¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Ejemplo de Configuración de Clúster de Unified Communication con Nombre Alternativo de Asunto de Varios Servidores Firmado por CA

Opciones de descarga

  • PDF     (941.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (773.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:8 de marzo de 2021
ID del documento:118731
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar un clúster de Unified Communication con el uso de un nombre alternativo de asunto (SAN) de varios servidores firmado por la Autoridad de Certificación (CA).

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Cisco Unified Communications Manager (CUCM)
  • Versión 10.5 de CUCM IM and Presence

Antes de intentar esta configuración, asegúrese de que estos servicios estén activos y sean funcionales:

  • Servicio web administrativo de plataforma de Cisco
  • servicio Tomcat de Cisco

Para verificar estos servicios en una interfaz web, navegue hasta Cisco Unified Serviceability Page Services > Network Service > Select a server. Para verificarlos en la CLI, ingrese el comando utils service list.

Si SSO está habilitado en el clúster de CUCM, es necesario desactivarlo y volver a activarlo.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

En CUCM versión 10.5 y posteriores, esta solicitud de solicitud de firma de certificado (CSR) de almacén de confianza puede incluir SAN y dominios alternativos.

  1. Tomcat: CUCM e IM&P
  2. Cisco CallManager - Solo CUCM
  3. Cisco Unified Presence: protocolo extensible de mensajería y presencia (CUP-XMPP); solo IM&P
  4. Servidor a servidor (S2S) CUP-XMPP: solo IM&P

Es más sencillo obtener un certificado firmado por CA en esta versión. Sólo se requiere una CSR firmada por CA en lugar de la necesidad de obtener una CSR de cada nodo de servidor y obtener un certificado firmado por CA para cada CSR y administrarlas individualmente.

Configurar

Paso 1.

Inicie sesión en Administración del sistema operativo (OS) de Publisher y navegue hasta Seguridad > Administración de certificados > Generar CSR.

Paso 2.
Seleccione Multi-Server SAN en Distribution.



Rellena automáticamente los dominios SAN y el dominio primario. 

Verifique que todos los nodos de su clúster aparezcan en Tomcat: todos los nodos CUCM y IM&P bs para CallManager: sólo se enumeran los nodos CUCM.

Paso 3.
Haga clic en Generar y, una vez que se genere la CSR, verifique que todos los nodos enumerados en la CSR también se muestren en la lista Exitosa de CSR exportada.



En Administración de Certificados, se genera la Solicitud SAN:

Paso 4.

Haga clic en Download CSR luego seleccione el propósito del certificado y haga clic en Download CSR.

Es posible utilizar la CA local o una CA externa como VeriSign para que se firme el CSR (archivo descargado en el paso anterior).

Este ejemplo muestra los pasos de configuración para una CA basada en Microsoft Windows Server. Si utiliza una CA diferente o una CA externa, vaya al paso 5.

Inicie sesión en https://<windowsserveripaddress>/certsrv/
Seleccione Request a Certificate > Advanced Certificate Request .
Copie el contenido del archivo CSR en el campo de solicitud de certificado codificado en base 64 y haga clic en Enviar.


Envíe la solicitud CSR como se muestra aquí.



Paso 5.

Nota: Antes de cargar un certificado Tomcat, verifique que el SSO esté inhabilitado. En caso de que esté habilitado, SSO se debe inhabilitar y volver a habilitar una vez que haya finalizado todo el proceso de regeneración de certificados Tomcat.

Con el certificado firmado, cargue los certificados de CA como tomcat-trust. Primero el certificado raíz y luego el certificado intermedio si existe.

Paso 6.

Ahora cargue el certificado firmado de CUCM como Tomcat y verifique que todos los nodos de su clúster aparezcan en la "Operación de carga de certificados exitosa", como se muestra en la imagen:


La SAN de varios servidores aparece en Administración de certificados, como se muestra en la imagen:

Paso 7.

Reinicie el servicio Tomcat en todos los nodos de la lista SAN (primero Publisher y después suscriptores) mediante CLI con el comando: utils service restart Cisco Tomcat.

Verificación

Inicie sesión en http://<fqdnofccm>:8443/ccmadmin para asegurarse de que se utiliza el nuevo certificado.

Certificado SAN de varios servidores de CallManager

Se puede seguir un procedimiento similar para el certificado de CallManager. En este caso, los dominios rellenados automáticamente son sólo nodos de CallManager. Si el servicio Cisco CallManager no se está ejecutando, puede optar por mantenerlo en la lista SAN o eliminarlo.

Antes del certificado SAN firmado por CA para CUCM, asegúrese de que:

  • El teléfono IP puede confiar en el servicio de verificación de confianza (TVS). Esto se puede verificar con acceso a cualquier servicio HTTPS desde el teléfono. Por ejemplo, si el acceso al Directorio corporativo funciona, significa que el teléfono confía en el servicio TVS.
  • Verifique si el clúster está en modo no seguro o en modo mixto. 

Para determinar si se trata de un clúster de modo mixto, elija Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode (0 == Non-Secure; 1 == Modo mixto).  

Advertencia: Si se encuentra en un Clúster de Modo Mixto antes de que se reinicie el servicio, el CTL debe actualizarse: Token o Tokenless.

Después de instalar el certificado emitido por la CA, se debe reiniciar la siguiente lista de servicios en los nodos que están habilitados:

  • Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
  • Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
  • Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTIManager
  • Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service

Troubleshoot

Estos registros deben ayudar al Centro de asistencia técnica de Cisco a identificar cualquier problema relacionado con la generación de CSR SAN de varios servidores y la carga del certificado firmado por CA.

  • API de la plataforma Cisco Unified OS
  • Tomcat de Cisco
  • Registros IPT Platform CertMgr

Advertencias conocidas

· CSCur97909: la carga de certificado multiservidor no elimina los certificados autofirmados en la base de datos
· CSCus47235 - CUCM 10.5.2 CN no duplicado en SAN para CSR
· CSCup28852: el teléfono se reinicia cada 7 minutos debido a la actualización de certificados cuando se utiliza la certificación de varios servidores

Si hay un certificado de varios servidores existente, la regeneración se recomienda en los siguientes escenarios:

  • Cambio de nombre de host o dominio. Cuando se realiza un cambio de nombre de host o de dominio, los certificados se regeneran automáticamente como Autofirmado. Para cambiarlo a firmado por CA, se deben seguir los pasos anteriores.
  • Si se agregó un nuevo nodo al clúster, se debe generar un nuevo CSR para incluir el nuevo nodo.
  • Cuando se restaura un suscriptor y no se utiliza ninguna copia de seguridad, el nodo tendrá nuevos certificados con firma automática. Se necesitará un nuevo CSR para el clúster completo para incluir al suscriptor. (Hay una solicitud de mejora CSCuv75957 para agregar esta función.)
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Vasanth Kumar K
    Ingeniero del TAC de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Discusiones relacionadas con la comunidad de Cisco

Este documento se aplica a estos productos

Acerca de Cisco
Contáctenos
Trabaje con Nosotros