إعادة إنشاء الشهادات في Unified Communications Manager

خيارات التنزيل

  • PDF     (431.0 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:١٣ مايو ٢٠٢٥
معرّف المستند:214231

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند إجراء إعادة إنشاء الشهادات في Unified Communications Manager.  

    المتطلبات الأساسية

    المتطلبات 

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • أداة مراقبة الوقت الفعلي (RTMT)
    • دليل الأمان ل Cisco Unified Communications Manager
    • شهادات CUCM
    • وظيفة وكيل جهة الترخيص

    المكونات المستخدمة

    توصي Cisco بتثبيت هذه الأدوات:

    • أداة مراقبة الوقت الفعلي (RTMT)
    • معلومات تستند إلى الإصدارات 10.5 و 12.0 و 14.0 و 15.0 من Cisco Unified Communications Manager (CUCM).

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    يصف هذا المستند الإجراء بالتفصيل حول كيفية إعادة إنشاء الشهادات في الإصدار 8.x من Cisco "مدير الاتصالات الموحدة" (CUCM) والإصدارات الأحدث. ارجع إلى دليل الأمان للإصدار المحدد لديك.


    Communications Manager (CUCM)، الإصدار 8.x - 11.5.x يتم توقيع ITL بواسطة شهادة مدير المكالمات.
    مدير الاتصالات (CUCM) الإصدار 12.0+ يتم توقيع ITL بواسطة شهادة ITLRovery.

    التفاعل بين ملفات ITL و CTL

    يعتمد هاتف Cisco IP على ملف CTL للتعرف على وضع أمان نظام المجموعة (وضع غير آمن أو مختلط). يتتبع ملف CTL وضع أمان نظام المجموعة من خلال تضمين شهادة "مدير الاتصالات الموحدة" في سجل "مدير الاتصالات الموحدة". يحتوي ملف ITL أيضا على إشارة وضع أمان نظام المجموعة.

    ITL Signer Comparisonمقارنة الموقع على ITL

    تثبيت أداة مراقبة الوقت الفعلي (RTMT)

    • تنزيل أداة RTMT وتثبيتها من Call Manager.
      • انتقل إلى إدارة "الاتصال بمدير" (CM): تطبيق > ملحقات > بحث > أداة المراقبة الموحدة في الوقت الفعلي من Cisco - Windows > تنزيل. تثبيت و تشغيل

    مراقبة نقاط النهاية باستخدام RTMT

    • أطلقت RTMT وأدخلت العنوان أو الكامل مؤهل domain name (FQDN)، بعد ذلك username و كلمة أن ينفذ الأداة: 
      • حدد علامة تبويب الصوت/الفيديو.
      • حدد ملخص الجهاز.
        • يحدد هذا القسم العدد الإجمالي لنقاط النهاية المسجلة والعدد لكل عقدة.
        • مراقبة أثناء إعادة تعيين نقطة النهاية لضمان التسجيل قبل إعادة إنشاء الشهادة التالية. 

    تلميح: يمكن أن تؤثر عملية إعادة إنشاء بعض الشهادات على نقاط النهاية. ضع في اعتبارك خطة عمل بعد ساعات العمل العادية نظرا لمتطلبات إعادة تشغيل الخدمات وإعادة تشغيل الهواتف. تحقق من تسجيل الهاتف عبر RTMT قبل العملية وأثناءها وبعدها الموصى بها بشدة. أنت مطلوب فقط لإعادة تشغيل الخدمات إذا كانت الخدمات قيد التشغيل على الخادم.

    تحذير: يمكن أن تحتوي نقاط النهاية التي تحتوي حاليا على عدم تطابق ITL (ITL غير صالح) على مشاكل تسجيل بعد هذه العملية.  بالنسبة للأجهزة التي تحتوي على قائمة تحكم في الوصول (ITL) غير صحيحة، يعد حذف قائمة التحكم في الوصول (ITL) على نقطة النهاية حلا نموذجيا لأفضل الممارسات بعد اكتمال عملية إعادة الإنشاء، وقد تم تسجيل جميع الهواتف الأخرى.  الرجاء مراجعة نماذج الهواتف المحددة حول كيفية حذف شهادات ITL/CTL (الأمان).

    Registered Devices

    تحديد وضع أمان نظام المجموعة

    • انتقل إلى إدارة CM: النظام > معلمات المؤسسة > معلمات الأمان > وضع أمان نظام المجموعة.

    Non-Secure Cluster

    Secure Cluster

    ITL و CTL

    • تحتوي قائمة الثقة الأولية (ITL) على دور الشهادة لمدير الاتصال TFTP و ITLRecovery وجميع شهادات TVS في المجموعة. كما يحتوي أيضا على وظيفة وكيل المرجع المصدق (CAPF) في حالة تشغيل الخدمة. بداية من الإصدار 12.0، يتم توقيع ITL بواسطة شهادة ITLRovery. يمكنك رؤية هذا عن طريق تسجيل الدخول إلى CLI ودخول الأمر show itl. قبل الإصدار 12.0، تم توقيع ITL بواسطة شهادة مدير المكالمات.
    • تحتوي قائمة التحكم في الوصول (CTL) على إدخالات لجدار الحماية System Administrator Security Token (SAST) و Cisco CallManager وخدمات Cisco TFTP التي يتم تشغيلها على نفس الخادم وخادم (خدمات) CAPF و ITLRecovery وخادم (خوادم) TFTP وجدار الحماية Adaptive Security Appliance (ASA). لم تتم الإشارة إلى أجهزة التلفزيون في CTL. يتم توفير CTL إلى نقاط النهاية إذا كانت الخدمة، Cisco CTL Provider، قيد التشغيل.
    • اعتبارا من CUCM 14SU(3)، لم تعد خدمة مزود CTL من Cisco تدعم العلامات المميزة CTL، وبدون رمز مميز هي الطريقة الافتراضية المدعومة.

    التأثير حسب مخزن الشهادات

    من المهم للغاية لوظائف النظام الناجحة أن يتم تحديث جميع الشهادات عبر مجموعة CUCM. إذا كانت الشهادات منتهية الصلاحية أو غير صالحة، فإنها يمكن أن تؤثر بشكل كبير على الوظيفة العادية للنظام. قد يختلف التأثير بناء على إعداد نظامك. يتم عرض قائمة بالخدمات الخاصة بالشهادات المحددة غير الصالحة أو التي انتهت صلاحيتها هنا: 

    CallManager.pem

    • الهواتف المشفرة/المصادق عليها لا يتم تسجيلها.
    • بروتوكول نقل الملفات المبسط (TFTP) غير موثوق به (لا تقبل الهواتف ملفات التكوين الموقعة و/أو ملفات ITL).
    • يمكن أن تتأثر خدمات الهاتف.
    • لا تقوم قنوات اتصال بروتوكول بدء جلسة العمل الآمنة (SIP) أو موارد الوسائط (جسور المؤتمرات ونقطة إنهاء الوسائط (MTP) و Xcoders وما إلى ذلك) بالتسجيل أو العمل.
    • فشل طلب AXL.

    Tomcat.pem

    • يتعذّر على الهواتف الوصول إلى خدمات بروتوكول نقل النص التشعبي (HTTP) المستضافة على عقدة CUCM، مثل دليل الشركة.
    • يمكن أن يحتوي CUCM على مشاكل ويب مختلفة، مثل تعذر الوصول إلى صفحات الخدمة من العقد الأخرى في نظام المجموعة.
    • Extension Mobility (EM) أو Extension Mobility عبر مشاكل المجموعات.
    • تسجيل دخول أحادي (SSO)
    • منطقة عبور Expressway للأسفل (يتم تمكين التحقق من TLS).
    • إذا تم دمج Unified Contact Center Express (UCCX)، نظرا لتغيير الأمان من CCX 12.5، فيلزم تحميل شهادة CUCM Tomcat (موقعة ذاتيا) أو شهادة جذر Tomcat والشهادة الوسيطة (ل CA SIGNED) في مخزن UCCX Tomcat-trust لأنها تؤثر على عمليات تسجيل الدخول إلى سطح المكتب من Finesse.

    CAPF.pem

    • تستخدم هذه الشهادة لإصدار LSC إلى نقاط النهاية (باستثناء وضع CAPF المتصل وغير المتصل)، وشبكة VPN الهاتفية، و 802.1x، ووكيل الهاتف.
    • بدءا من الإصدار 11.5(1) SU1 من Unified Communications Manager، يتم توقيع جميع شهادات LSC التي تم إصدارها بواسطة خدمة CAPF باستخدام خوارزمية SHA-256.
    • إعداد المصادقة والتشفير ل CTI و JTAPI و TAPI.

    IPSec.pem

    • يتعذر على نظام إسترداد البيانات بعد الكوارث/إطار العمل الخاص باستعادة البيانات بعد الكوارث (DRF) العمل بشكل صحيح.
    • أنفاق IPsec إلى البوابة (GW) أو إلى مجموعات CUCM الأخرى لا تعمل.

    خدمة التحقق من الثقة (TVS)

    خدمة التحقق من الثقة (TVS) هي المكون الرئيسي للتأمين بشكل افتراضي. تمكن أجهزة التلفزيون Cisco Unified IP Phones من مصادقة خوادم التطبيقات، مثل خدمات EM والدليل و MIDlet، عند إنشاء HTTPS.

    توفر أجهزة التلفاز هذه الميزات التالية:

    • قابلية التوسعة - لا تتأثر موارد هاتف بروتوكول الإنترنت الموحد من Cisco بعدد الشهادات التي يجب الوثوق بها.
    • المرونة - تنعكس إضافة أو إزالة شهادات الثقة تلقائيا في النظام.
    • التأمين بشكل افتراضي - تكون ميزات الأمان غير المتعلقة بالوسائط أو الإشارات جزءا من التثبيت الافتراضي ولا تتطلب تدخل المستخدم.

    ITLRecovery (خدمة التحقق من الثقة)

    • 8.x - 11.5 إستعادة الهواتف المزودة بسجل المعاملات الدولي (ITL) غير المتطابق وترحيل الهاتف والتوافق الكهرومغناطيسي (EMCC) إلى CUCM 12.0+.
    • 12.0+ المستخدم في نظام تسجيل الدخول الموحد (SSO) ومركز تسجيل الدخول (EMCC) والموقع الرئيسي لسجل المعاملات الدولي/قائمة التحكم في الوصول إلى المنفذ (CTL).
    • 12.5+ لا يتم إنشاء إسترداد ITL إلا بواسطة Publisher.

    دعم ECDSA لمدير الشهادات

    في الإصدار 11.0 من Unified Communications Manager، يدعم مدير الشهادات إنشاء شهادات ECDSA ذاتية التوقيع وطلب توقيع شهادة ECDSA (CSR). الإصدارات السابقة من Unified Communications Manager تدعم شهادة RSA فقط. ومع ذلك، تمت إضافة شهادة CallManager-ECDSA إلى الإصدار 11.0 من Unified Communications Manager مع شهادة RSA الموجودة.

    تشترك كل من شهادات CallManager و CallManager-ECDSA في مخزن الشهادات الموثوق به الشائع—CallManager-Trust. يقوم Unified Communications Manager بتحميل هذه الشهادات إلى مخزن الثقة هذا.

    شهادة هوية موقعة من طرف خارجي

    ملاحظة: يمكن أن يعني الطرف الثالث "هيئة الشهادات الداخلية" (CA) أو مصادر خارجية مثل Go-Daddy، Verising، ومصادر أخرى.  شهادة الهوية هي شهادة الخادم للقائمة المحددة (Tomcat، Call Manager، وما إلى ذلك).

    1. انتقل إلى كل خادم في نظام المجموعة الخاص بك (في علامات تبويب منفصلة بمستعرض الويب الخاص بك ما لم تكن تقوم بإنشاء CSR متعدد شبكات SAN) بدءا بالناشر، الذي نجح من قبل كل مشترك. انتقل إلى إدارة نظام التشغيل الموحدة من Cisco > الأمان > إدارة الشهادات.
    2. حدد إنشاء CSR.
    3. حدد القائمة المنسدلة غرض الشهادة وحدد الشهادة.
    4. حدد نوع التوزيع. خادم واحد أو خادم متعدد الخوادم (SAN).
      • تتضمن شبكة منطقة التخزين (SAN) متعددة الخوادم جميع عقد CUCM و CUPS في قسم شبكات منطقة التخزين (SAN).
    5. تحديد إنشاء.
    6. قم بتنزيل CSR وتقديمها إلى المرجع المصدق الخاص بك.
    7. بعد إستلام الشهادة الموقعة، قم بتحميل الشهادات حسب ترتيب السلسلة.
      • قم بتحميل الجذر كشهادة ثقة.
      • تحميل الوسيط كشهادة ثقة.
      • قم بتحميل الشهادة الموقعة كنوع الشهادة.
      • قم بإعادة تشغيل الخدمات المناسبة المحددة في القائمة المنبثقة.

    عملية إنشاء الشهادة

    ملاحظة: يجب تشغيل كافة نقاط النهاية وتسجيلها قبل إعادة إنشاء الشهادات. وإلا، فإن الهواتف غير المتصلة تتطلب إزالة سجل المعاملات الدولي.

    شهادة تومكات

    عملية إعادة إنشاء Tomcat و Tomcat-ECDSA متطابقة، بما في ذلك إعادة تشغيل الخدمة.

    تحديد ما إذا كانت شهادات الجهات الخارجية قيد الاستخدام:

    1. انتقل إلى كل خادم في نظام المجموعة الخاص بك (في علامات تبويب منفصلة بمستعرض الويب الخاص بك) بدءا من الناشر، ثم تم تنفيذ ذلك بواسطة كل مشترك.  انتقل إلى إدارة نظام التشغيل الموحدة من Cisco > الأمان > إدارة الشهادات > بحث.
      • لاحظ من عمود الوصف إذا كانت Tomcat تذكر شهادة موقعة ذاتيا تم إنشاؤها بواسطة النظام. إذا كان Tomcat هو الطرف الثالث الموقع، فاستخدم الرابط المتوفر وقم بإجراء تلك الخطوات بعد تجديد Tomcat.
      • الشهادات الموقعة من جهات خارجية، راجع شهادات CUCM التي يتم تحميلها CCMAdmin Web GUI. 
    2. حدد بحث لإظهار كل الشهادات:
      • حدد Find Tomcat PEM.
      • بمجرد فتح، حدد إعادة الإنشاء وانتظر حتى ترى قائمة النجاح المنبثقة، ثم قم بإغلاق المنبثقة أو قم بالرجوع وحدد بحث/قائمة.
    3. تابع مع كل مشترك تالي، نفذ نفس الإجراء في الخطوة 2 واستكمل على كل المشتركين في المجموعة الخاصة بك.
    4. بعد أن تقوم جميع العقد بإعادة إنشاء شهادة Tomcat، قم بإعادة تشغيل خدمة Tomcat على جميع العقد. ابدأ بالناشر، واستمر مع المشتركين.
      • in order to أعدت Tomcat، أنت تحتاج أن يفتح CLI جلسة ل كل عقدة وينفذ الأمر يتطلب خدمة يعيد تشغيل cisco Tomcat.

    Tomcat

    5. تستخدم هذه الخطوات من بيئة CCX، إذا كان ذلك ينطبق:

    • إذا تم إستخدام شهادة موقعة ذاتيا، قم بتحميل شهادات Tomcat من جميع عقد نظام مجموعة CUCM إلى مخزن ثقة CCX Tomcat الموحد.
    • إذا تم إستخدام شهادة CA الموقعة أو الشهادة الموقعة الخاصة، قم بتحميل شهادة CA الجذر ل CUCM إلى مخزن ثقة CCX Tomcat الموحد.
    • قم بإعادة تشغيل الخوادم كما هو مذكور في مستند إعادة إنشاء الشهادة ل CCX.

    مراجع إضافية:

     شهادة IPSec

    ملاحظة: CUCM/Instant Messaging and Presence (IM&P) قبل الإصدار 10.x، يعمل Master وكيل DRF على كل من ناشر CUCM وناشر IM&P. تعمل الخدمة المحلية ل DRF على المشتركين على التوالي. الإصدارات 10.x والأعلى، يعمل Master وكيل DRF على ناشر CUCM فقط والخدمة المحلية DRF على مشتركي CUCM وناشر ومشتركي IM&P.

    ملاحظة: يستخدم نظام إسترداد البيانات بعد الكوارث إتصالات قائمة على طبقة مأخذ التوصيل الآمنة (SSL) بين Master البرنامج والوكيل المحلي لمصادقة البيانات وتشفيرها بين عقد مجموعة CUCM. يستخدم DRS شهادات IPSec لتشفير المفاتيح العام/الخاص الخاص. اعلم أنه إذا قمت بحذف ملف IPSec TrustStore (hostname.pem) من صفحة "إدارة الشهادات"، فإن DRS لا يعمل كما هو متوقع. إذا قمت بحذف ملف ثقة IPSec يدويا، فيجب عليك التأكد من تحميل شهادة IPSec إلى مخزن ثقة IPSec. لمزيد من التفاصيل، ارجع إلى صفحة تعليمات إدارة الشهادات في أدلة أمان مدير الاتصالات الموحدة من Cisco.

    1. انتقل إلى كل خادم في نظام المجموعة الخاص بك (في علامات تبويب منفصلة بمستعرض الويب الخاص بك) وابدأ بالناشر الذي نجح من قبل كل مشترك. انتقل إلى إدارة نظام التشغيل الموحدة من Cisco > الأمان > إدارة الشهادات > بحث.
      • حدد IPSEC PEM الشهادة.
      • بمجرد فتح، حدد إعادة الإنشاء وانتظر حتى ترى قائمة النجاح المنبثقة، ثم أغلق المنبثقة أو عد وحدد بحث/قائمة.
    2. المتابعة مع المشتركين اللاحقين؛ قم بتنفيذ الإجراء نفسه في الخطوة 1 واستكمل على جميع المشتركين في المجموعة الخاصة بك.
    3. بعد أن قامت كافة العقد بإعادة إنشاء شهادة IPSec، قم بإعادة تشغيل الخدمات.
      • انتقل إلى Publisher Cisco Unified ServiceAbility.
        1. الخدمة الموحدة من Cisco > أدوات > مركز التحكم - خدمات الشبكة
        2. حدد إعادة التشغيل على خدمة DRF الرئيسية من Cisco.
        3. بمجرد اكتمال عملية إعادة تشغيل الخدمة، حدد إعادة التشغيل على الخدمة المحلية لبرنامج Cisco DRF على الناشر، ثم تابع مع المشتركين وحدد إعادة التشغيل على برنامج Cisco DRF المحلي.

    يجب أن تكون شهادة IPSec.pem الموجودة في الناشر صالحة ويجب أن تكون موجودة في جميع المشتركين كجهات IPSec الموثوق بها. شهادة IPSec.pem للمشترك غير موجودة في الناشر كثقة IPSec في عملية نشر قياسية. للتحقق من الصلاحية، قارن الأرقام التسلسلية في شهادة IPSec.pem من PUB مع ثقة IPSec في الوحدات الفرعية. يجب أن تتطابق.

    شهادة CAPF

    ملاحظة: بداية من CUCM 14، يمكن العثور على شهادة CAPF على الناشر فقط.

    تحذير: تأكد من تحديد ما إذا كان نظام المجموعة في الوضع المختلط قبل المتابعة.  ارجع إلى القسم تعريف وضع أمان نظام المجموعة.

    1. انتقل إلى إدارة Cisco Unified CM > System > معلمات Enterprise.
      • تحقق من معلمات أمان القسم وتحقق من تعيين وضع أمان نظام المجموعة على 0 أو 1. إذا كانت القيمة 0، فسيكون نظام المجموعة في وضع غير آمن. إذا كان الرقم 1، فسيكون نظام المجموعة في الوضع المختلط ويجب تحديث ملف CTL قبل إعادة تشغيل الخدمات. راجع روابط الرمز المميز والرمز غير الرمزي.
    2. انتقل إلى كل خادم في نظام المجموعة الخاص بك (في علامات تبويب منفصلة بمستعرض الويب الخاص بك) بدءا من الناشر، ثم كل مشترك.  انتقل إلى إدارة نظام التشغيل الموحدة من Cisco > الأمان > إدارة الشهادات > بحث.
      • حددCAPF PEM الشهادة.
      • بمجرد فتح، حدد إعادة الإنشاء وانتظر حتى ترى قائمة النجاح المنبثقة ثم أغلق المنبثقة أو عد وحدد بحث/قائمة.
    3. المتابعة مع المشتركين اللاحقين؛ نفذ نفس الإجراء في الخطوة 2، وأكمل على جميع المشتركين في المجموعة الخاصة بك.
      • إذا كان نظام المجموعة في الوضع المختلط أو كان CTL قيد الاستخدام ل 802.1X، يجب تحديث CTL قبل المتابعة.
        • قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب Publisher وأدخل ملف CTLFile الخاص بتحديث الأمر.
        • قم بإعادة ضبط جميع الهواتف المشفرة والمصدقة لتحديث ملف CTL لتأخذ مفعولها.
    4. بعد أن تقوم كافة العقد بإعادة إنشاء شهادة CAPF، قم بإعادة تشغيل الخدمات.
      • انتقل إلى أداة نشر Cisco Unified ServiceClient.
        1. الخدمة الموحدة من Cisco > أدوات > مركز التحكم - خدمات الميزات.
        2. حدد الناشر وحدد إعادة التشغيل في خدمة وظيفة وكيل مرجع الشهادات من Cisco، فقط إذا كانت نشطة.
    5. انتقل إلى Cisco Unified ServiceAbility > أدوات > Control Center (مركز التحكم) - خدمات الشبكة.
      • ابدأ بالناشر، ثم استمر مع المشتركين، حدد إعادة التشغيل على خدمة التحقق من الثقة من Cisco.
      • انتقل إلى Cisco Unified ServiceAbility > أدوات > Control Center (مركز التحكم) - خدمات الميزات.
      • ابدأ مع الناشر ثم تابع مع المشتركين، وأعد تشغيل خدمة Cisco TFTP حيث تم بدء عرض الحالة.
    6. إعادة تشغيل جميع الهواتف:
      • الخيار 1
      • إدارة Cisco Unified CM > النظام > معلمات Enterprise
      • حدد إعادة ضبط، ثم سترى عنصرا منبثق يحمل عبارة أنت على وشك إعادة ضبط جميع الأجهزة في النظام. لا يمكن التراجع عن هذا الإجراء. تابع؟، حدد موافق، ثم حدد إعادة التعيين.
        • تقوم هذه الطريقة بإعادة تعيين كافة المكونات في "إدارة المكالمات".
      • الخيار 2
      • إدارة Cisco Unified CM > الإدارة المجمعة > الهواتف > تحديث الهواتف > الاستعلام
        • يبدأ البحث عن اسم الجهاز ب SEP> التالي > إعادة ضبط الهواتف > التشغيل فورا.

    إعادة ضبط الهواتف الآن. قم بمراقبة أفعالهم عبر أداة RTMT لضمان نجاح إعادة الضبط وتسجيل الأجهزة مرة أخرى إلى CUCM.  انتظر حتى يكتمل تسجيل الهاتف قبل المتابعة إلى الشهادة التالية. قد تستغرق عملية تسجيل الهواتف هذه بعض الوقت. مع العلم، لا تقوم الأجهزة التي تحتوي على قوائم تحكم في الوصول (ITL) سيئة قبل عملية إعادة الإنشاء بالتسجيل مرة أخرى إلى نظام المجموعة حتى يتم إزالته.

    شهادة CallManager

    تكون عملية إعادة إنشاء CallManager و CallManager-ECDSA متطابقة، بما في ذلك عمليات إعادة تشغيل الخدمة.

    تحذير: تأكد من تحديد ما إذا كان نظام المجموعة في الوضع المختلط قبل المتابعة. ارجع إلى القسم تعريف وضع أمان نظام المجموعة.

    تحذير: لا تقم بإعادة إنشاء شهادات CallManager.PEM و TVS.PEM في نفس الوقت في الإصدارات 8.x-11.5، أو إذا تم توقيع ITL بواسطة شهادة مدير الاتصال.  وهذا يتسبب في عدم تطابق لا يمكن إسترداده مع ITL المثبت على نقاط النهاية التي تتطلب إزالة ITL من جميع نقاط النهاية في المجموعة، أو الاستعادة من DRS لبدء تحديثات الشهادة مرة أخرى.

    1. انتقل إلى إدارة Cisco Unified CM > System > معلمات Enterprise:
      • تحقق من معلمات أمان القسم وتحقق من تعيين وضع أمان نظام المجموعة على 0 أو 1. إذا كانت القيمة 0، فسيكون نظام المجموعة في وضع غير آمن. إذا كان الرقم 1، فسيكون نظام المجموعة في الوضع المختلط ويجب تحديث ملف CTL قبل إعادة تشغيل الخدمات. راجع روابط الرمز المميز والرمز غير الرمزي.
    2. انتقل إلى كل خادم في نظام المجموعة الخاص بك (في علامات تبويب منفصلة بمستعرض الويب الخاص بك) بدءا من الناشر، ثم كل مشترك. انتقل إلى إدارة نظام التشغيل الموحدة من Cisco > الأمان > إدارة الشهادات > بحث.
      • حدد شهادة PEM ل CallManager.
      • بمجرد فتح، حدد إعادة الإنشاء وانتظر حتى ترى قائمة النجاح المنبثقة، ثم أغلق المنبثقة أو عد وحدد بحث/قائمة.
    3. المتابعة مع المشتركين اللاحقين؛ نفذ نفس الإجراء في الخطوة 2، وأكمل على جميع المشتركين في المجموعة الخاصة بك.
      • إذا كان نظام المجموعة في الوضع المختلط، أو كان CTL قيد الاستخدام ل 802.1X، يجب تحديث CTL قبل المتابعة.
        • قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب Publisher وأدخل ملف CTLFile الخاص بتحديث الأمر.
        • قم بإعادة ضبط جميع الهواتف المشفرة والمصدقة لتحديث ملف CTL لتأخذ مفعولها.
    4. تسجيل الدخول إلى الخدمة الموحدة ل Publisher Cisco:
      • انتقل إلى Cisco Unified ServiceAbility > أدوات > Control Center (مركز التحكم) - خدمات الميزات.
      • ابدأ مع الناشر، ثم استمر مع المشتركين، ثم أعد تشغيل خدمة Cisco CallManager فقط حيث تم بدء عرض الحالة.
    5. انتقل إلى Cisco Unified ServiceAbility > أدوات > Control Center (مركز التحكم) - خدمات الميزات.
      • ابدأ مع Publisher، ثم استمر مع المشتركين، وأعد تشغيل خدمة Cisco CTIManager حيث تم بدء عرض الحالة.
    6. انتقل إلى Cisco Unified ServiceAbility > أدوات > Control Center - خدمة الشبكة.
      • ابدأ مع الناشر، ثم استمر مع المشتركين، وأعد تشغيل خدمة التحقق من الثقة من Cisco.
    7. انتقل إلى Cisco Unified ServiceAbility > أدوات > Control Center (مركز التحكم) - خدمات الميزات.
      • ابدأ مع الناشر، ثم استمر مع المشتركين، وأعد تشغيل خدمة Cisco TFTP حيث تم بدء عرض الحالة.
    8. إعادة تشغيل جميع الهواتف:
      • الخيار 1
      • إدارة Cisco Unified CM > النظام > معلمات Enterprise
        • حدد إعادة ضبط، ثم سترى عنصرا منبثق يحمل عبارة أنت على وشك إعادة ضبط جميع الأجهزة في النظام. لا يمكن التراجع عن هذا الإجراء. تابع؟، حدد موافق، ثم حدد إعادة التعيين.
        • تقوم هذه الطريقة بإعادة تعيين كافة المكونات في "إدارة المكالمات".
      • الخيار 2
      • إدارة Cisco Unified CM > الإدارة المجمعة > الهواتف > تحديث الهواتف > الاستعلام
        • يبدأ البحث عن اسم الجهاز ب SEP> التالي > إعادة ضبط الهواتف > التشغيل فورا

    إعادة ضبط الهواتف الآن. قم بمراقبة أفعالهم عبر أداة RTMT لضمان نجاح إعادة الضبط وتسجيل الأجهزة مرة أخرى إلى CUCM.  انتظر حتى يكتمل تسجيل الهاتف قبل المتابعة إلى الشهادة التالية. قد تستغرق عملية تسجيل الهواتف هذه بعض الوقت. مع العلم، لا تقوم الأجهزة التي تحتوي على قوائم تحكم في الوصول (ITL) سيئة قبل عملية إعادة الإنشاء بالتسجيل مرة أخرى إلى المجموعة حتى يتم إزالة ITL.

    شهادة TVS

    تحذير:  لا تقم بإعادة إنشاء شهادات CallManager.PEM و TVS.PEM في نفس الوقت في الإصدارات 8.x-11.5، أو إذا تم توقيع ITL بواسطة شهادة مدير الاتصال.  وهذا يتسبب في عدم تطابق لا يمكن إسترداده مع ITL المثبت على نقاط النهاية التي تتطلب إزالة ITL من جميع نقاط النهاية في المجموعة، أو الاستعادة من DRS لبدء تحديثات الشهادة مرة أخرى.

    ملاحظة: يصادق TVS الشهادات نيابة عن "إدارة المكالمات". إعادة إنشاء الشهادة الأخيرة.

    انتقل إلى كل خادم في نظام المجموعة الخاص بك (في علامات تبويب منفصلة بمستعرض الويب الخاص بك) بدءا من الناشر، ثم كل مشترك.  انتقل إلى إدارة نظام التشغيل الموحدة من Cisco > الأمان > إدارة الشهادات > بحث.

    • حدد شهادة TVS PEM.
    • بمجرد فتح، حدد إعادة الإنشاء وانتظر حتى ترى قائمة النجاح المنبثقة ثم أغلق المنبثقة أو عد وحدد بحث/قائمة.
    1. المتابعة مع المشتركين اللاحقين؛ قم بتنفيذ الإجراء نفسه في الخطوة 1 واستكمل على جميع المشتركين في المجموعة الخاصة بك.
      • بعد أن قامت كافة العقد بإعادة إنشاء شهادة TVS، قم بإعادة تشغيل الخدمات:
        • سجل الدخول إلى Publisher Cisco Unified ServiceAbility.
          • انتقل إلى Cisco Unified ServiceAbility > أدوات > Control Center - خدمات الشبكة
          • في الناشر، حدد إعادة التشغيل في خدمة التحقق من الثقة من Cisco.
        • بمجرد اكتمال إعادة تشغيل الخدمة، استمر مع المشتركين وأعد تشغيل خدمة التحقق من الثقة من Cisco.
    2. ابدأ بالنشر، ثم استمر مع المشتركين، ثم أعد تشغيل خدمة Cisco TFTP حيث تم بدء عرض الحالة.
    3. إعادة تشغيل جميع الهواتف:
      • الخيار 1
      • إدارة Cisco Unified CM > النظام > معلمات Enterprise
        • حدد إعادة ضبط، ثم سترى عنصرا منبثق يحمل عبارة أنت على وشك إعادة ضبط جميع الأجهزة في النظام. لا يمكن التراجع عن هذا الإجراء. تابع؟، حدد موافق، ثم حدد إعادة التعيين.
        • تقوم هذه الطريقة بإعادة تعيين كافة المكونات في "إدارة المكالمات".
      • الخيار 2
      • إدارة Cisco Unified CM > الإدارة المجمعة > الهواتف > تحديث الهواتف > الاستعلام
        • يبدأ البحث عن اسم الجهاز ب SEP> التالي > إعادة ضبط الهواتف > التشغيل فورا.

    إعادة ضبط الهواتف الآن. قم بمراقبة أفعالهم عبر أداة RTMT لضمان نجاح إعادة الضبط وتسجيل الأجهزة مرة أخرى إلى CUCM.  انتظر حتى يكتمل تسجيل الهاتف قبل المتابعة إلى الشهادة التالية. قد تستغرق عملية تسجيل الهواتف هذه بعض الوقت. مع العلم، لا تقوم الأجهزة التي تحتوي على قوائم تحكم في الوصول (ITL) سيئة قبل عملية إعادة الإنشاء بالتسجيل مرة أخرى إلى المجموعة حتى يتم إزالة ITL.

    شهادة ITLRovery

    ملاحظة: يتم إستخدام "شهادة ITLRecovery" عندما تفقد الأجهزة حالتها الموثوق بها. تظهر الشهادة في كل من ITL و CTL (عندما يكون موفر CTL نشطا، Cisco bug IDCSCwf85275).
    ابتداء من 12.5+، يعد ITLRovery شهادة واحدة تم إنشاؤها من قبل الناشر وتوزيعها على المشتركين.
    إذا فقدت الأجهزة حالة الثقة الخاصة بها، فيمكنك إستخدام الأمر من خلال إعادة ضبط المفتاح المحلي للمجموعات غير الآمنة والأمر يتطلب إعادة ضبط المفتاح المحلي لمجموعات الوضع المختلط. اقرأ دليل الأمان لإصدار "إدارة المكالمات" لتتعرف على كيفية إستخدام شهادة ITLRovery والعملية المطلوبة لاستعادة الحالة الموثوق بها.
    إذا تمت ترقية نظام المجموعة إلى إصدار يدعم طول مفتاح لعام 2048، وتم إعادة إنشاء شهادات خادم نظام المجموعة إلى عام 2048، ولم يتم إعادة إنشاء ITLRecovery وهو حاليا طول مفتاح 1024، فسيفشل الأمر ITL Recovery ولا يتم إستخدام أسلوب ITLRecovery.

    1. انتقل إلى كل خادم في نظام المجموعة الخاص بك (في علامات تبويب منفصلة بمستعرض الويب الخاص بك) بدءا من الناشر، ثم كل مشترك.  انتقل إلى إدارة نظام التشغيل الموحدة من Cisco > الأمان > إدارة الشهادات > بحث.
      • حدد شهادة ITLRecovery pem.
      • بمجرد فتح، حدد إعادة الإنشاء وانتظر حتى ترى قائمة النجاح المنبثقة ثم أغلق المنبثقة أو عد وحدد بحث/قائمة.
    2. بعد إعادة إنشاء شهادة ITLRecovery، يجب إعادة تشغيل الخدمات.
      • إذا كان نظام المجموعة في الوضع المختلط أو كان CTL قيد الاستخدام ل 802.1X، يجب تحديث CTL قبل المتابعة.
        • قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب Publisher وأدخل ملف CTLFile الخاص بتحديث الأمر.
        • قم بإعادة ضبط جميع الهواتف المشفرة والمصدقة لتحديث ملف CTL لتأخذ مفعولها.
      • تسجيل الدخول إلى Publisher Cisco Unified Serviceability.
        • انتقل إلى Cisco Unified ServiceAbility > أدوات > Control Center - خدمات الشبكة.
        • على الناشر، حدد إعادة التشغيل في خدمة التحقق من الثقة من Cisco.
      •  بمجرد اكتمال إعادة تشغيل الخدمة، استمر مع المشتركين وأعد تشغيل خدمة التحقق من الثقة من Cisco.
    3. ابدأ مع الناشر، ثم استمر مع المشتركين، وأعد تشغيل خدمة Cisco TFTP حيث تم بدء عرض الحالة.
    4. إعادة تشغيل جميع الهواتف:
      • الخيار 1
      • إدارة Cisco Unified CM > النظام > معلمات Enterprise
        • حدد إعادة ضبط، ثم سترى عنصرا منبثق يحمل عبارة أنت على وشك إعادة ضبط جميع الأجهزة في النظام. لا يمكن التراجع عن هذا الإجراء. تابع؟، حدد موافق، ثم حدد إعادة التعيين.
        • تقوم هذه الطريقة بإعادة تعيين كافة المكونات في "إدارة المكالمات".
      • الخيار 2
      • إدارة Cisco Unified CM > الإدارة المجمعة > الهواتف > تحديث الهواتف > الاستعلام
        • يبدأ البحث عن اسم الجهاز ب SEP> التالي > إعادة ضبط الهواتف > التشغيل فورا.

    حذف شهادات الثقة منتهية الصلاحية

    تحذير: قد يؤثر حذف شهادة على عمليات النظام. كما يمكن أن تكسر سلسلة شهادات إذا كانت الشهادة جزءا من سلسلة موجودة. تحقق من هذه العلاقة من اسم المستخدم واسم الموضوع للشهادات ذات الصلة في نافذة قائمة الشهادات.

    ملاحظة: الشهادة الموثوقة هي النوع الوحيد من الشهادات التي يمكنك حذفها. لا يمكنك حذف شهادة موقعة ذاتيا تم إنشاؤها بواسطة النظام الخاص بك. حدد شهادات الثقة التي يجب حذفها، أو لم تعد مطلوبة، أو انتهت صلاحيتها. لا تقم بحذف الشهادات الأساسية الخمس التي تتضمن CallManager.pem و tomcat.pem و ipsEc.pem و CAPF.pem و TVS.pem. يمكن حذف شهادات الثقة عندما يكون ذلك مناسبا. تم تصميم الخدمة التالية التي تتم إعادة تشغيلها لمسح معلومات الشهادات القديمة ضمن هذه الخدمات.

    1. انتقل إلى Cisco Unified ServiceAbility > أدوات > Control Center - خدمات الشبكة.
      • من القائمة المنسدلة، حدد ناشر CUCM.
        • بالنسبة إلى CUCM 11.5 وأقل،
        • حدد إعلام تغيير الشهادة إيقاف. لا يلزم هذا المتطلب للإصدار 12.0 من CUCM والإصدارات الأحدث.
        • تكرار كل عقدة "إدارة المكالمات" في نظام المجموعة.
      • إذا كان لديك خادم IMP:
        • من القائمة المنسدلة حدد خوادم IMP لديك واحدة في كل مرة وحدد خدمات ويب إدارة أنظمة التشغيل "إيقاف" ووكيل مزامنة نظام Cisco Intercluster لا يلزم هذا المتطلب للإصدار 12.0 من IMP والإصدارات الأحدث.
    2. انتقل إلى إدارة نظام التشغيل الموحدة من Cisco > الأمان > إدارة الشهادات > بحث.
      • البحث عن شهادات الثقة منتهية الصلاحية. (بالنسبة للإصدارات 10.x والإصدارات الأعلى، يمكنك التصفية حسب انتهاء الصلاحية. بالنسبة للإصدارات الأقل من 10.0، حدد الشهادات يدويا أو أستخدم تنبيهات RTMT إذا تم إستلامها.)
      • يمكن أن تظهر نفس شهادة الثقة في عقد متعددة. يجب حذفها بشكل فردي من كل عقدة.
      • حدد شهادة الثقة التي سيتم حذفها (وفقا للإصدار الخاص بك، إما أن تحصل على منبثق أو تنتقل إلى الشهادة في نفس الصفحة)
        • حدد حذف. (يمكنك الحصول على عنصر منبثق يبدأ ب "أنت على وشك حذف هذه الشهادة نهائيا".)
        • حدد OK.
    3. كرر العملية لكل شهادة ثقة ليتم حذفها.
    4. عند الاكتمال، يجب إعادة تشغيل الخدمات المرتبطة مباشرة بالشهادات المحذوفة. لا تحتاج إلى إعادة تشغيل الهواتف في هذا القسم.  تأثير نقطة نهاية Call Manager و CAPF.
      • الثقة التامة: قم بإعادة تشغيل خدمة Tomcat عبر سطر الأوامر (راجع قسم Tomcat).
      • CAPF-trust: إعادة تشغيل وظيفة وكيل مرجع الشهادات من Cisco (راجع قسم CAPF). عدم إعادة تشغيل نقاط النهاية.
      • CallManager-trust: CallManager Service/CTIManager (راجع قسم CallManager). عدم إعادة تشغيل نقاط النهاية.
        • تأثيرات نقاط النهاية والأسباب إعادة التشغيل.
      • ثقة IPSec: محلي DRF Master/DRF (راجع قسم IPSec).
      • أجهزة التلفزيون (ذاتية التوقيع) ليس لديها شهادات ثقة.
    5. تم إيقاف إعادة تشغيل الخدمات في الخطوة 1 مسبقا.

    التحقق

    إجراء التحقق غير متوفر لهذا التكوين.

    استكشاف الأخطاء وإصلاحها

    لا تتوفر إجراءات أستكشاف الأخطاء وإصلاحها لهذا التكوين.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    5.0
    13-May-2025
    تقويم
    4.0
    30-Oct-2024
    الترجمة الآلية المحدثة ومتطلبات النمط والتنسيق.
    3.0
    28-Sep-2022
    تم التحديث
    2.0
    16-Sep-2022
    معاد نشرها.
    1.0
    03-Apr-2019
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Ken Ryder
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات