إنشاء شهادات جديدة من شهادات CA الموقعة

خيارات التنزيل

  • PDF     (803.6 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (610.6 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (559.2 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٢ نوفمبر ٢٠٢٥
معرّف المستند:217138

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية إعادة إنشاء الشهادات الموقعة من مرجع مصدق (CA) في مدير الاتصالات الموحدة (CUCM) من Cisco.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • أداة مراقبة الوقت الفعلي (RTMT)
    • شهادات CUCM

    المكونات المستخدمة

    • CUCM الإصدار 14.x و 15.x

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    تأثير الأعمال

    يعرض هذا الجدول تأثير كل تجديد للشهادة على الشركة في عمليتك. راجعوا المعلومات باعتناء. تجديد الشهادات المطلوبة بعد ساعات العمل أو خلال فترات الهدوء، استنادا إلى مستوى المخاطر لكل شهادة.

    alt-tag-for-image

    معلومات التحقق المسبق

    ملاحظة: لإعادة إنشاء الترخيص الموقع ذاتيا، راجع دليل إعادة إنشاء الشهادة. للحصول على إعادة إنشاء شهادة CA-SAN المتعددة، راجع دليل تجديد الشهادة متعدد شبكات SAN

    يحتوي كل نوع من أنواع طلبات توقيع الشهادات (CSR) على إستخدامات مفاتيح مختلفة وتلك مطلوبة في الشهادة الموقعة. يتضمن دليل التأمين جدولا به إستخدامات المفتاح المطلوبة لكل نوع من الشهادات.

    لتغيير إعدادات الموضوع (الإعدادات المحلية والحالة ووحدة المؤسسة وما إلى ذلك) قم بتشغيل هذا الأمر:

    • set web-security orgunit orgunit name locality دولة [بلد] [alternatehostname] 

    يتم إعادة إنشاء شهادة Tomcat تلقائيا بعد أن تقوم بتشغيل الأمر set web-security. لا يتم تطبيق الشهادة الموقعة ذاتيا الجديدة إلا إذا تم إعادة تشغيل خدمة Tomcat. يرجى الرجوع إلى هذه الأدلة للحصول على مزيد من المعلومات حول هذا الأمر:

    تكوين الشهادات وإعادة إنشائها

    يتم سرد الخطوات لإعادة إنشاء شهادات العقد الواحد في نظام مجموعة CUCM موقع من قبل CA لكل نوع من الشهادات. ليس من الضروري إعادة إنشاء كافة الشهادات الموجودة في نظام المجموعة إذا لم تكن قد انتهت صلاحيتها. 

    شهادة تومكات alt-tag-for-image

    warning-icon

    تحذير: قد يتسبب انتهاء صلاحية شهادة Tomcat أو عملية غير صحيحة في التجديد في: فشل تسجيل دخول SSO، يتعذر على الهواتف الوصول إلى خدمات HTTPs المستضافة على عقدة CUCM، مثل دليل الشركة. يمكن أن يحتوي CUCM على مشاكل ويب مختلفة، مثل تعذر الوصول إلى صفحات الخدمة من العقد الأخرى في نظام المجموعة. Extension Mobility (EM) أو Extension Mobility عبر مشاكل المجموعات. منطقة عبور Expressway للأسفل (يتم تمكين التحقق من TLS). إذا تم دمج Unified Contact Center Express (UCCX)، بسبب تغيير الأمان من CCX، يلزم تحميل شهادة CUCM Tomcat (موقعة ذاتيا) أو الشهادة الوسيطة وجذر Tomcat (ل CA SIGNED) في مخزن UCCX Tomcat Trust لأنها تؤثر على عمليات تسجيل الدخول إلى سطح المكتب من Finesse.

    تحذير: تحقق من تعطيل SSO في المجموعة (إدارة CM > النظام > تسجيل دخول أحادي ل SAML). إذا تم تمكين SSO، يجب تعطيله ثم تمكينه بمجرد اكتمال عملية إعادة إنشاء شهادة Tomcat.

    على كافة العقد (CallManager و IM&P) الخاصة بالمجموعة:

    الخطوة 1. انتقل إلى إدارة نظام التشغيل الموحد من Cisco > الأمان > إدارة الشهادات > البحث عن تاريخ انتهاء صلاحية شهادة Tomcat والتحقق منها.

    الخطوة 2. انقر فوق إنشاء CSR > غرض الشهادة: tomcat. حدد الإعدادات المطلوبة للشهادة، ثم انقر إنشاء. انتظر حتى تظهر رسالة النجاح وانقر فوق "إغلاق".

    Certificate Signing Request Generated

    الخطوة 3. تنزيل CSR. انقر على تنزيل CSR، وحدد غرض الشهادة: توم كات و طقطقة تحميل.

    Download Certificate Signing Request

    الخطوة 4. إرسال CSR إلى المرجع المصدق.

    الخطوة 5. تقوم هيئة الترخيص بإرجاع ملفين أو أكثر لسلسلة الشهادات الموقعة. تحميل الشهادات بهذا الترتيب:

    • شهادة المرجع المصدق الجذر ك TOMCAT-trust. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: ثقة. اضبط وصف الشهادة واستعرض ملف الشهادة الجذر.
    • الشهادة الوسيطة ك tomcat-trust (إختياري). انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: الثقة المتبادلة. اضبط وصف الشهادة واستعرض ملف الشهادة الوسيطة.

    ملاحظة: لا توفر بعض المراجع المصدقة شهادة وسيطة. في حالة توفير الشهادة الجذر فقط، يمكن حذف هذه الخطوة.

    • شهادة موقعة من CA ك Tomcat. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: ثبتت. الوصف من الشهادة واستعرض ال CA موقع شهادة مبرد ل الحالي CUCM عقدة.

    ملاحظة: عند هذه النقطة، يقوم CUCM بمقارنة CSR والشهادة الموقعة من CA التي تم تحميلها. إذا تطابقت المعلومات، تختفي CSR، ويتم تحميل الشهادة الجديدة الموقعة من CA. إذا ظهرت رسالة خطأ بعد تحميل الشهادة، فارجع إلى قسم رسائل الخطأ الشائعة لتحميل الشهادة.

    الخطوة 6. للحصول على الشهادة الجديدة التي يتم تطبيقها على الخادم، يلزم إعادة تشغيل خدمة Cisco Tomcat عبر CLI (ابدأ مع Publisher، ثم يستخدم المشتركون، واحدا في كل مرة)، الأمر فوق إعادة تشغيل الخدمة Cisco Tomcat.

    للتحقق من إستخدام شهادة Tomcat الآن من قبل CUCM، انتقل إلى صفحة الويب الخاصة بالعقدة وحدد معلومات الموقع (أيقونة القفل) في المستعرض. انقر على خيار الشهادة، ثم تحقق من تاريخ الشهادة الجديدة.

    Certificate Option

    Certificate Information

    شهادة IPSec alt-tag-for-image

    warning-icon

    تحذير: قد يتسبب انتهاء صلاحية شهادة IPsec أو عملية غير صحيحة في التجديد في: يتعذر على نظام إسترداد البيانات بعد الكوارث/إطار العمل الخاص باستعادة البيانات بعد الكوارث (DRF) العمل بشكل صحيح. أنفاق IPsec إلى البوابة (GW) أو إلى مجموعات CUCM الأخرى لا تعمل.

    تحذير: يجب ألا تكون مهمة النسخ الاحتياطي أو الاستعادة نشطة عند إعادة إنشاء شهادة IPSec.

    بالنسبة لجميع العقد (CallManager و IM&P) الخاصة بالمجموعة:

    الخطوة 1. انتقل إلى إدارة نظام التشغيل الموحد من Cisco > الأمان > إدارة الشهادات > البحث عن تاريخ انتهاء صلاحية شهادة IPsec والتحقق منها.

    الخطوة 2. انقر فوق إنشاء CSR > غرض الشهادة: IPsec. حدد الإعدادات المطلوبة للشهادة، ثم انقر إنشاء. انتظر حتى تظهر رسالة النجاح ثم انقر فوق "إغلاق".

    الخطوة 3. تنزيل CSR. انقر فوق تنزيل CSR. حدد IPsec لغرض الشهادة وانقر فوق تنزيل.

    الخطوة 4. إرسال CSR إلى المرجع المصدق.

    الخطوة 5. تقوم هيئة الترخيص بإرجاع ملفين أو أكثر لسلسلة الشهادات الموقعة. تحميل الشهادات بهذا الترتيب:

    • شهادة المرجع المصدق الجذر كثقة IPSec. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: ثقة IPSec. اضبط وصف الشهادة واستعرض ملف الشهادة الجذر.
    • الشهادة الوسيطة ك IPSec-trust (إختياري). انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: الثقة المتبادلة. اضبط وصف الشهادة واستعرض ملف الشهادة الوسيطة.

    ملاحظة: لا توفر بعض المراجع المصدقة شهادة وسيطة. في حالة توفير الشهادة الجذر فقط، يمكن حذف هذه الخطوة.

      • الشهادة الموقعة من قبل CA ك IPSec. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: IPsec. اضبط وصف الشهادة واستعرض ملف الشهادة الموقع من قبل CA لعقدة CUCM الحالية.

    ملاحظة: عند هذه النقطة، يقوم CUCM بمقارنة CSR والشهادة الموقعة من CA التي تم تحميلها. إذا تطابقت المعلومات، تختفي CSR، ويتم تحميل الشهادة الموقعة من قبل CA الجديدة. إذا ظهرت رسالة خطأ بعد تحميل الشهادة، فالرجاء الرجوع إلى قسم رسائل الخطأ الشائعة لتحميل الشهادة</strong>.

    الخطوة 6. للحصول على الشهادة الجديدة التي يتم تطبيقها على الخادم، يجب إعادة تشغيل الخدمات المطلوبة (فقط في حالة تشغيل الخدمة ونشاطها). انتقل إلى:

    • الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الشبكة > Cisco DRF Master (Publisher)
    • الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الشبكة > Cisco DRF محلي (الناشر والمشترك)

    شهادة CAPFalt-tag-for-image

    warning-icon

    تحذير: قد يتسبب انتهاء صلاحية شهادة CAPF أو عملية غير صحيحة في التجديد في: مشكلات إعداد المصادقة والتشفير لنقاط النهاية (باستثناء وضع CAPF دون اتصال أو دون اتصال)، وشبكة VPN للهاتف، و 802.1x، ووكيل الهاتف. CTI و JTAPI و TAPI.

    ملاحظة: لتحديد ما إذا كان نظام المجموعة في الوضع المختلط، انتقل إلى إدارة Cisco Unified CM > System > Enterprise Parameters > Cluster Security Mode (0 == غير آمن؛ 1 == Mixed Mode).

    ملاحظة: يتم تشغيل خدمة CAPF فقط في Publisher، وهي الشهادة الوحيدة المستخدمة. ليس من الضروري الحصول على عقد المشترك الموقعة من قبل مرجع مصدق لأنها غير مستخدمة. إذا انتهت صلاحية الشهادة في المشتركين وتريد تجنب التنبيهات الخاصة بالشهادات منتهية الصلاحية، يمكنك إعادة إنشاء شهادات CAPF للمشترك كتوقيع ذاتي. لمزيد من المعلومات، راجع شهادة CAPF كتوقيع ذاتي.

    في الناشر:

    الخطوة 1. انتقل إلى إدارة نظام التشغيل الموحد من Cisco > الأمان > إدارة الشهادات > البحث عن تاريخ انتهاء صلاحية شهادة CAPF والتحقق منها.

    الخطوة 2. انقر فوق إنشاء CSR > غرض الشهادة: CAPF. حدد الإعدادات المطلوبة للشهادة، ثم انقر إنشاء. انتظر حتى تظهر رسالة النجاح وانقر فوق "إغلاق".

    الخطوة 3. تنزيل CSR. انقر فوق تنزيل CSR. حدد CAPF لغرض الشهادة وانقر فوق تنزيل.

    الخطوة 4. إرسال CSR إلى المرجع المصدق.

    الخطوة 5. تقوم هيئة الترخيص بإرجاع ملفين أو أكثر لسلسلة الشهادات الموقعة. تحميل الشهادات بهذا الترتيب:

      • شهادة المرجع المصدق الجذر ك CAPF-trust. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: CAPF-trust. اضبط وصف الشهادة واستعرض ملف الشهادة الجذر.
      • الشهادة الوسيطة ك CAPF-trust (إختياري). انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: CAPF-trust. اضبط وصف الشهادة واستعرض ملف الشهادة الوسيطة.

    ملاحظة: لا توفر بعض المراجع المصدقة شهادة وسيطة. في حالة توفير الشهادة الجذر فقط، يمكن حذف هذه الخطوة.

    • شهادة موقعة من CA ك CAPF. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: CAPF. اضبط وصف الشهادة واستعرض ملف الشهادة الموقع من قبل CA لعقدة CUCM الحالية.

    ملاحظة: عند هذه النقطة، يقوم CUCM بمقارنة CSR والشهادة الموقعة من CA التي تم تحميلها. إذا تطابقت المعلومات، تختفي CSR، ويتم تحميل الشهادة الموقعة من قبل CA الجديدة. إذا ظهرت رسالة خطأ بعد تحميل الشهادة، يرجى الرجوع إلى قسم رسائل الخطأ الشائعة لتحميل الشهادة.

    الخطوة 6. إذا كان نظام المجموعة في الوضع المختلط، فقم بتحديث CTL قبل إعادة تشغيل الخدمات: رمز مميز أو بدون رمز. إذا كان نظام المجموعة في وضع غير آمن، فقم بتخطي هذه الخطوة وتابع إعادة تشغيل الخدمة.

    الخطوة 7. للحصول على الشهادة الجديدة التي تم تطبيقها على الخادم، يجب إعادة تشغيل الخدمات المطلوبة (فقط في حالة تشغيل الخدمة ونشاطها). انتقل إلى:

    • الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الشبكة > خدمة Cisco Trust Verification Service (جميع العقد التي يتم تشغيل الخدمة بها.)
    • الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الميزات > Cisco TFTP (جميع العقد التي تعمل عليها الخدمة.)
    • الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الميزات > وظيفة وكيل مرجع الشهادات من Cisco (Publisher)

    الخطوة 8. إعادة ضبط جميع الهواتف:

    • انتقل إلى إدارة Cisco Unified CM > System > معلمات Enterprise > إعادة ضبط. تظهر نافذة منبثقة مع الجملة، أنت على وشك إعادة ضبط جميع الأجهزة في النظام. لا يمكن التراجع عن هذا الإجراء. هل تريد المتابعة؟ حدد موافق ثم انقر إعادة ضبط.

    ملاحظة: مراقبة تسجيل الأجهزة عبر RTMT. بمجرد إعادة تسجيل جميع الهواتف، يمكنك المتابعة بنوع الشهادة التالي.

    شهادة CallManager alt-tag-for-image

    warning-icon

    تحذير: قد يتسبب انتهاء صلاحية شهادة مدير الاتصال أو عملية غير صحيحة في التجديد في: مشكلات التسجيل عبر الهاتف. الهواتف المشفرة/المصادق عليها لا يتم تسجيلها. بروتوكول نقل الملفات المبسط (TFTP) غير موثوق به (لا تقبل الهواتف ملفات التكوين الموقعة و/أو ملفات ITL). لا تقوم قنوات اتصال بروتوكول بدء جلسة العمل الآمنة (SIP) أو موارد الوسائط (جسور المؤتمرات ونقطة إنهاء الوسائط (MTP) و Xcoders وما إلى ذلك) بالتسجيل أو العمل. فشل طلب AXL.

    تحذير: لا تقم بإعادة إنشاء شهادات CallManager و TVS في نفس الوقت. وهذا يتسبب في عدم تطابق لا يمكن إسترداده مع ITL المثبت على نقاط النهاية مما يتطلب إزالة ITL من جميع نقاط النهاية في المجموعة. قم بإنهاء العملية بأكملها ل CallManager، وبمجرد تسجيل الهواتف مرة أخرى، ابدأ العملية الخاصة بأجهزة التلفزيون.

    ملاحظة: لتحديد ما إذا كان نظام المجموعة في الوضع المختلط، انتقل إلى إدارة Cisco Unified CM > System > Enterprise Parameters > Cluster Security Mode (0 == غير آمن؛ 1 == Mixed Mode).

    لجميع عقد CallManager الخاصة بنظام المجموعة:

    الخطوة 1. انتقل إلى إدارة Cisco الموحدة لنظام التشغيل > الأمان > إدارة الشهادات > البحث عن تاريخ انتهاء صلاحية شهادة CallManager والتحقق منها.

    الخطوة 2. انقر فوق إنشاء CSR > غرض الشهادة: CallManager. حدد الإعدادات المطلوبة للشهادة، ثم انقر إنشاء. انتظر حتى تظهر رسالة النجاح وانقر فوق "إغلاق".

    الخطوة 3. تنزيل CSR. انقر فوق تنزيل CSR. تحديد غرض الشهادة: CallManager وانقر فوق تنزيل. 

    الخطوة 4. إرسال CSR إلى المرجع المصدق .

    الخطوة 5. تقوم هيئة الترخيص بإرجاع ملفين أو أكثر لسلسلة الشهادات الموقعة. تحميل الشهادات بهذا الترتيب:

      • شهادة المرجع المصدق الجذر ك CallManager-trust. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: ثقة CallManager. اضبط وصف الشهادة واستعرض ملف الشهادة الجذر.
      • الشهادة الوسيطة ك CallManager-trust (إختياري). انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: ثقة CallManager. اضبط وصف الشهادة واستعرض ملف الشهادة الوسيطة.

    ملاحظة: لا توفر بعض المراجع المصدقة شهادة وسيطة. في حالة توفير الشهادة الجذر فقط، يمكن حذف هذه الخطوة.

    • شهادة موقعة من CA ك CallManager. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: CallManager. اضبط وصف الشهادة واستعرض ملف الشهادة الموقع من قبل CA لعقدة CUCM الحالية.

    ملاحظة: عند هذه النقطة، يقوم CUCM بمقارنة CSR والشهادة الموقعة من CA التي تم تحميلها. إذا تطابقت المعلومات، تختفي CSR، ويتم تحميل الشهادة الجديدة الموقعة من CA. إذا ظهرت رسالة خطأ بعد تحميل الشهادة، فارجع إلى قسم رسائل الخطأ الشائعة لتحميل الشهادة.

    الخطوة 6. إذا كان نظام المجموعة في الوضع المختلط، فقم بتحديث CTL قبل إعادة تشغيل الخدمات: رمز مميز أو بدون رمز. إذا كان نظام المجموعة في وضع غير آمن، فقم بتخطي هذه الخطوة وتابع إعادة تشغيل الخدمات.

    الخطوة 7. للحصول على الشهادة الجديدة التي يتم تطبيقها على الخادم، يجب إعادة تشغيل الخدمات المطلوبة (فقط إذا كانت الخدمة تعمل وكانت نشطة). انتقل إلى:

      • الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الشبكة > خدمة التحقق من الثقة من Cisco
      • الخدمة الموحدة من Cisco > أدوات > مركز التحكم - خدمات الميزات > Cisco TFTP
      • الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الميزات > Cisco CallManager
      • الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الميزات > Cisco Cisco Manager 

    الخطوة 8. إعادة ضبط جميع الهواتف:

        • انتقل إلى إدارة Cisco Unified CM > System > معلمات Enterprise > إعادة ضبط. تظهر نافذة منبثقة مع الجملة، أنت على وشك إعادة ضبط جميع الأجهزة في النظام. لا يمكن التراجع عن هذا الإجراء. هل تريد المتابعة؟ حدد موافق ثم انقر إعادة ضبط .

    ملاحظة: مراقبة تسجيل الأجهزة عبر RTMT. بمجرد إعادة تسجيل جميع الهواتف، يمكنك المتابعة بنوع الشهادة التالي.

    شهادة TVS  alt-tag-for-image

    warning-icon

    تحذير: يتسبب انتهاء صلاحية شهادة TVS أو عملية خاطئة في حدوث مشاكل في تسجيل الهاتف؛ يتعذر على الهواتف الجديدة التسجيل إلى Cisco UCM. يتعذر على الأجهزة المسجلة في CUCM الوصول إلى تطبيقات مثل خدمات EM والدليل و MIDlet عند إستخدام HTTPS. كما تفشل مصادقة ملفات TLs والتكوين (cfg).

    تحذير: لا تقم بإعادة إنشاء شهادات CallManager و TVS في نفس الوقت. وهذا يتسبب في عدم تطابق لا يمكن إسترداده مع ITL المثبت على نقاط النهاية مما يتطلب إزالة ITL من جميع نقاط النهاية في المجموعة. قم بإنهاء العملية بأكملها ل CallManager وبمجرد تسجيل الهواتف مرة أخرى، ابدأ العملية الخاصة بأجهزة التلفزيون.

    بالنسبة لجميع عقد أجهزة التلفاز في المجموعة:

    الخطوة 1. انتقل إلى إدارة نظام التشغيل الموحدة من Cisco > الأمان > إدارة الشهادات > البحث عن تاريخ انتهاء صلاحية شهادة TVS والتحقق منها.

    الخطوة 2. انقر فوق إنشاء CSR > غرض الشهادة: TVS. حدد الإعدادات المطلوبة للشهادة، ثم انقر إنشاء. انتظر حتى تظهر رسالة النجاح وانقر فوق "إغلاق".

    الخطوة 3. تنزيل CSR. انقر فوق تنزيل CSR. حدد تلفاز الغرض من الشهادة وانقر فوق تنزيل.

    الخطوة 4. إرسال CSR إلى المرجع المصدق.

    الخطوة 5. تقوم هيئة الترخيص بإرجاع ملفين أو أكثر لسلسلة الشهادات الموقعة. تحميل الشهادات بهذا الترتيب:

    • شهادة المرجع المصدق الجذر ك TVS-trust. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: ثقة أجهزة التلفاز. اضبط وصف الشهادة واستعرض ملف الشهادة الجذر.
    • الشهادة الوسيطة ك TVS-Trust (إختياري). انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: ثقة أجهزة التلفاز. اضبط وصف الشهادة واستعرض ملف الشهادة الوسيطة.

    ملاحظة: لا توفر بعض المراجع المصدقة شهادة وسيطة. في حالة توفير الشهادة الجذر فقط، يمكن حذف هذه الخطوة.

    • شهادة موقعة من CA ك TVS. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: TVS. اضبط وصف الشهادة واستعرض ملف الشهادة الموقع من قبل CA لعقدة CUCM الحالية.

    ملاحظة: عند هذه النقطة، يقوم CUCM بمقارنة CSR والشهادة الموقعة من CA التي تم تحميلها. إذا تطابقت المعلومات، تختفي CSR، ويتم تحميل الشهادة الجديدة الموقعة من CA. إذا ظهرت رسالة خطأ بعد تحميل الشهادة، فارجع إلى قسم رسائل الخطأ الشائعة لتحميل الشهادة.

    الخطوة 6. للحصول على الشهادة الجديدة التي يتم تطبيقها على الخادم، يجب إعادة تشغيل الخدمات المطلوبة (فقط في حالة تشغيل الخدمة ونشاطها). انتقل إلى:

    • الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الميزات > Cisco TFTP (جميع العقد التي تعمل عليها الخدمة.)
    • الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الشبكة > خدمة Cisco Trust Verification Service (جميع العقد التي يتم تشغيل الخدمة بها.)

    الخطوة 7. إعادة ضبط جميع الهواتف:

    • انتقل إلى إدارة Cisco Unified CM > System > معلمات Enterprise > إعادة ضبط. تظهر نافذة منبثقة مع الجملة، أنت على وشك إعادة ضبط جميع الأجهزة في النظام. لا يمكن التراجع عن هذا الإجراء. هل تريد المتابعة؟ حدد موافق ثم انقر إعادة ضبط.

    ملاحظة: مراقبة تسجيل الأجهزة عبر RTMT. بمجرد إعادة تسجيل جميع الهواتف، يمكنك المتابعة بنوع الشهادة التالي.

    أستكشاف أخطاء الشهادة المشتركة التي تم تحميلها وإصلاحها

    في هذا القسم يتم سرد بعض من رسائل الخطأ الأكثر شيوعا عند تحميل شهادة موقعة من CA.

    شهادة المرجع المصدق غير متوفرة في مخزن التوثيق

    يعني هذا الخطأ أنه لم يتم تحميل الشهادة الجذر أو الشهادة الوسيطة إلى CUCM. تحقق من تحميل هاتين الشهادتين كمستودع ثقة قبل تحميل شهادة الخدمة.

    الملف /usr/local/platform/.security/tomcat/keys/tomcat.csr غير موجود

    يظهر هذا الخطأ عندما لا توجد CSR للشهادة (tomcat، callManager، ipsEc، capf، tvs). تحقق من إنشاء CSR من قبل وتم إنشاء الشهادة استنادا إلى CSR هذا. نقاط مهمة يجب ان نذكرها:

    • يمكن أن يكون هناك 1 CSR فقط لكل خادم ونوع الشهادة. وهذا يعني أنه إذا تم إنشاء مسؤولية جماعية جديدة، فإن المسؤولية القديمة سوف تستبدل.
    • شهادات أحرف البدل غير مدعومة من قبل CUCM.
    • لا يمكن إستبدال شهادة خدمة موجودة حاليا بدون CSR جديد.
    • حدث خطأ آخر محتمل لنفس المشكلة وهو "تعذر تحميل الملف /usr/local/platform/upload/certs//tomcat.der". وهذا يعتمد على إصدار CUCM.

    مفتاح CSR العام ومفتاح الشهادة العام غير متطابقين

    يظهر هذا خطأ عندما يكون للشهادة المقدمة من المرجع المصدق مفتاح عام مختلف عن المفتاح المرسل في ملف CSR. الأسباب المحتملة هي:

    • تم تحميل الشهادة غير الصحيحة (ربما من عقدة أخرى).
    • تم إنشاء شهادة CA باستخدام CSR مختلف.
    • تم إعادة إنشاء CSR، واستبدل CSR القديم الذي تم إستخدامه للحصول على الشهادة الموقعة.

    للتحقق من تطابق CSR مع مفتاح الشهادة العام، هناك أدوات متعددة عبر الإنترنت مثل SSL

    SSLshopper

    حدث خطأ آخر محتمل لنفس المشكلة وهو "تعذر تحميل الملف /usr/local/platform/upload/certs//tomcat.der". وهذا يعتمد على إصدار CUCM.

    اسم بديل لموضوع CSR (SAN) ولا تتطابق شبكة منطقة التخزين (SAN) للشهادة

    يجب أن تكون شبكات SAN بين CSR والشهادة متماثلة. وهذا يمنع الاعتماد للمجالات غير المسموح بها. للتحقق من عدم تطابق شبكة التخزين (SAN)، تكون هذه هي الخطوات التالية:

    1. فك ترميز CSR والشهادة (الأساس 64). هناك أجهزة فك ترميز مختلفة متاحة على الإنترنت، مثل أداة فك الترميز

    2. مقارنة إدخالات شبكة التخزين (SAN) والتحقق من مطابقتها جميعا. الترتيب غير مهم، لكن يجب أن تكون جميع الإدخالات في CSR هي نفسها في الشهادة. 

    على سبيل المثال، تحتوي الشهادة الموقعة على CA على إدخالين إضافيين لشبكة منطقة التخزين (SAN)، الإسم الشائع للشهادة وعنوان IP إضافي.

    Check if CSR Matches Certificate

    3. بمجرد تحديد عدم تطابق شبكة التخزين (SAN)، هناك خياران لإصلاح هذا الأمر:

    1. اطلب من مسؤول CA إصدار شهادة تحتوي على نفس إدخالات شبكة التخزين (SAN) التي يتم إرسالها في CSR.
    2. قم بإنشاء CSR في CUCM تطابق متطلبات CA.

    لتعديل CSR الذي تم إنشاؤه بواسطة CUCM:

    1. إذا قام المرجع المصدق بإزالة المجال، يمكن إنشاء CSR في CUCM بدون المجال. أثناء إنشاء CSR، قم بإزالة المجال الذي يتم ملؤه بشكل افتراضي.
    2. في حالة إنشاء شهادة شبكة تخزين (SAN) متعددة، هناك بعض المرجع المصدق الذي لا يقبل -ms في الاسم الشائع. يمكن إزالة -ms من CSR عند إنشائه. 

    Remove MS

    3. لإضافة اسم بديل بعيدا عن تلك التي تم إكمالها تلقائيا بواسطة CUCM:

    1. في حالة إستخدام شهادة شبكة تخزين (SAN) متعددة، يمكن إضافة المزيد من FQDN. (لم يتم قبول عناوين IP.)

    Extra SAN

    ب. إذا كانت الشهادة عبارة عن عقدة واحدة، أستخدم الأمر set web-security. ينطبق هذا الأمر حتى على شهادات شبكات التخزين (SAN) المتعددة. (يمكن إضافة أي نوع من المجالات، كما يسمح بعناوين IP.)

    لمزيد من المعلومات، راجع دليل مرجع سطر الأوامر.

    لا يتم إستبدال الشهادات الموثوق بها التي تحتوي على نفس CN

    تم تصميم CUCM لتخزين شهادة واحدة فقط بنفس الاسم الشائع ونفس نوع الشهادة. هذا يعني أنه إذا كانت هناك شهادة موجودة بالفعل في قاعدة البيانات وتحتاج إلى إستبدالها بشهادة حديثة بنفس CN، فإن CUCM يزيل الشهادة القديمة ويستبدلها بالشهادة الجديدة.

    هناك بعض الحالات التي لا يستبدل فيها CUCM الشهادة القديمة:

    1. انتهت صلاحية الشهادة التي تم تحميلها: لا يسمح CUCM بتحميل شهادة منتهية الصلاحية.
    2. تحتوي الشهادة القديمة على تاريخ "من" أحدث من الشهادة الجديدة. يحتفظ CUCM بأحدث شهادة، ويصنف الأقدم من التاريخ على أنه أقدم. لهذا السيناريو، من الضروري حذف الشهادة غير المرغوب فيها ثم تحميل الشهادة الجديدة.

    Old Certificate Compared to New Certificate

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    5.0
    12-Nov-2025
    النص البديل المحدث، الترجمة الآلية، والتنسيق. جدول التأثير الإضافي والتوصيات الأساسية لكل عملية تجديد للشهادات.
    4.0
    27-Aug-2024
    النص البديل المحدث، الترجمة الآلية، والتنسيق.
    3.0
    14-Sep-2022
    تقويم
    1.0
    17-May-2021
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Danny Duran
      Cisco TAC Project Manager

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات