于其公钥/私钥加密。请注意，如果删除IPSEC信任存储(hostname.pem )文件，则DRS不能按预期工作。如果手动删除IPSEC信任文件，则必须确保将IPSEC证书上传到IPSEC信任存储。有关详细信息，请参阅《CUCM安全指南》中的证书管理帮助页面。

步骤1:为集群中的每台服务器打开GUI。从IM/P发布服务器开始，然后依次打开每个IM/P用户服务器的GUI，并导航至  Cisco Unified OS Administration > Security > Certificate Management.

第二步：从发布服务器GUI开始，然后选择  Find 显示所有证书。Choose 此  ipsec.pem 证书.打开后，选择  Regenerate 然后等到您看到成功后，弹出窗口才会关闭。

第三步：继续后续订阅服务器并参考步骤2中的相同过程，并为集群中的所有订阅服务器完成。

第四步：在所有节点重新生成IPSEC证书后，  Restart 这些服务。导航到发布服务器的Cisco Unified Serviceability; Cisco Unified Serviceability > Tools > Control Center - Network Services.
a.选择  Restart 在Cisco DRF主要服务上。
b.服务重新启动完成后，选择  Restart 的本地服务，然后继续执行  Restart 每个用户的Cisco DRF本地服务的配置。

Tomcat证书

注意：由于Jabber使用CUCM Tomcat和IM/P Tomcat和CUP-XMPP服务器证书来验证Tomcat和CUP-XMPP服务的连接，因此这些CUCM和IM/P证书在大多数情况下都是CA签名的。假设Jabber设备没有在其证书信任存储中安装Tomcat证书的根证书和任何中间证书。在这种情况下，Jabber客户端会显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备的证书信任库中，则根证书和任何中间证书必须通过组策略、MDM、邮件等推送到Jabber设备，具体取决于Jabber客户端。

注意：如果Tomcat证书是自签名证书，如果Tomcat证书未安装在Jabber设备的证书信任库中，则Jabber客户端会显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备的证书信任库中，则必须通过组策略、MDM、邮件等将自签名CUP-XMPP证书推送到Jabber设备，具体取决于Jabber客户端。

步骤1:为集群中的每台服务器打开GUI。从IM/P发布服务器开始，然后依次打开每个IM/P用户服务器的GUI，并导航至  Cisco Unified OS Administration > Security > Certificate Management.

第二步：从发布服务器GUI开始，然后选择 Find  显示所有证书。
·从Type列中  tomcat.pem 证书，确定它是自签名还是CA签名。

•如果   tomcat.pem 证书是第三方签名的（类型CA签名的）分发多SAN，查看有关如何生成多SAN Tomcat CSR的此链接并向CA提交一个CA签名的Tomcat证书，使用CA签名的多服务器主体备用名配置示例统一通信集群设置

•如果   tomcat.pem  证书是第三方签名的（类型CA签名）分发单节点（分发名称等于证书的公用名称），查看此链接以生成单节点CUP-XMPP CSR，并将其提交给CA以获取CA签名的CUP-XMPP证书，Jabber完成证书验证操作指南

•如果   tomcat.pem 证书是自签名的，请继续步骤3

第三步：选择  Find 要显示所有证书，请执行以下操作：
·选择  tomcat.pem 证书.
·打开后，选择  Regenerate 等到看到成功弹出窗口后，才会关闭该弹出窗口。

第四步：继续使用每个后续用户，参阅步骤2中的过程，并完成集群中的所有用户。

第五步：所有节点重新生成Tomcat证书后，  Restart 所有节点上的Tomcat服务。从发布者开始，然后是订阅者。
·为了  Restart Tomcat服务，您必须为每个节点打开CLI会话并运行命令，直到服务重新启动Cisco Tomcat，如图所示：

删除过期的信任证书

注意：在适当时，可以删除信任证书（以 — trust结尾）。可以删除的信任证书是那些不再需要、已过期或已过时的证书。请勿删除五个身份证书：  cup.pem ,  cup-xmpp.pem ,  cup-xmpp-s2s.pem ,  ipsec.pem ,和  tomcat.pem 证书.  如图所示，服务重新启动旨在清除这些服务中这些旧证书的任何内存信息。

注意：如果在线状态冗余组配置已选中启用高可用性，  Uncheck 这发生在服务之前 Stopped/Started  或  Restarted.在线状态冗余组配置可在以下网址访问：  CUCM Pub Administration > System > Presence Redundancy Group.如图所示，重新启动某些服务会导致IM/P暂时中断，必须在生产时间之外完成。

步骤1:导航至  Cisco Unified Serviceability > Tools > Control Center - Network Services:

·从下拉菜单中选择您的IM/P发布者，然后选择  Stop 从Cisco Certificate Expiry Monitor，后跟  Stop 思科集群间同步代理中。

·重复 Stop 适用于集群中每个IM/P节点的这些服务。

·从下拉列表中选择CUCM发布器。
·选择  Stop 从Cisco Certificate Expiry Monitor，后跟  Stop 在Cisco Certificate Change Notification中。
·对集群中的每个CUCM节点重复此操作。

第二步：导航至  Cisco Unified OS Administration > Security > Certificate Management > Find.

·查找过期的信任证书(对于版本10.x及更高版本，您可以按到期进行过滤。从10.0之前的版本，您必须手动识别特定证书，或者通过RTMT警报（如果已收到）。
·同一信任证书可以出现在多个节点中，必须从每个节点单独删除。
·选择要删除的信任证书（根据版本，您会弹出一个窗口，或者导航到同一页面上的证书）。

·选择  Delete （您将看到以“您将要永久删除此证书……”开头的弹出窗口。）
•点击 OK.

第三步：对每个要删除的信任证书重复此过程。

第四步：完成后，必须重新启动与删除的证书直接相关的服务。

· CUP-trust：思科SIP代理、思科网真引擎，如果配置用于SIP联合，则使用Cisco XCP SIP联合连接管理器（请参阅CUP证书部分）
· CUP-XMPP-trust：思科XCP路由器（请参阅CUP-XMPP证书部分）
· CUP-XMPP-S2S-trust:Cisco XCP路由器和Cisco XCP XMPP联合连接管理器
· IPSec-trust:DRF Source/DRF Local（请参阅IPSec certificate部分）
· Tomcat-trust：通过命令行重新启动Tomcat服务（请参阅Tomcat certificate部分）

第五步：重新启动服务已在步骤1中停止。

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。