إنشاء شهادات جديدة من شهادات CA الموقعة

المقدمة

يوضح هذا المستند كيفية إعادة إنشاء الشهادات الموقعة من مرجع مصدق (CA) في مدير الاتصالات الموحدة (CUCM) من Cisco.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• أداة مراقبة الوقت الفعلي (RTMT)
• شهادات CUCM

المكونات المستخدمة

• CUCM الإصدار 10.x و 11.x و 12.x.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات التحقق المسبق

ملاحظة: لإعادة إنشاء الشهادة موقعة ذاتيا، ارجع إلى دليل إعادة إنشاء الشهادة. للحصول على إعادة إنشاء شهادة شبكة منطقة تخزين (SAN) متعددة موقعة من CA، ارجع إلى دليل إعادة إنشاء شهادة شبكة منطقة تخزين (SAN) متعددة.

لفهم تأثير كل شهادة وتجديدها، ارجع إلى دليل التجديد الموقع ذاتيا.

يحتوي كل نوع من أنواع طلبات توقيع الشهادات (CSR) على إستخدامات مفاتيح مختلفة وتلك مطلوبة في الشهادة الموقعة. يتضمن دليل التأمين جدولا به إستخدامات المفتاح المطلوبة لكل نوع من الشهادات.

لتغيير إعدادات الموضوع (الإعدادات المحلية والحالة ووحدة المؤسسة وما إلى ذلك) قم بتشغيل هذا الأمر:

• set web-security orgunit orgname locality state [country] [alternatehostname]

يتم إعادة إنشاء شهادة Tomcat تلقائيا بعد تشغيل set web-security erasecat4000_flash:. لا يتم تطبيق الشهادة الموقعة ذاتيا الجديدة إلا إذا تم إعادة تشغيل خدمة Tomcat. يرجى الرجوع إلى هذه الأدلة للحصول على مزيد من المعلومات حول هذا الأمر:

• الدليل المرجعي لسطر الأوامر
• إرتباط إلى خطوات مجتمع Cisco
• الفيديو

تكوين الشهادات وإعادة إنشائها

يتم سرد الخطوات لإعادة إنشاء شهادات العقد الواحد في نظام مجموعة CUCM موقع من قبل CA لكل نوع من الشهادات. ليس من الضروري إعادة إنشاء كافة الشهادات الموجودة في نظام المجموعة إذا لم تكن قد انتهت صلاحيتها. 

شهادة تومكات

تحذير: التحقق من تعطيل SSO في نظام المجموعة (CM Administration > System > SAML Single Sign-On). إذا تم تمكين SSO، يجب تعطيله ثم تمكينه بمجرد اكتمال عملية إعادة إنشاء شهادة Tomcat.

على كافة العقد (CallManager و IM&P) الخاصة بالمجموعة:

الخطوة 1. انتقل إلى Cisco Unified OS Administration > Security > Certificate Management > Find والتحقق من تاريخ انتهاء صلاحية شهادة Tomcat.

الخطوة 2. انقر Generate CSR > Certificate Purpose: tomcat. حدد الإعدادات المطلوبة للشهادة، ثم انقر على Generate. انتظر حتى تظهر رسالة النجاح وانقر فوق Close.

الخطوة 3. تنزيل CSR. انقر Download CSR ، حدد Certificate Purpose: tomcat,  وانقر فوق Download.

الخطوة 4. إرسال CSR إلى المرجع المصدق.

الخطوة 5. تقوم هيئة الترخيص بإرجاع ملفين أو أكثر لسلسلة الشهادات الموقعة. تحميل الشهادات بهذا الترتيب:

• شهادة المرجع المصدق الجذر ك TOMCAT-trust. انتقل إلى Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust. اضبط وصف الشهادة واستعرض ملف الشهادة الجذر.
• الشهادة الوسيطة ك tomcat-trust (إختياري). انتقل إلى Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust. اضبط وصف الشهادة واستعرض ملف الشهادة الوسيطة.

ملاحظة: لا توفر بعض الشهادات المصدقة شهادة وسيطة، إذا كانت الشهادة الجذر فقط قد تم توفيرها، فيمكن حذف هذه الخطوة.

• شهادة موقعة من CA ك Tomcat. انتقل إلى Certificate Management > Upload certificate > Certificate Purpose: tomcat.  اضبط وصف الشهادة واستعرض ملف الشهادة الموقع من قبل CA لعقدة CUCM الحالية.

ملاحظة: في هذه المرحلة، تقوم CUCM بمقارنة الشهادة CSR والشهادة الموقعة من CA التي تم تحميلها. إذا تطابقت المعلومات، تختفي CSR، ويتم تحميل الشهادة الجديدة الموقعة من CA. إذا ظهرت رسالة خطأ بعد تحميل الشهادة، فالرجاء الرجوع إلى Upload Certificate Common Error Messages قسم.

الخطوة 6. للحصول على الشهادة الجديدة المطبقة على الخادم، يلزم إعادة تشغيل خدمة Cisco Tomcat عبر CLI (ابدأ ب Publisher، ثم يستخدم المشتركون، واحدا في كل مرة)، الأمر utils service restart Cisco Tomcat.

للتحقق من صحة شهادة Tomcat تستخدم الآن من قبل CUCM. انتقل إلى صفحة ويب الخاصة بالعقدة وحدد Site Information  (أيقونة القفل) في المتصفح، انقر على certificate  ثم تحقق من تاريخ الشهادة الجديدة.

شهادة CallManager

تحذير: لا تقم بإعادة إنشاء شهادات CallManager و TVS في نفس الوقت. وهذا يتسبب في عدم تطابق لا يمكن إصلاحه مع ITL المثبت على نقاط النهاية مما يتطلب إزالة ITL من جميع نقاط النهاية في المجموعة. قم بإنهاء العملية بأكملها ل CallManager وبمجرد تسجيل الهواتف مرة أخرى، ابدأ العملية الخاصة بأجهزة التلفزيون.

ملاحظة: لتحديد ما إذا كان نظام المجموعة في الوضع المختلط، انتقل إلى إدارة Cisco Unified CM > System > معلمات Enterprise > وضع أمان نظام المجموعة (0 == غير آمن؛ 1 == الوضع المختلط).

لجميع عقد CallManager الخاصة بنظام المجموعة:

الخطوة 1. انتقل إلى Cisco Unified OS Administration > Security > Certificate Management > Find   والتحقق من تاريخ انتهاء صلاحية شهادة CallManager.

الخطوة 2. انقر Generate CSR > Certificate Purpose: CallManager. حدد الإعدادات المطلوبة للشهادة، ثم انقر على Generate. انتظر حتى تظهر رسالة النجاح وانقر فوق Close.

الخطوة 3. تنزيل CSR. انقر Download CSR. Select Certificate Purpose: CallManager and click Download. 

الخطوة 4. إرسال CSR إلى Certificate Authority .

الخطوة 5. تقوم هيئة الترخيص بإرجاع ملفين أو أكثر لسلسلة الشهادات الموقعة. تحميل الشهادات بهذا الترتيب:

• شهادة المرجع المصدق الجذر ك CallManager-trust. انتقل إلى Certificate Management > Upload certificate > Certificate Purpose: CallManager-trust. اضبط وصف الشهادة واستعرض ملف الشهادة الجذر.
• الشهادة الوسيطة ك CallManager-trust (إختياري). انتقل إلى Certificate Management > Upload certificate > Certificate Purpose: CallManager-trust. اضبط وصف الشهادة واستعرض ملف الشهادة الوسيطة.

ملاحظة: لا توفر بعض الشهادات المصدقة شهادة وسيطة، إذا كانت الشهادة الجذر فقط قد تم توفيرها، فيمكن حذف هذه الخطوة.

• شهادة موقعة من CA ك CallManager. انتقل إلى Certificate Management > Upload certificate > Certificate Purpose: CallManager. اضبط وصف الشهادة واستعرض ملف الشهادة الموقع من قبل CA لعقدة CUCM الحالية.

ملاحظة: في هذه المرحلة، تقوم CUCM بمقارنة الشهادة CSR والشهادة الموقعة من CA التي تم تحميلها. إذا تطابقت المعلومات، تختفي CSR، ويتم تحميل الشهادة الجديدة الموقعة من CA. إذا ظهرت رسالة خطأ بعد تحميل الشهادة، فالرجاء الرجوع إلى قسم رسائل الخطأ العامة لتحميل الشهادة.

الخطوة 6. إذا كان نظام المجموعة في الوضع المختلط، فقم بتحديث قائمة التحكم بالوصول (CTL) قبل إعادة تشغيل الخدمات: Token أو Token. إذا كان نظام المجموعة في وضع غير آمن، فقم بتخطي هذه الخطوة وتابع إعادة تشغيل الخدمات.

الخطوة 7. للحصول على الشهادة الجديدة التي تم تطبيقها على الخادم، يجب إعادة تشغيل الخدمات المطلوبة (فقط في حالة تشغيل الخدمة ونشاطها). انتقل إلى:

• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTIManager

الخطوة 8. إعادة ضبط جميع الهواتف:

• انتقل إلى Cisco Unified CM Administration > System > Enterprise Parameters > Reset. تظهر نافذة منبثقة مع الجملة التي أنت على وشك إعادة ضبط جميع الأجهزة في النظام. لا يمكن التراجع عن هذا الإجراء. هل تريد المتابعة؟ حدد OK  ثم انقر Reset .

ملاحظة: مراقبة تسجيل الأجهزة عبر RTMT. بمجرد إعادة تسجيل جميع الهواتف، يمكنك المتابعة بنوع الشهادة التالي.

شهادة IPSec

تحذير: يجب ألا تكون مهمة النسخ الاحتياطي أو الاستعادة نشطة عند إعادة إنشاء شهادة IPSec.

بالنسبة لجميع العقد (CallManager و IM&P) الخاصة بالمجموعة:

الخطوة 1. انتقل إلى Cisco Unified OS Administration > Security > Certificate Management > Find والتحقق من تاريخ انتهاء صلاحية شهادة IPsec.

الخطوة 2. انقر فوق إنشاء CSR > غرض الشهادة: IPSec. حدد الإعدادات المطلوبة للشهادة، ثم انقر على إنشاء. انتظر حتى تظهر رسالة النجاح ثم انقر فوق إغلاق.

الخطوة 3. تنزيل CSR. انقر فوق تنزيل CSR. حدد IPsec لغرض الشهادة وانقر فوق تنزيل.

الخطوة 4. إرسال CSR إلى المرجع المصدق.

الخطوة 5. تقوم هيئة الترخيص بإرجاع ملفين أو أكثر لسلسلة الشهادات الموقعة. تحميل الشهادات بهذا الترتيب:

• شهادة المرجع المصدق الجذر كثقة IPSec. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: ثقة IPSec. اضبط وصف الشهادة واستعرض ملف الشهادة الجذر.
• الشهادة الوسيطة ك IPSec-trust (إختياري). انتقل إلى إدارة الشهادات > تحميل الشهادة > الغرض من الشهادة: الثقة. اضبط وصف الشهادة واستعرض ملف الشهادة الوسيطة.

ملاحظة: لا توفر بعض الشهادات المصدقة شهادة وسيطة، إذا كانت الشهادة الجذر فقط قد تم توفيرها، فيمكن حذف هذه الخطوة.

• الشهادة الموقعة من قبل CA ك IPSec. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: IPSec. اضبط وصف الشهادة واستعرض ملف الشهادة الموقع من قبل CA لعقدة CUCM الحالية.

ملاحظة: في هذه المرحلة، تقوم CUCM بمقارنة الشهادة CSR والشهادة الموقعة من CA التي تم تحميلها. إذا تطابقت المعلومات، تختفي CSR، ويتم تحميل الشهادة الموقعة من قبل CA الجديدة. إذا ظهرت رسالة خطأ بعد تحميل الشهادة، فالرجاء الرجوع إلى قسم رسائل الخطأ الشائعة لتحميل الشهادة</strong>.

الخطوة 6. للحصول على الشهادة الجديدة التي تم تطبيقها على الخادم، يجب إعادة تشغيل الخدمات المطلوبة (فقط في حالة تشغيل الخدمة ونشاطها). انتقل إلى:

• الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الشبكة > Cisco DRF Master(الناشر)
• الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الشبكة > Cisco DRF محلي (ناشر ومشترك)

شهادة CAPF

ملاحظة: لتحديد ما إذا كان نظام المجموعة في الوضع المختلط، انتقل إلى إدارة Cisco Unified CM > System > معلمات Enterprise > وضع أمان نظام المجموعة (0 == غير آمن؛ 1 == الوضع المختلط).

ملاحظة: يتم تشغيل خدمة CAPF فقط في Publisher، وهي الشهادة الوحيدة المستخدمة. ليس من الضروري الحصول على عقد المشترك الموقعة من قبل مرجع مصدق لأنها غير مستخدمة. إذا انتهت صلاحية الشهادة في المشتركين وتريد تجنب التنبيهات الخاصة بالشهادات منتهية الصلاحية، يمكنك إعادة إنشاء شهادات CAPF للمشترك كتوقيع ذاتي. لمزيد من المعلومات، راجع شهادة CAPF كتوقيع ذاتي.

في الناشر:

الخطوة 1. انتقل إلى إدارة نظام التشغيل الموحد من Cisco > الأمان > إدارة الشهادات > البحث عن تاريخ انتهاء صلاحية شهادة CAPF والتحقق منها.

الخطوة 2. انقر على إنشاء CSR > غرض الشهادة: CAPF. حدد الإعدادات المطلوبة للشهادة، ثم انقر على إنشاء. انتظر حتى تظهر رسالة النجاح وانقر فوق إغلاق.

الخطوة 3. تنزيل CSR. انقر فوق تنزيل CSR. حدد CAPF لغرض الشهادة وانقر على تنزيل.

الخطوة 4. إرسال CSR إلى المرجع المصدق.

الخطوة 5. تقوم هيئة الترخيص بإرجاع ملفين أو أكثر لسلسلة الشهادات الموقعة. تحميل الشهادات بهذا الترتيب:

• شهادة المرجع المصدق الجذر ك CAPF-trust. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: CAPF-trust. اضبط وصف الشهادة واستعرض ملف الشهادة الجذر.
• الشهادة الوسيطة ك CAPF-trust (إختياري). انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: CAPF-trust. اضبط وصف الشهادة واستعرض ملف الشهادة الوسيطة.

ملاحظة: لا توفر بعض الشهادات المصدقة شهادة وسيطة، إذا كانت الشهادة الجذر فقط قد تم توفيرها، فيمكن حذف هذه الخطوة.

• شهادة موقعة من CA ك CAPF. انتقل إلى إدارة الشهادات > تحميل الشهادة > غرض الشهادة: CAPF. اضبط وصف الشهادة واستعرض ملف الشهادة الموقع من قبل CA لعقدة CUCM الحالية.

ملاحظة: في هذه المرحلة، تقوم CUCM بمقارنة الشهادة CSR والشهادة الموقعة من CA التي تم تحميلها. إذا تطابقت المعلومات، تختفي CSR، ويتم تحميل الشهادة الموقعة من قبل CA الجديدة. إذا ظهرت رسالة خطأ بعد تحميل الشهادة، فالرجاء الرجوع إلى قسم رسائل الخطأ العامة لتحميل الشهادة.

الخطوة 6. إذا كان نظام المجموعة في الوضع المختلط، فقم بتحديث قائمة التحكم بالوصول (CTL) قبل إعادة تشغيل الخدمات: Token أو Token. إذا كان نظام المجموعة في وضع غير آمن، فقم بتخطي هذه الخطوة وتابع إعادة تشغيل الخدمة.

الخطوة 7. للحصول على الشهادة الجديدة التي تم تطبيقها على الخادم، يجب إعادة تشغيل الخدمات المطلوبة (فقط في حالة تشغيل الخدمة ونشاطها). انتقل إلى:

• الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الشبكة > خدمة Cisco Trust Verification Service (جميع العقد التي تعمل الخدمة فيها)
• الخدمة الموحدة من Cisco > أدوات > مركز التحكم - خدمات الميزات > Cisco TFTP (جميع العقد التي تعمل عليها الخدمة)
• الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الميزات > وظيفة وكيل مرجع الشهادات من Cisco (Publisher)

الخطوة 8. إعادة ضبط جميع الهواتف:

• انتقل إلى إدارة Cisco Unified CM > System > معلمات Enterprise > إعادة ضبط. تظهر نافذة منبثقة مع الجملة التي أنت على وشك إعادة ضبط جميع الأجهزة في النظام. لا يمكن التراجع عن هذا الإجراء. تابع؟ حدد موافق ثم انقر على إعادة ضبط.

ملاحظة: مراقبة تسجيل الأجهزة عبر RTMT. بمجرد إعادة تسجيل جميع الهواتف، يمكنك المتابعة بنوع الشهادة التالي.

شهادة TVS

تحذير: لا تقم بإعادة إنشاء شهادات CallManager و TVS في نفس الوقت. وهذا يتسبب في عدم تطابق لا يمكن إصلاحه مع ITL المثبت على نقاط النهاية مما يتطلب إزالة ITL من جميع نقاط النهاية في المجموعة. قم بإنهاء العملية بأكملها ل CallManager وبمجرد تسجيل الهواتف مرة أخرى، ابدأ العملية الخاصة بأجهزة التلفزيون.

بالنسبة لجميع عقد أجهزة التلفاز في المجموعة:

الخطوة 1. انتقل إلى إدارة نظام التشغيل الموحدة من Cisco > الأمان > إدارة الشهادات > البحث عن تاريخ انتهاء صلاحية شهادة TVS والتحقق منه.

الخطوة 2. انقر فوق إنشاء CSR > غرض الشهادة: أجهزة التلفزيون. حدد الإعدادات المطلوبة للشهادة، ثم انقر على إنشاء. انتظر حتى تظهر رسالة النجاح وانقر فوق إغلاق.

الخطوة 3. تنزيل CSR. انقر فوق تنزيل CSR. حدد تلفاز الغرض من الشهادة وانقر على تنزيل.

الخطوة 4. إرسال CSR إلى المرجع المصدق.

الخطوة 5. تقوم هيئة الترخيص بإرجاع ملفين أو أكثر لسلسلة الشهادات الموقعة. تحميل الشهادات بهذا الترتيب:

• شهادة المرجع المصدق الجذر ك TVS-trust. انتقل إلى إدارة الشهادات > تحميل الشهادة > الغرض من الشهادة: ثقة أجهزة التلفزيون. اضبط وصف الشهادة واستعرض ملف الشهادة الجذر.
• الشهادة الوسيطة ك TVS-Trust (إختياري). انتقل إلى إدارة الشهادات > تحميل الشهادة > الغرض من الشهادة: ثقة أجهزة التلفزيون. اضبط وصف الشهادة واستعرض ملف الشهادة الوسيطة.

ملاحظة: لا توفر بعض الشهادات المصدقة شهادة وسيطة، إذا كانت الشهادة الجذر فقط قد تم توفيرها، فيمكن حذف هذه الخطوة.

• شهادة موقعة من CA ك TVS. انتقل إلى إدارة الشهادات > تحميل الشهادة > الغرض من الشهادة: أجهزة التلفزيون. اضبط وصف الشهادة واستعرض ملف الشهادة الموقع من قبل CA لعقدة CUCM الحالية.

ملاحظة: في هذه المرحلة، تقوم CUCM بمقارنة الشهادة CSR والشهادة الموقعة من CA التي تم تحميلها. إذا تطابقت المعلومات، تختفي CSR، ويتم تحميل الشهادة الجديدة الموقعة من CA. إذا ظهرت رسالة خطأ بعد تحميل الشهادة، فالرجاء الرجوع إلى قسم رسائل الخطأ العامة لتحميل الشهادة.

الخطوة 6. للحصول على الشهادة الجديدة التي تم تطبيقها على الخادم، يجب إعادة تشغيل الخدمات المطلوبة (فقط في حالة تشغيل الخدمة ونشاطها). انتقل إلى:

• الخدمة الموحدة من Cisco > أدوات > مركز التحكم - خدمات الميزات > Cisco TFTP (جميع العقد التي تعمل عليها الخدمة)
• الخدمة الموحدة من Cisco > أدوات > Control Center - خدمات الشبكة > خدمة Cisco Trust Verification Service (جميع العقد التي تعمل الخدمة فيها)

الخطوة 7. إعادة ضبط جميع الهواتف:

• انتقل إلى إدارة Cisco Unified CM > System > معلمات Enterprise > إعادة ضبط. تظهر نافذة منبثقة مع الجملة التي أنت على وشك إعادة ضبط جميع الأجهزة في النظام. لا يمكن التراجع عن هذا الإجراء. تابع؟ حدد موافق ثم انقر على إعادة ضبط.

ملاحظة: مراقبة تسجيل الأجهزة عبر RTMT. بمجرد إعادة تسجيل جميع الهواتف، يمكنك المتابعة بنوع الشهادة التالي.

أستكشاف أخطاء الشهادة المشتركة التي تم تحميلها وإصلاحها

في هذا القسم يتم سرد بعض من رسائل الخطأ الأكثر شيوعا عند تحميل شهادة موقعة من CA.

شهادة المرجع المصدق غير متوفرة في مخزن التوثيق

يعني هذا الخطأ أنه لم يتم تحميل الشهادة الجذر أو الشهادة الوسيطة إلى CUCM. تحقق من تحميل هاتين الشهادتين كمستودع ثقة قبل تحميل شهادة الخدمة.

الملف /usr/local/platform/.security/tomcat/keys/tomcat.csr غير موجود

يظهر هذا الخطأ عندما لا توجد CSR للشهادة (tomcat، callManager، ipsEc، capf، tvs). تحقق من إنشاء CSR من قبل وتم إنشاء الشهادة استنادا إلى CSR هذا. نقاط مهمة يجب ان نذكرها:

• يمكن أن يكون هناك 1 CSR فقط لكل خادم ونوع الشهادة. وهذا يعني أنه إذا تم إنشاء مسؤولية جماعية جديدة، فإن المسؤولية القديمة سوف تستبدل.
• شهادات أحرف البدل غير مدعومة من قبل CUCM.
• لا يمكن إستبدال شهادة خدمة موجودة حاليا بدون CSR جديد.
• حدث خطأ آخر محتمل لنفس المشكلة وهو "تعذر تحميل الملف /usr/local/platform/upload/certs//tomcat.der". وهذا يعتمد على إصدار CUCM.

مفتاح CSR العام ومفتاح الشهادة العام غير متطابقين

يظهر هذا خطأ عندما يكون للشهادة المقدمة من المرجع المصدق مفتاح عام مختلف عن المفتاح المرسل في ملف CSR. الأسباب المحتملة هي:

• تم تحميل الشهادة غير الصحيحة (ربما من عقدة أخرى).
• تم إنشاء شهادة CA باستخدام CSR مختلف.
• تم إعادة إنشاء CSR، واستبدل CSR القديم الذي تم إستخدامه للحصول على الشهادة الموقعة.

للتحقق من تطابق CSR مع مفتاح الشهادة العام، هناك أدوات متعددة عبر الإنترنت مثل SSL. 

حدث خطأ آخر محتمل لنفس المشكلة وهو "تعذر تحميل الملف /usr/local/platform/upload/certs//tomcat.der". وهذا يعتمد على إصدار CUCM.

اسم بديل لموضوع CSR (SAN) ولا تتطابق شبكة منطقة التخزين (SAN) للشهادة

يجب أن تكون شبكات SAN بين CSR والشهادة متماثلة. وهذا يمنع الاعتماد للمجالات غير المسموح بها. للتحقق من عدم تطابق شبكة التخزين (SAN)، اتبع الخطوات التالية:

1. فك ترميز CSR والشهادة (الأساس 64). هناك أجهزة فك ترميز مختلفة متاحة على الإنترنت، مثل أداة فك الترميز. 

2. مقارنة إدخالات شبكة التخزين (SAN) والتحقق من مطابقتها جميعا. الترتيب غير مهم، لكن يجب أن تكون جميع الإدخالات في CSR هي نفسها في الشهادة. 

على سبيل المثال، تحتوي الشهادة الموقعة على CA على إدخالين إضافيين لشبكة منطقة التخزين (SAN)، الإسم الشائع للشهادة وعنوان IP إضافي.

3. بمجرد تحديد عدم تطابق شبكة التخزين (SAN)، هناك خياران لإصلاح هذا الأمر:

1. اطلب من مسؤول CA إصدار شهادة تحتوي على نفس إدخالات شبكة التخزين (SAN) التي يتم إرسالها في CSR.
2. قم بإنشاء CSR في CUCM تطابق متطلبات CA.

لتعديل CSR الذي تم إنشاؤه بواسطة CUCM:

1. إذا قام المرجع المصدق بإزالة المجال، يمكن إنشاء CSR في CUCM بدون المجال. أثناء إنشاء CSR، قم بإزالة المجال الذي يتم ملؤه بشكل افتراضي.
2. في حالة إنشاء شهادة شبكة تخزين (SAN) متعددة، هناك بعض المرجع المصدق (CA) الذي لا يقبل "-ms" في الاسم الشائع. يمكن إزالة "-ms" من CSR عند إنشائه. 

3. لإضافة اسم بديل بعيدا عن تلك التي تم إكمالها تلقائيا بواسطة CUCM:

1. في حالة إستخدام شهادة شبكة تخزين (SAN) متعددة، يمكن إضافة المزيد من FQDN. (لم يتم قبول عناوين IP.)

ب. إذا كانت الشهادة عبارة عن عقدة واحدة، أستخدم  set web-security  erasecat4000_flash:. ينطبق هذا الأمر حتى على شهادات شبكات التخزين (SAN) المتعددة. (يمكن إضافة أي نوع من المجالات، كما يسمح بعناوين IP.)

لمزيد من المعلومات، راجع دليل مرجع سطر الأوامر.

لا يتم إستبدال الشهادات الموثوق بها التي تحتوي على نفس CN

تم تصميم CUCM لتخزين شهادة واحدة فقط بنفس الاسم الشائع ونفس نوع الشهادة. هذا يعني أنه إذا كانت الشهادة هي Tomcat-trust، موجودة بالفعل في قاعدة البيانات وتحتاج إلى إستبدالها بشهادة حديثة بنفس CN، فإن CUCM يزيل الشهادة القديمة ويستبدلها بالشهادة الجديدة.

هناك بعض الحالات التي لا يستبدل فيها CUCM الشهادة القديمة:

1. انتهت صلاحية الشهادة التي تم تحميلها: لا يسمح CUCM بتحميل شهادة منتهية الصلاحية.
2. تحتوي الشهادة القديمة على تاريخ "من" أحدث من الشهادة الجديدة. يحتفظ CUCM بأحدث شهادة ويكون له تاريخ "من" أقدم يصنفه على أنه أقدم. لهذا السيناريو، من الضروري حذف الشهادة غير المرغوب فيها ثم تحميل الشهادة الجديدة.