تحسين في إدارة شهادة الأمان CUCM 11.x
المحتويات
المقدمة
يصف هذا المستند التقدم الذي تم تحقيقه في إدارة الشهادات ل Cisco Unified Communications Manager (CUCM) والذي تم تنفيذه في الإصدار 11.x.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- CUCM
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:
- CUCM الإصدار 11.5.1.1000-6
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تساعد إدارة شهادات CUCM مسؤولي الاتصالات الموحدة أو الأمان على الاستفادة من شهادات Unified Communications أو Security بكفاءة أكبر. وتشمل مزايا التعزيز الذي تم القيام به تقليل الوقت أثناء إزالة الشهادات غير المرغوب فيها المنتهية صلاحيتها في CUCM و IM&Presence.
إدارة الشهادات
الإصدارات القديمة
قبل CUCM الإصدار 11، تظهر هذه الرسالة إذا تم حذف شهادة.
يتم حذف الشهادة فقط من العقدة التي تم بدء عملية الحذف عليها.
إذا لم يتم حذف نفس الشهادة في عقد أخرى، يتم ملء الشهادة المحذوفة مرة أخرى في العقدة حيث تم حذفها في البداية. يرجع ذلك إلى خدمة مراقبة الشهادات التي تسمى "إعلام تغيير الشهادة". كأفضل ممارسة في الإصدارات الأقدم من CUCM، يتم إيقاف خدمة "الإعلام بتغيير الشهادة" على جميع عقد CUCM قبل حذف الشهادة. تتمثل إحدى نقاط الضعف الأخرى في الإصدارات الأقدم في ضرورة تسجيل الدخول إلى قسم إدارة نظام التشغيل بكل عقدة من أجل حذف شهادة واحدة غير مرغوب فيها أو منتهية الصلاحية، والتي تصبح مرهقة وتستهلك وقتا كبيرا خاصة بالنسبة لمجموعة كبيرة.
إصدارات جديدة
وبدءا من الإصدار 11.0 من CUCM أو إصدار أحدث، يتم أيضا حذف أي شهادات غير مرغوب فيها أو منتهية الصلاحية يتم حذفها من العقدة الحالية من جميع العقد الأخرى داخل نظام المجموعة.
وقد تم تضمين التحسين لمعالجة هذه العيوب:
CSCto86463 - الشهادات المحذوفة تعود للظهور، غير قادرة على إزالة الشهادات من CUCM
CSCus28550 - تحسين إدارة الصندوق لحذف شهادة من جميع العقد
الأسئلة المتكررة
س. ما نوع الشهادات المضمنة في هذا التحسين؟
أ. ل cisco Unified Communications Manager:
- تومكات ترست
- CallManager-trust
- phone-sast-trust
مدير الاتصالات الموحدة من Cisco - المراسلة الفورية والحضور:
- تومكات ترست
س. ماذا يحصل في النهاية من أجل هذا التحسين؟
أ. بمجرد حذف شهادة في أي من عقد CUCM:
- تم حذف الشهادة من العقدة المحلية
- يؤدي حدث النظام الأساسي إلى حذف نفس الشهادة إلى كافة العقد الأخرى.
التحقق
بمجرد حذف شهادة عبر صفحة إدارة نظام التشغيل في عقدة ما، قم بتسجيل الدخول إلى عقد أخرى وتحقق ما إذا كانت الشهادة موجودة أم لا. إذا لم يتم حذف شهادة محذوفة من كل العقد، فتحقق من السجلات التي تم إنشاؤها من خلال مثيل حذف الشهادة.
- Syslogs
- سجلات IPT Platform CertMgr
في سيناريو عمل مشترك، هذه هي السجلات المتوقعة.
Syslogs
يظهر حدث النظام الأساسي في عقد أخرى (بخلاف العقدة التي تم بدء حذف الشهادة فيها). في هذا المثال، تم حذف شهادة ثقة من نوع TOMCAT باسم CUCMSUB1.pem من الناشر، مما أدى إلى إلغاء تشغيلها على syslog للمشترك.
Aug 6 20:20:47 CUCMSUB1 user 6 ilog_impl: Received request for platform-event (--no-wait platform-event-clusterwide-certificate-delete HOSTNAME=CUCM-PUB UNIT=tomcat-trust NAME=CUCMSUB1.pem)
سجلات IPT Platform CertMgr
في سجلات CertMgr، تؤكد السجلات أن الشهادة موجودة في قائمة الانتظار للحذف من إدخالات قاعدة البيانات.
2016-08-06 21:22:06,151 INFO [main] - IN -- CertDBAction.java - deleteCertificateInDB(certInfo) -
2016-08-06 21:22:06,151 INFO [main] -
DBParameters ...
PKID : null
CN : L=BGL,ST=Karnataka,CN=CUCMSUB1,OU=TAC,O=Cisco,C=IN
serialNo : 4d6dc0cb7bc73e70c3ded20690d15fa8
hostName : CUCMSUB1
issuerName : L=BGL,ST=Karnataka,CN=CUCMSUB1,OU=TAC,O=Cisco,C=IN
Certificate : Not Printing huge Certificate String..
IPV4Address : 10.106.99.196
IPV6Address :
TimeToLive : NULL
TkCertificateDistribution :1
UNIT : tomcat-trust
TYPE : trust-certs
ROLE : null
RoleMoniker : null
RoleEnum :null
SERVICE : null
ServiceMoniker : null
ServiceEnum :0
2016-08-06 21:22:06,151 INFO [main] - DB - Certifciate Store Plugin Handler is :com.cisco.ccm.certmgmt.db.CertDBImpl
2016-08-06 21:22:06,156 INFO [main] - IN -- CertDBImpl.java - deleteCertificate(certInfo) –
يمكن رؤية أمر SQL الذي تم تشغيله لحذف الشهادة في سجلات CertMgr.
2016-08-06 21:22:08,980 DEBUG [main] - Delete query of CERTIFICATEPROCESSNODEMAP :DELETE FROM CERTIFICATEPROCESSNODEMAP WHERE FKCERTIFICATE="cdd0365a-2d17-3483-4d00-1bf08f942cf5" AND SERVERNAME = "CUCMSUB1"
2016-08-06 21:22:08,980 DEBUG [main] - execute(DELETE FROM CERTIFICATEPROCESSNODEMAP WHERE FKCERTIFICATE="cdd0365a-2d17-3483-4d00-1bf08f942cf5" AND SERVERNAME = "CUCMSUB1")
من سجلات CertMgr، تؤكد الإدخالات أن الشهادة محذوفة من نظام الملفات (شهادة بامتدادات PEM أو der).
2016-08-06 21:22:09,009 DEBUG [main] - deleteDERandPEM: sCertDir = /usr/local/platform/.security/tomcat/trust-certs --- sAlias = CUCMSUB1
2016-08-06 21:22:09,009 INFO [main] - IN -- TomcatCertMgr.java - removeFromKeyStore(..) -
2016-08-06 21:22:09,010 INFO [main] - IN -- RSACryptoEngine.java - removeFromKeyStore(keystoreFile, keystorePass, alias) -
2016-08-06 21:22:09,010 INFO [main] - IN -- RSACryptoEngine.java - loadKeyStore(keystoreFile, keystorePass) -
2016-08-06 21:22:09,086 INFO [main] - OUT -- RSACryptoEngine.java - loadKeyStore -
2016-08-06 21:22:09,103 DEBUG [main] - Removing certificate from keystore : CUCMSUB1
إذا كان حذف الشهادة لا يزال غير منعكس على باقي العقد في نظام المجموعة أو إذا كانت السجلات تظهر أخطاء، فقم بالمتابعة لفتح حالة مركز المساعدة الفنية مع فريق CUCM.
التعليقات