Selbstsignierte Zertifikate für CUCM IM/P-Dienst neu generieren

Aktualisiert:8. Dezember 2023
Dokument-ID:215333

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird ein schrittweises Verfahren zur Neugenerierung von Zertifikaten in CUCM IM/P 8.x und höher empfohlen.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse der IM- und Presence-Service-Zertifikate (IM/P) verfügen.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf IM/P Version 8.x und höher.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Nutzung des Zertifikatspeichers

    Cisco Unified Presence (CUP)-Zertifikat

    Verwendung für sichere SIP-Verbindungen für SIP-Federation, Microsoft Remote Call Control für Lync/OCS/LCS, sichere Verbindung zwischen Cisco Unified Certificate Manager (CUCM) und IM/P usw.

    Cisco Unified Presence - CUP-XMPP-Zertifikat (Extensible Messaging and Presence Protocol)

    Wird verwendet, um sichere Verbindungen für XMPP-Clients zu validieren, wenn eine XMPP-Sitzung erstellt wird.

    Cisco Unified Presence - Extensible Messaging and Presence Protocol - Server-zu-Server (CUP-XMPP-S2S)-Zertifikat

    Wird verwendet, um sichere Verbindungen für XMPP-Domänenverbünde mit einem extern verbundenen XMPP-System zu validieren.

    IP Security (IPSec)-Zertifikat

    Verwendet für:
    ・ Validierung sicherer Verbindungen für das Disaster Recovery System (DRS)/Disaster Recovery Framework (DRF)
    ・ Validierung sicherer Verbindungen für IPsec-Tunnel zu Cisco Unified Communications Manager (CUCM) und IM/P-Knoten im Cluster

    Tomcat-Zertifikat

    Verwendet für:

    ・ Validierung verschiedener Web-Zugriffe, z. B. Zugriff auf Service-Seiten von anderen Knoten im Cluster und Jabber Access
    ・ Validierung sicherer Verbindungen für SAML Single Sign-On (SSO)

    ・ Überprüfen der sicheren Verbindung für Intercluster-Peers

    Achtung: Wenn Sie die SSO-Funktion auf Ihren Unified Communication-Servern verwenden und die Cisco Tomcat-Zertifikate neu generiert werden, muss die SSO mit den neuen Zertifikaten neu konfiguriert werden. Der Link zum Konfigurieren von SSO auf CUCM und ADFS 2.0 lautet: https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html.

    Hinweis: Der Link zum Prozess für die Erneuerung/Erneuerung des CUCM-Zertifikats lautet: https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200199-CUCM-Certificate-Regeneration-Renewal-Pr.html.

    Zertifikatserneuerung

    CUP-Zertifikat

    Schritt 1: Öffnen Sie eine grafische Benutzeroberfläche (GUI) für jeden Server in Ihrem Cluster. Beginnen Sie mit dem IM/P-Publisher, öffnen Sie dann nacheinander eine grafische Benutzeroberfläche für jeden IM/P-Subscriber-Server, und navigieren Sie zu  Cisco Unified OS Administration > Security > Certificate Management.

    Schritt 2: Beginnen Sie mit der Herausgeber-GUI, und wählen Sie Find  alle Zertifikate anzeigen. Wählen Sie  cup.pem Zertifikat. Sobald geöffnet, wählen Sie Regenerate und warten Sie, bis das Popup-Fenster geschlossen wird.

    Schritt 3: Fahren Sie mit den nachfolgenden Abonnenten fort. Gehen Sie genauso vor wie in Schritt 2., und schließen Sie alle Abonnenten in Ihrem Cluster ab.

    Schritt 4: Nachdem das CUP-Zertifikat auf allen Knoten neu generiert wurde, müssen die Dienste neu gestartet werden.

    Hinweis: Wenn bei der Konfiguration der Presence Redundancy Group die Option "High Availability" aktiviert ist, Uncheck bevor die Dienste neu gestartet werden. Die Konfiguration der Presence Redundancy Group ist abrufbar unter  CUCM Pub Administration > System > Presence Redundancy Group. Ein Neustart der Services führt zu einem vorübergehenden Ausfall von IM/P und muss außerhalb der Produktionszeiten erfolgen.

    Starten Sie die Dienste in dieser Reihenfolge neu:

    ・ Melden Sie sich bei Cisco Unified Serviceability des Herausgebers an:

    antwort: Cisco Unified Serviceability > Tools > Control Center - Feature Services.

    b. Restart  Cisco SIP-Proxy-Service

    c. Fahren Sie nach Abschluss des Dienstneustarts mit den Abonnenten und  Restart Cisco SIP-Proxy-Service

    d. Beginnen Sie mit dem Herausgeber und dann weiter mit den Abonnenten. Restart  Cisco SIP Proxy Service (auch von  Cisco Unified Serviceability > Tools > Control Center - Feature Services).

    ・ Melden Sie sich bei Cisco Unified Serviceability des Herausgebers an:

    antwort: Cisco Unified Serviceability > Tools > Control Center - Feature Services.

    b. Restart Cisco Presence Engine-Service

    c. Fahren Sie nach Abschluss des Dienstneustarts mit fort.  Restart  des Cisco Presence EngineService für die Abonnenten bereit.

    Hinweis: Wenn für SIP-Federation konfiguriert,  Restart Cisco XCP SIP Federation Connection Manager-Service (unter  Cisco Unified Serviceability > Tools > Control Center - Feature Services). Beginnen Sie mit dem Herausgeber und dann weiter mit den Abonnenten.

    CUP-XMPP-Zertifikat

    Hinweis: Da Jabber die CUCM- und IM/P-Tomcat-Zertifikate sowie die CUP-XMPP-Serverzertifikate verwendet, um die Verbindungen für Tomcat und die CUP-XMPP-Services zu validieren, sind diese CUCM- und IM/P-Zertifikate in den meisten Fällen CA-signiert. Angenommen, das Jabber-Gerät verfügt nicht über das Root-Zertifikat und ein Zwischenzertifikat, das Teil des CUP-XMPP-Zertifikats ist und im Zertifikatvertrauensspeicher installiert ist. In diesem Fall zeigt der Jabber-Client eine Sicherheitswarnung für das nicht vertrauenswürdige Zertifikat an. Wenn das Zertifikat des Jabber Device Trust Stores noch nicht installiert ist, müssen das Root- und alle Zwischenzertifikate über Gruppenrichtlinien, MDM, E-Mail usw. an das Jabber-Gerät gesendet werden. Dies hängt vom Jabber-Client ab.

    Hinweis: Wenn das CUP-XMPP-Zertifikat selbstsigniert ist, zeigt der Jabber-Client eine Sicherheitswarnung für das nicht vertrauenswürdige Zertifikat an, wenn das CUP-XMPP-Zertifikat nicht im Trust Store des Jabber-Gerätezertifikats installiert ist. Wenn das selbstsignierte CUP-XMPP-Zertifikat nicht bereits installiert ist, muss es über Gruppenrichtlinien, MDM, E-Mail usw., die vom Jabber-Client abhängen, auf das Jabber-Gerät übertragen werden.

    Schritt 1: Öffnen Sie eine grafische Benutzeroberfläche für jeden Server in Ihrem Cluster. Beginnen Sie mit dem IM/P-Publisher, öffnen Sie dann nacheinander eine grafische Benutzeroberfläche für jeden IM/P-Subscriber-Server, und navigieren Sie zu  Cisco Unified OS Administration > Security > Certificate Management.

    Schritt 2: Beginnen Sie mit der Herausgeber-GUI, und wählen Sie  Find alle Zertifikate anzeigen. Aus der Typspalte für den  cup-xmpp.pem  -Zertifikat, ob es selbstsigniert oder CA-signiert ist. Wenn die  cup-xmpp.pem  Das Zertifikat ist eine von einem Drittanbieter signierte (vom Typ CA-signierte) Distribution Multi-SAN. Überprüfen Sie diesen Link, wenn Sie einen Multi-SAN CUP-XMPP CSR generieren und an CA für ein CA-signiertes CUP-XMPP-Zertifikat senden. Konfigurationsbeispiel für Unified Communication Cluster mit einem CA-signierten Multi-Server-Betreff mit Alternativnamen.

    Wenn die  cup-xmpp.pem  Das Zertifikat ist ein von einem Drittanbieter signierter Verteilungs-Einzelknoten (Typ CA-signiert) (der Verteilungsname entspricht dem allgemeinen Namen für das Zertifikat). Überprüfen Sie diesen Link, wenn Sie einen Einzelknoten generieren. CUP-XMPP CSR erstellen und bei CA für CA-signiertes CUP-XMPP-Zertifikat einreichen; Jabber Complete How-To Guide for Certificate Validation. Wenn die cup-xmpp.pem Das Zertifikat ist selbstsigniert. Fahren Sie mit Schritt 3 fort.

    Schritt 3: Auswählen  Find um alle Zertifikate anzuzeigen, und wählen Sie dann die  cup-xmpp.pem Zertifikat. Sobald geöffnet, wählen Sie  Regenerate und warten Sie, bis das Popup-Fenster geschlossen wird.

    Schritt 4: Fahren Sie mit den nachfolgenden Abonnenten fort. Gehen Sie wie in Schritt 2 vor, und führen Sie diese Schritte für alle Abonnenten in Ihrem Cluster aus.

    Schritt 5: Nachdem das CUP-XMPP-Zertifikat auf allen Knoten neu generiert wurde, muss der Cisco XCP-Router-Dienst auf den IM/P-Knoten neu gestartet werden.

    Hinweis: Wenn bei der Konfiguration der Presence Redundancy Group die Option "High Availability" aktiviert ist,  Uncheck vor dem Neustart des Diensts. Auf die Konfiguration der Presence Redundancy Group kann unter zugegriffen werden.  CUCM Pub Administration > System > Presence Redundancy Group. Ein Neustart des Services führt zu einem vorübergehenden Ausfall von IM/P und muss außerhalb der Produktionszeiten erfolgen.

    ・ Melden Sie sich bei Cisco Unified Serviceability des Herausgebers an:

    antwort: Cisco Unified Serviceability > Tools > Control Center - Network Services.

    b. Restart den Cisco XCP Router-Service.

    c. Fahren Sie nach Abschluss des Dienstneustarts mit fort.  Restart Cisco XCP-Router-Service für die Teilnehmer.

    CUP-XMPP-S2S-Zertifikat

    Schritt 1: Öffnen Sie eine grafische Benutzeroberfläche für jeden Server in Ihrem Cluster. Beginnen Sie mit dem IM/P-Publisher, öffnen Sie nacheinander eine grafische Benutzeroberfläche für jeden IM/P-Subscriber-Server, und navigieren Sie zu  Cisco Unified OS Administration > Security > Certificate Management.

    Schritt 2: Beginnen Sie mit der Herausgeber-GUI, wählen Sie  Find um alle Zertifikate anzuzeigen und die  cup-xmpp-s2s.pem Zertifikat. Sobald geöffnet, wählen Sie  Regenerate und warten Sie, bis das Popup-Fenster geschlossen wird.

    Schritt 3: Fahren Sie mit den nachfolgenden Abonnenten fort, und verweisen Sie auf das gleiche Verfahren in Schritt 2. Führen Sie den Vorgang für alle Abonnenten in Ihrem Cluster aus.

    Schritt 4: Nachdem das CUP-XMPP-S2S-Zertifikat auf allen Knoten neu generiert wurde, müssen die Dienste in der angegebenen Reihenfolge neu gestartet werden.

    Hinweis: Wenn bei der Konfiguration der Presence Redundancy Group die Option "High Availability" aktiviert ist,Uncheck bevor diese Dienste neu gestartet werden. Auf die Konfiguration der Presence Redundancy Group kann zugegriffen werden unter  CUCM Pub Administration > System > Presence Redundancy Group. Ein Neustart der Services führt zu einem vorübergehenden Ausfall von IM/P und muss außerhalb der Produktionszeiten erfolgen.


    ・ Melden Sie sich bei Cisco Unified Serviceability des Herausgebers an:

    antwort: Cisco Unified Serviceability > Tools > Control Center - Network Services.
    b. Restart den Cisco XCP Router-Service.
    c. Fahren Sie nach Abschluss des Dienstneustarts mit fort.  Restart  des Cisco XCP-Router-Service für die Teilnehmer bereit.

    ・ Melden Sie sich bei Cisco Unified Serviceability des Herausgebers an:

    antwort: Cisco Unified Serviceability > Tools > Control Center - Feature Services.

    b. Restart den Cisco XCP XMPP Federation Connection Manager-Service.

    c. Fahren Sie nach Abschluss des Dienstneustarts mit fort.  Restart  des Cisco XCP XMPP Federation Connection Manager-Service auf den Abonnenten.

    IPSec-Zertifikat

    Hinweisipsec.pem Das Zertifikat im CUCM-Publisher muss gültig sein und in allen Subscribern (CUCM- und IM/P-Knoten) im IPSec-Trust Store vorhanden sein. Die Fehlermeldung  ipsec.pem  Das Zertifikat des Abonnenten ist im Publisher nicht als IPSec-Vertrauensspeicher in einer Standardbereitstellung vorhanden. Um die Gültigkeit zu überprüfen, vergleichen Sie die Seriennummern im  ipsec.pem Zertifikat vom CUCM-PUB mit dem IPSec-trust in den Abonnenten. Sie müssen übereinstimmen.

    Hinweis: Der DRS verwendet eine SSL-basierte Kommunikation (Secure Socket Layer) zwischen dem Quell-Agent und dem lokalen Agent zur Authentifizierung und Verschlüsselung von Daten zwischen den CUCM-Clusterknoten (CUCM- und IM/P-Knoten). DRS nutzt die IPSec-Zertifikate für seine Public/Private Key-Verschlüsselung. Wenn Sie den IPSEC-Vertrauensspeicher löschen (hostname.pem ) auf der Seite "Certificate Management" (Zertifikatsverwaltung), dann funktioniert DRS nicht wie erwartet. Wenn Sie die IPSEC-Vertrauensdatei manuell löschen, müssen Sie sicherstellen, dass Sie das IPSEC-Zertifikat in den IPSEC-Vertrauensspeicher hochladen. Weitere Informationen finden Sie auf der Hilfeseite zum Zertifikatsmanagement in den CUCM-Sicherheitsleitfäden.


    Schritt 1: Öffnen Sie eine grafische Benutzeroberfläche für jeden Server in Ihrem Cluster. Beginnen Sie mit dem IM/P-Publisher, öffnen Sie nacheinander eine grafische Benutzeroberfläche für jeden IM/P-Subscriber-Server, und navigieren Sie zu  Cisco Unified OS Administration > Security > Certificate Management.

    Schritt 2: Beginnen Sie mit der Herausgeber-GUI, und wählen Sie  Find alle Zertifikate anzeigen.Choose Die Fehlermeldung  ipsec.pem Zertifikat. Sobald geöffnet, wählen Sie  Regenerate und warten Sie, bis das Popup-Fenster geschlossen wird.

    Schritt 3: Fahren Sie mit den nachfolgenden Abonnenten fort, und verweisen Sie auf das gleiche Verfahren in Schritt 2. Führen Sie den Vorgang für alle Abonnenten in Ihrem Cluster aus.

    Schritt 4: Nachdem alle Knoten das IPSEC-Zertifikat neu generiert haben,  Restart Services. Navigieren Sie zum Cisco Unified Serviceability-Tool des Herausgebers. Cisco Unified Serviceability > Tools > Control Center - Network Services.
    a. Wählen Sie  Restart auf den primären Cisco DRF-Service.
    b. Wenn der Neustart des Diensts abgeschlossen ist, wählen Sie  Restart des lokalen Cisco DRF-Diensts im Publisher. Fahren Sie dann mit  Restart des lokalen Cisco DRF-Dienstes an jedem Abonnenten.

    Tomcat-Zertifikat

    Hinweis: Da Jabber die CUCM-Tomcat-, IM/P-Tomcat- und CUP-XMPP-Serverzertifikate verwendet, um die Verbindungen für Tomcat- und CUP-XMPP-Services zu validieren, sind diese CUCM- und IM/P-Zertifikate in den meisten Fällen CA-signiert. Angenommen, auf dem Jabber-Gerät sind weder der Root noch ein Zwischenzertifikat, das Teil des Tomcat-Zertifikats ist, in dessen Zertifikatvertrauensspeicher installiert. In diesem Fall zeigt der Jabber-Client eine Sicherheitswarnung für das nicht vertrauenswürdige Zertifikat an. Wenn das Zertifikat nicht bereits im Zertifikatvertrauensspeicher des Jabber-Geräts installiert ist, müssen der Root und alle Zwischenzertifikate per Gruppenrichtlinie, MDM, E-Mail usw. an das Jabber-Gerät gesendet werden. Dies hängt vom Jabber-Client ab.

    Hinweis: Wenn das Tomcat-Zertifikat selbstsigniert ist, zeigt der Jabber-Client eine Sicherheitswarnung für das nicht vertrauenswürdige Zertifikat an, wenn das Tomcat-Zertifikat nicht im Zertifikatvertrauensspeicher des Jabber-Geräts installiert ist. Wenn das selbstsignierte CUP-XMPP-Zertifikat nicht bereits im Zertifikatvertrauensspeicher des Jabber-Geräts installiert ist, muss es per Gruppenrichtlinie, MDM, E-Mail usw. an das Jabber-Gerät gesendet werden. Dies hängt vom Jabber-Client ab.

    Schritt 1: Öffnen Sie eine grafische Benutzeroberfläche für jeden Server in Ihrem Cluster. Beginnen Sie mit dem IM/P-Publisher, öffnen Sie dann nacheinander eine grafische Benutzeroberfläche für jeden IM/P-Subscriber-Server, und navigieren Sie zu  Cisco Unified OS Administration > Security > Certificate Management.

    Schritt 2: Beginnen Sie mit der Herausgeber-GUI, und wählen Sie Find  alle Zertifikate anzeigen.
    ・ Aus der Spalte Typ für die  tomcat.pem -Zertifikat, ob es selbstsigniert oder CA-signiert ist.

    ・ Wenn die  tomcat.pem Das Zertifikat ist eine von einem Drittanbieter signierte (vom Typ CA signierte) Multi-SAN-Distribution. Lesen Sie diesen Link, um einen Multi-SAN Tomcat CSR zu generieren und an CA für ein CA-signiertes Tomcat-Zertifikat zu senden. Unified Communication Cluster Setup mit einem CA-signierten Multi-Server-Betreff Konfigurationsbeispiel für einen alternativen Namen.

    note-icon

    Hinweis: Der Multi-SAN-Tomcat-CSR wird auf dem CUCM-Publisher generiert und an alle CUCM- und IM/P-Knoten im Cluster verteilt.

    ・ Wenn die  tomcat.pem  Das Zertifikat ist ein von einem Drittanbieter signierter (vom Typ "CA-signierter") Verteilungsknoten (der Verteilungsname entspricht dem Common Name für das Zertifikat). Überprüfen Sie diesen Link, um einen CUP-XMPP-CSR mit einem Knoten zu generieren, und senden Sie ihn an die Zertifizierungsstelle für ein CUP-XMPP-Zertifikat mit CA-Signierung, Jabber Complete How-To Guide for Certificate Validation

    ・ Wenn die  tomcat.pem Zertifikat ist selbstsigniert, fahren Sie mit Schritt 3 fort

    Schritt 3: Auswählen  Find um alle Zertifikate anzuzeigen:
    ・ Wählen Sie  tomcat.pem Zertifikat.
    ・ Wählen Sie nach dem Öffnen  Regenerate und warte, bis das Erfolgs-Popup angezeigt wird, bevor das Popup-Fenster geschlossen wird.

    Schritt 4: Fahren Sie mit jedem nachfolgenden Abonnenten fort, lesen Sie das Verfahren in Schritt 2, und schließen Sie alle Abonnenten in Ihrem Cluster ab.

    Schritt 5: Nachdem alle Knoten das Tomcat-Zertifikat neu generiert haben,  Restart den Tomcat-Dienst auf allen Knoten. Beginnen Sie mit dem Verlag, gefolgt von den Abonnenten.
    ・ Um  Restart Tomcat-Dienst müssen Sie eine CLI-Sitzung für jeden Knoten öffnen und den Befehl ausführen, bis der Dienst Cisco Tomcat neu startet, wie im Bild gezeigt:

    Restart Tomcat

    Abgelaufene Vertrauenszertifikate löschen

    Hinweis: Vertrauenswürdige Zertifikate (die auf "-trust" enden) können bei Bedarf gelöscht werden. Vertrauenswürdige Zertifikate, die gelöscht werden können, sind Zertifikate, die nicht mehr benötigt werden, abgelaufen sind oder veraltet sind. Löschen Sie nicht die fünf Identitätszertifikate:  cup.pem ,  cup-xmpp.pem ,  cup-xmpp-s2s.pem ,  ipsec.pem und  tomcat.pem Zertifikate.  Der Dienst startet neu, wie dargestellt, um alle Informationen aus dem Arbeitsspeicher dieser Legacy-Zertifikate innerhalb dieser Dienste zu löschen.

    Hinweis: Wenn bei der Konfiguration der Presence Redundancy Group die Option "High Availability" aktiviert ist,  Uncheck bevor ein Dienst Stopped/Started  Oder  Restarted. Auf die Konfiguration der Presence Redundancy Group kann unter zugegriffen werden.  CUCM Pub Administration > System > Presence Redundancy Group. Ein Neustart einiger Dienste führt, wie dargestellt, zu einem vorübergehenden Ausfall von IM/P und muss außerhalb der Produktionszeiten erfolgen.

    Schritt 1: Navigieren Sie zu  Cisco Unified Serviceability > Tools > Control Center - Network Services:

    ・ Wählen Sie aus dem Dropdown-Menü Ihren IM/P-Publisher aus, und wählen Sie  Stop von Cisco Certificate Expiration Monitor, gefolgt von  Stop in Cisco Intercluster Sync Agent.

    ・ Wiederholen Stop für diese Services für jeden IM/P-Knoten in Ihrem Cluster.

    note-icon

    Hinweis: Wenn das Tomcat-Vertrauenszertifikat gelöscht werden muss, navigieren Sie zu  Cisco Unified Serviceability > Tools > Control Center - Network Services des CUCM-Herausgebers.

    ・ Wählen Sie aus dem Dropdown-Menü den CUCM-Publisher aus.
    ・ Auswahl  Stop von Cisco Certificate Expiration Monitor, gefolgt von  Stop in Cisco Certificate Change Notification.
    ・ Wiederholen Sie den Vorgang für jeden CUCM-Knoten in Ihrem Cluster.

    Schritt 2: Navigieren Sie zu  Cisco Unified OS Administration > Security > Certificate Management > Find.

    ・ Suchen Sie nach abgelaufenen Vertrauenszertifikaten (für Version 10.x und höher können Sie nach Ablauf filtern. Bei älteren Versionen als 10.0 müssen Sie die jeweiligen Zertifikate manuell oder über die RTMT-Warnmeldungen identifizieren, falls diese eingehen).
    ・ Das gleiche Vertrauenszertifikat kann in mehreren Knoten auftreten, es muss einzeln von jedem Knoten gelöscht werden.
    ・ Wählen Sie das zu löschende Vertrauenszertifikat aus (je nach Version erhalten Sie entweder ein Popup-Fenster oder Sie werden auf derselben Seite zum Zertifikat navigiert).

    ・ Auswahl  Delete (Sie erhalten ein Popup, das mit "Sie sind im Begriff, dieses Zertifikat dauerhaft zu löschen..." beginnt).
    •Klicken Sie auf  OK.

    Schritt 3: Wiederholen Sie den Vorgang für jedes Vertrauenszertifikat, das gelöscht werden soll.

    Schritt 4: Nach Fertigstellung müssen Dienste neu gestartet werden, die sich direkt auf die gelöschten Zertifikate beziehen.

    ・ CUP-Trust: Cisco SIP Proxy, Cisco Presence Engine und, falls für SIP Federation konfiguriert, Cisco XCP SIP Federation Connection Manager (siehe Abschnitt "CUP-Zertifikat")
    ・ CUP-XMPP-trust: Cisco XCP Router (siehe Abschnitt CUP-XMPP-Zertifikat)
    ・ CUP-XMPP-S2S-Trust: Cisco XCP-Router und Cisco XCP XMPP Federation Connection Manager
    ・ IPSec-trust: DRF Source/DRF Local (siehe IPSec-Zertifikatabschnitt)
    ・ Tomcat-trust: Starten Sie den Tomcat-Dienst über die Befehlszeile neu (siehe Tomcat-Zertifikatabschnitt).

    Schritt 5: In Schritt 1 beendete Neustartdienste.

    Überprüfung

    Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

    Fehlerbehebung

    Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    08-Dec-2023
    Aktualisierte Einführung, SEO, Stilanforderungen und Formatierung.
    1.0
    17-Mar-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Adrian Esquillo
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren