简介
本文档介绍如何在CUCM IM/P 8.x及更高版本中重新生成证书的推荐分步过程。
先决条件
要求
思科建议您了解即时消息和在线状态(IM/P)服务证书。
使用的组件
本文档中的信息基于IM/P版本8.x及更高版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
证书存储利用率
Cisco Unified Presence(CUP)证书
用于SIP联合的安全SIP连接、用于Lync/OCS/LCS的Microsoft远程呼叫控制、Cisco Unified Certificate Manager(CUCM)和IM/P之间的安全连接等。
Cisco Unified Presence — 可扩展消息传送和在线状态协议(CUP-XMPP)证书
用于在创建XMPP会话时验证XMPP客户端的安全连接。
Cisco Unified Presence — 可扩展消息传送和在线状态协议 — 服务器到服务器(CUP-XMPP-S2S)证书
用于验证具有外部联合XMPP系统的XMPP域间联合的安全连接。
IP安全(IPSec)证书
用于:
·验证灾难恢复系统(DRS)/灾难恢复框架(DRF)的安全连接
·验证到集群中思科统一通信管理器(CUCM)和IM/P节点的IPsec隧道的安全连接
Tomcat证书
用于:
·验证各种Web访问,例如从集群中的其他节点访问服务页面和Jabber访问。
·验证SAML单点登录(SSO)的安全连接。
·验证集群间对等体的安全连接。
注意:如果您在统一通信服务器上使用SSO功能,并且重新生成Cisco Tomcat证书,则必须使用新证书重新配置SSO。在CUCM和ADFS 2.0上配置SSO的链接为:https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html。
注:CUCM证书再生/续订流程的链接为:https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200199-CUCM-Certificate-Regeneration-Renewal-Pr.html。
证书再生过程
CUP证书
步骤1:为集群中的每台服务器打开图形用户界面(GUI)。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航至 Cisco Unified OS Administration > Security > Certificate Management
.
第二步:从发布服务器GUI开始,然后选择 Find
显示所有证书。选择 cup.pem
证书.打开后,选择 Regenerate
然后等到您看到成功后,弹出窗口才会关闭。
第三步:继续后续用户,参阅步骤2中的相同步骤。并完成集群中的所有用户。
步骤4.在所有节点上重新生成CUP证书后,必须重新启动服务。
注意:如果在线状态冗余组配置已选中启用高可用性, Uncheck
在服务重新启动之前。在线状态冗余组配置可在以下位置访问: CUCM Pub Administration > System > Presence Redundancy Group
.服务重新启动会导致IM/P临时中断,必须在生产时间之外完成。
按以下顺序重新启动服务:
·登录发布服务器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b. Restart
思科SIP代理服务。
c.一旦服务重新启动完成,请继续订阅用户和 Restart
思科SIP代理服务。
d.从发布者开始,然后继续订阅者。 Restart
思科SIP代理服务(也来自 Cisco Unified Serviceability > Tools > Control Center - Feature Services
影响。
·登录发布服务器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b. Restart
Cisco Presence引擎服务。
c.服务重新启动完成后,继续执行 Restart
的Cisco Presence EngineService。
注意:如果为SIP联合配置, Restart
Cisco XCP SIP联合连接管理器服务(位于 Cisco Unified Serviceability > Tools > Control Center - Feature Services
影响。从发布服务器开始,然后继续订阅服务器。
CUP-XMPP证书
注意:由于Jabber使用CUCM和IM/P Tomcat以及CUP-XMPP服务器证书来验证Tomcat和CUP-XMPP服务的连接,因此这些CUCM和IM/P证书在大多数情况下都是CA签名的。假设Jabber设备没有根证书和中间证书(该证书是CUP-XMPP证书的一部分)安装在其证书信任库中,在这种情况下,Jabber客户端显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备信任存储的证书中,则必须通过组策略、MDM、邮件等将根证书和任何中间证书推送到Jabber设备,具体取决于Jabber客户端。
注意:如果CUP-XMMP证书是自签名证书,如果CUP-XMPP证书未安装在Jabber设备证书的信任存储中,则Jabber客户端会显示不可信证书的安全警告弹出窗口。如果尚未安装自签名CUP-XMPP证书,则必须通过组策略、MDM、电子邮件等推送到Jabber设备,具体取决于Jabber客户端。
步骤1:为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航至 Cisco Unified OS Administration > Security > Certificate Management
.
第二步:从发布服务器GUI开始,然后选择 Find
显示所有证书。从的类型列 cup-xmpp.pem
证书,确定它是自签名还是CA签名。如果 cup-xmpp.pem
证书是第三方签名的(类型CA签名的)分发多SAN,当您生成多SAN CUP-XMPP CSR并提交给CA以获取CA签名的CUP-XMPP证书时,请查看此链接;使用CA签名的多服务器主体备用名称配置示例的统一通信集群设置。
如果 cup-xmpp.pem
证书是第三方签名的(类型CA签名)分发单节点(分发名称等于证书的公用名称),在生成单节点时查看此链接 CUP-XMPP
CSR并提交给CA以获取CA签名的CUP-XMPP证书;Jabber完成证书验证操作指南。如果 cup-xmpp.pem
证书是自签名的,请继续步骤3。
第三步:选择 Find
以便显示所有证书,然后选择 cup-xmpp.pem
证书.打开后,选择 Regenerate
然后等到您看到成功后,弹出窗口才会关闭。
第四步:继续后续用户;请参考步骤2中的相同过程,并为集群中的所有用户完成该过程。
第五步:在所有节点上重新生成CUP-XMPP证书后,必须在IM/P节点上重新启动Cisco XCP路由器服务。
注意:如果在线状态冗余组配置已选中启用高可用性, Uncheck
在服务重新启动之前执行此操作。在线状态冗余组配置可在以下网址访问: CUCM Pub Administration > System > Presence Redundancy Group
. 服务重新启动会导致IM/P临时中断,必须在生产时间之外完成。
·登录发布服务器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Network Services
.
b. Restart
cisco XCP路由器服务。
c.服务重新启动完成后,继续执行 Restart
用户上的Cisco XCP路由器服务。
CUP-XMPP-S2S证书
步骤1: 为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航至 Cisco Unified OS Administration > Security > Certificate Management
.
第二步:从发布服务器GUI开始,选择 Find
显示所有证书,然后选择 cup-xmpp-s2s.pem
证书.打开后,选择 Regenerate
然后等到您看到成功后,弹出窗口才会关闭。
第三步:继续后续订阅服务器并参考步骤2中的相同过程,并为集群中的所有订阅服务器完成。
第四步:在所有节点上重新生成CUP-XMPP-S2S证书后,必须按照上述顺序重新启动服务。
注意:如果在线状态冗余组配置已选中启用高可用性,Uncheck
在重新启动这些服务之前执行此操作。在线状态冗余组配置可在 CUCM Pub Administration > System > Presence Redundancy Group
.服务重新启动会导致IM/P临时中断,必须在生产时间之外完成。
·登录发布服务器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Network Services
.
b. Restart
cisco XCP路由器服务。
c.服务重新启动完成后,继续执行 Restart
Cisco XCP路由器服务的IP地址。
·登录发布服务器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b. Restart
cisco XCP XMPP联合连接管理器服务。
c.服务重新启动完成后,继续执行 Restart
用户上的Cisco XCP XMPP Federation Connection Manager服务。
IPSec证书
注: ipsec.pem
cucm发布方中的证书必须有效且存在于IPSec信任存储中的所有用户(CUCM和IM/P节点)中。此 ipsec.pem
发布服务器中不存在用户的证书,因为标准部署中存在IPSec信任存储。为了验证有效性,请比较 ipsec.pem
来自CUCM-PUB的证书,并在用户中具有IPSec-trust。它们必须匹配。
注意:DRS在源代理和本地代理之间使用基于安全套接字层(SSL)的通信对CUCM集群节点(CUCM和IM/P节点)之间的数据进行身份验证和加密。DRS将IPSec证书用于其公钥/私钥加密。请注意,如果删除IPSEC信任存储(hostname.pem
)文件,则DRS不能按预期工作。如果手动删除IPSEC信任文件,则必须确保将IPSEC证书上传到IPSEC信任存储。有关详细信息,请参阅《CUCM安全指南》中的证书管理帮助页面。
步骤1:为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航至 Cisco Unified OS Administration > Security > Certificate Management
.
第二步:从发布服务器GUI开始,然后选择 Find
显示所有证书。Choose
此 ipsec.pem
证书.打开后,选择 Regenerate
然后等到您看到成功后,弹出窗口才会关闭。
第三步:继续后续订阅服务器并参考步骤2中的相同过程,并为集群中的所有订阅服务器完成。
第四步:在所有节点重新生成IPSEC证书后, Restart
这些服务。导航到发布服务器的Cisco Unified Serviceability; Cisco Unified Serviceability > Tools > Control Center - Network Services
.
a.选择 Restart
在Cisco DRF主要服务上。
b.服务重新启动完成后,选择 Restart
的本地服务,然后继续执行 Restart
每个用户的Cisco DRF本地服务的配置。
Tomcat证书
注意:由于Jabber使用CUCM Tomcat和IM/P Tomcat和CUP-XMPP服务器证书来验证Tomcat和CUP-XMPP服务的连接,因此这些CUCM和IM/P证书在大多数情况下都是CA签名的。假设Jabber设备没有在其证书信任存储中安装Tomcat证书的根证书和任何中间证书。在这种情况下,Jabber客户端会显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备的证书信任库中,则根证书和任何中间证书必须通过组策略、MDM、邮件等推送到Jabber设备,具体取决于Jabber客户端。
注意:如果Tomcat证书是自签名证书,如果Tomcat证书未安装在Jabber设备的证书信任库中,则Jabber客户端会显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备的证书信任库中,则必须通过组策略、MDM、邮件等将自签名CUP-XMPP证书推送到Jabber设备,具体取决于Jabber客户端。
步骤1:为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航至 Cisco Unified OS Administration > Security > Certificate Management
.
第二步:从发布服务器GUI开始,然后选择 Find
显示所有证书。
·从Type列中 tomcat.pem
证书,确定它是自签名还是CA签名。
•如果 tomcat.pem
证书是第三方签名的(类型CA签名的)分发多SAN,查看有关如何生成多SAN Tomcat CSR的此链接并向CA提交一个CA签名的Tomcat证书,使用CA签名的多服务器主体备用名配置示例统一通信集群设置
注意:多SAN Tomcat CSR在CUCM发布服务器上生成,并分发给集群中的所有CUCM和IM/P节点。
•如果 tomcat.pem
证书是第三方签名的(类型CA签名)分发单节点(分发名称等于证书的公用名称),查看此链接以生成单节点CUP-XMPP CSR,并将其提交给CA以获取CA签名的CUP-XMPP证书,Jabber完成证书验证操作指南
•如果 tomcat.pem
证书是自签名的,请继续步骤3
第三步:选择 Find
要显示所有证书,请执行以下操作:
·选择 tomcat.pem
证书.
·打开后,选择 Regenerate
等到看到成功弹出窗口后,才会关闭该弹出窗口。
第四步:继续使用每个后续用户,参阅步骤2中的过程,并完成集群中的所有用户。
第五步:所有节点重新生成Tomcat证书后, Restart
所有节点上的Tomcat服务。从发布者开始,然后是订阅者。
·为了 Restart
Tomcat服务,您必须为每个节点打开CLI会话并运行命令,直到服务重新启动Cisco Tomcat,如图所示:
删除过期的信任证书
注意:在适当时,可以删除信任证书(以 — trust结尾)。可以删除的信任证书是那些不再需要、已过期或已过时的证书。请勿删除五个身份证书: cup.pem
, cup-xmpp.pem
, cup-xmpp-s2s.pem
, ipsec.pem
,和 tomcat.pem
证书. 如图所示,服务重新启动旨在清除这些服务中这些旧证书的任何内存信息。
注意:如果在线状态冗余组配置已选中启用高可用性, Uncheck
这发生在服务之前 Stopped
/Started
或 Restarted
.在线状态冗余组配置可在以下网址访问: CUCM Pub Administration > System > Presence Redundancy Group
.如图所示,重新启动某些服务会导致IM/P暂时中断,必须在生产时间之外完成。
步骤1:导航至 Cisco Unified Serviceability > Tools > Control Center - Network Services
:
·从下拉菜单中选择您的IM/P发布者,然后选择 Stop
从Cisco Certificate Expiry Monitor,后跟 Stop
思科集群间同步代理中。
·重复 Stop
适用于集群中每个IM/P节点的这些服务。
注意:如果必须删除Tomcat-trust证书,请导航至 Cisco Unified Serviceability > Tools > Control Center - Network Services
CUCM发布器的。
·从下拉列表中选择CUCM发布器。
·选择 Stop
从Cisco Certificate Expiry Monitor,后跟 Stop
在Cisco Certificate Change Notification中。
·对集群中的每个CUCM节点重复此操作。
第二步:导航至 Cisco Unified OS Administration > Security > Certificate Management > Find
.
·查找过期的信任证书(对于版本10.x及更高版本,您可以按到期进行过滤。从10.0之前的版本,您必须手动识别特定证书,或者通过RTMT警报(如果已收到)。
·同一信任证书可以出现在多个节点中,必须从每个节点单独删除。
·选择要删除的信任证书(根据版本,您会弹出一个窗口,或者导航到同一页面上的证书)。
·选择 Delete
(您将看到以“您将要永久删除此证书……”开头的弹出窗口。)
•点击 OK
.
第三步:对每个要删除的信任证书重复此过程。
第四步:完成后,必须重新启动与删除的证书直接相关的服务。
· CUP-trust:思科SIP代理、思科网真引擎,如果配置用于SIP联合,则使用Cisco XCP SIP联合连接管理器(请参阅CUP证书部分)
· CUP-XMPP-trust:思科XCP路由器(请参阅CUP-XMPP证书部分)
· CUP-XMPP-S2S-trust:Cisco XCP路由器和Cisco XCP XMPP联合连接管理器
· IPSec-trust:DRF Source/DRF Local(请参阅IPSec certificate部分)
· Tomcat-trust:通过命令行重新启动Tomcat服务(请参阅Tomcat certificate部分)
第五步:重新启动服务已在步骤1中停止。
验证
当前没有可用于此配置的验证过程。
故障排除
目前没有针对此配置的故障排除信息。