语音和统一通信 : Cisco Unified Communications Manager (CallManager)

CUCM版本8.x在集群之间的IP电话迁移用ITL文件

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述如何防止与(CUCM)的Cisco Unified Communications Manager版本8.0(1)的一个情况千位电话必须有他们手工删除的最初的信任列表(ITL)文件。

贡献由贾森预烧硬件, Cisco TAC工程师。

背景信息

默认情况下使用CUCM版本8.0(1),新的安全(SBD)以为特色和使用ITL文件介绍。使用此新特性,当您移动电话区别CUCM集群之间时,必须保重。如果不完成适当的步骤,遇到千位电话必须手工有他们的删除的ITL文件的情况是可能的。支持新的ITL文件的电话下载从他们的CUCM TFTP server的专用文件。一旦ITL文件在电话安装,所有将来配置文件和ITL文件更新必须是:

  • 签字由在电话的证书信任列表(CTL)文件当前安装的CCM+TFTP服务器证书(如果与CTLs的集群安全启用)。

  • 签字由在电话的ITL文件安装的CCM+TFTP服务器证书。

  • 签字由在一个CUCM服务器托拉斯验证中存在的证书服务(TV)在ITL文件列出的证书存储。

使用新的安全功能,这是您能遇到的三问题,当您移动从一集群的一个电话向另一集群时:

  • 新的集群的ITL文件没有由电话的当前ITL CCM+TFTP证书签字,因此电话不接受新的ITL文件或配置文件。

  • 在电话的当前ITL文件列出的TV服务器也许不可及的,当电话移动向新的集群时。

  • 即使TV服务器为证书验证是可及的,旧有集群TV服务器也许没有新的服务器的证书。

如果这三问题遇到,一个可能的选项是手工删除ITL文件从移动在集群之间的所有电话。这不是一理想解决方案,因为要求大努力,当受影响的电话数量增加。

提示默认情况下其他信息,参考安全区分Cisco Unified Communications Manager安全指南,版本8.5(1)。

问题

电话通过TFTP或HTTP接收从配置文件的任何更改没有被尊敬。由配置文件通过的配置选项部分地包括:

  • URL (例如验证URL、目录URL和服务URL,包括内部/外部目录配置)

  • 现场功能

  • 主要的和附属注册的Callmanager组

默认情况下电话可能注册对已配置的TFTP server,但是很可能不注册,如果新的TFTP server不管理CallManager服务。当电话有当前TFTP server的时一个不正确ITL文件,电话控制台日志表示消息类似于此:

1715: ERR 16:59:35.170584 SECD: EROR:verifyFile: sgn verify file failed 
</usr/ram/SEP00260BD749E9.cnf.xml>, errclass 8, errcode 19 (signer not in CTL)
1716: ERR 16:59:35.171327 SECD: EROR:verifyFile: verify FAILED,
</usr/ram/SEP00260BD749E9.cnf.xml>

解决方案

此部分描述如何移植电话无缝地从一集群到下,以及如何手工删除从电话的ITL文件在更坏的案件方案。

大批证书出口

注意:此大批证书出口方法只运作,如果两集群是联机与网络连通性,当电话被移植时。

一个可能的解决方案,如果旧有和新的集群同时联机,将使用大批证书迁移方法。

请注意IP电话验证每个下载的文件ITL文件或在ITL文件存在的TV服务器。如果电话必须移动向一新的集群,必须由旧有集群的TV证书存储委托新的集群存在的ITL文件。

完成这些步骤为了执行大批证书出口方法:

  1. 导航对OS管理> Security >容量证书

  2. 导出从新建目标集群(仅TFTP)和原始集群的证书到一个中央安全壳SSH文件传输协议(SFTP)服务器。

  3. 从原始集群(仅TFTP管理统一证书服务)在使用大批证书接口的SFTP服务器。

  4. 请使用从旧有起源集群的大批证书功能为了导入从中央SFTP服务器的TFTP证书。

  5. 重新启动在旧有起源集群的TV服务。

  6. Use DHCP选项150,或者某个其他方法,为了指向电话新建目标集群。

在您完成这些步骤后,电话下载新建目标集群ITL文件并且尝试验证它当前ITL文件。因为证书不是存在当前ITL文件,电话要求旧有TV服务器验证新的ITL文件的签名。电话发送TV查询对在TCP端口2445的旧有起源集群为了做此请求。

如果正确地工作的证书进程, TV服务顺利地返回,并且电话用新下载ITL文件替换内存的ITL文件。电话能当前下载和验证从新的集群的签字的配置文件。

回退企业参数

注意:此方法只有效,如果完成,在电话迁移尝试并且不可能一次前使用电话在验证文件故障状态。支持TV服务的电话能潜在丢失对安全URL服务的访问例如公司目录,在他们被移植到新的集群前,并且,在准备团星对pre-8.0参数的回退设置对在原始集群后。一旦移植到新的集群,电话下载新的ITL文件,并且安全URL操作应该返回到正常。

此解决方案利用准备团星回退对pre-8.0 CUCM企业参数。一旦此参数设置对,电话下载包含空TV和TFTP证书部分的特殊ITL文件。

当电话有一个空ITL文件时,接受(的所有未签名的配置文件对早于版本8.x运行CUCM版本)的集群的迁移和中的任一个新建的ITL文件(对运行CUCM版本8.X)的不同的集群的迁移。为了验证空ITL文件,请导航对设置> Security >托拉斯列表> ITL。空条目出现旧有TV和TFTP服务器曾经的地方。

只有只要采取他们下载新,空ITL文件,电话必须访问旧有CUCM服务器。一旦电话有一个空ITL文件,旧有服务器可以退役,关掉或者重建(从属在您的商业需求)。

提示:其他信息,参考最近上一步团星对Cisco Unified Communications Manager安全指南的Pre-8.0版本部分,版本8.5(1)。

硬件安全令牌(KEY-CCM-ADMIN-K9=)

如果硬件安全令牌(产品编号KEY-CCM-ADMIN-K9=)用于为了生成在旧有和新的集群的一个CTL,电话能自由地移植在集群之间,只要至少一个同样硬件令牌在旧有和新的集群使用了。

当有从旧有集群时的一个CTL的电话移动向新的集群,接受从新的集群的CTL,因为新的CTL包含匹配那当前CTL的安全令牌的证书。由于CTL也包含CCM+TFTP服务器的证书,新的集群的ITL文件由电话也接受,那么那里是没有问题,当您尝试移动电话在集群之间时。

对于不使用SBD功能的电话(ITLs),例如7960个和7940个型号,您必须再运行CTL客户端原始集群的首先为了添加新的集群的TFTP服务器的新的TFTP条目,在您移动电话向新的集群前。这是因为这些电话型号不为不在CTL的服务器的TFTP文件提供援助。

此方法在旧有集群要求附加安全性令牌的硬件,并且必须配置。通常,安全令牌用于为了允许Secure实时传输协议(SRTP)在集群和加密的/已验证配置文件。一旦集群有安全启用与安全令牌,您必须从在该集群的每个电话手工删除CTL (从电话)为了禁用在该集群的安全。

手工的ITL文件删除

如果某些灾难性故障发生,并且TFTP密钥/证书从旧有集群不再是可得到(这在灾难恢复框架(DRF)备份)维护,则唯一的可用的选项移植电话到一新的集群是手工删除从电话的ITL文件。

注意:此进程为每个电话型号有所不同。要求删除在最普通的电话型号的ITL文件的步骤在此部分,但是步骤描述其他型号的可以在电话管理指南找到。

完成这些步骤为了手工删除在7900系列电话的ITL文件:

  1. 导航到设置> Security >托拉斯列表> ITL文件

  2. 回车** #为了取消锁定设置。

  3. 点击清除

为了手工删除在8900或9900系列电话的ITL文件,请导航对设置>管理员设置>重置的设置> Security设置


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118850