Gestión de certificados masivos entre clústeres de CUCM para la migración de teléfonos

Opciones de descarga

  • PDF     (1.8 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:16 de julio de 2025
ID del documento:215539

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo administrar la certificación masiva entre clústeres de Cisco Unified Communications Manager (CUCM) para la migración telefónica.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:
    · Servidor de protocolo seguro de transferencia de archivos (SFTP)
    · Certificados de CUCM

    Componentes Utilizados

    La información de este documento se basa en CUCM 10.X.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Nota: Este procedimiento también se describe en la sección Administrar certificados masivos de la Guía de administración de CUCM versión 12.5(1)

    La administración masiva de certificados permite compartir un conjunto de certificados entre clústeres de CUCM. Este paso es un requisito para las funciones del sistema de clústeres individuales que necesitan que se establezca una confianza entre ellos, como para Extension Mobility Cross Cluster (EMCC), así como para la migración de teléfonos entre clústeres.

    Como parte del procedimiento, se crea un archivo PKCS12 (Public Key Cryptography Standards #12) que contiene certificados de todos los nodos de un clúster. Cada clúster debe exportar sus certificados al mismo directorio SFTP en el mismo servidor SFTP. Las configuraciones de administración masiva de certificados se deben realizar manualmente en el editor de CUCM de los clústeres de origen y de destino. Los clústeres de origen y destino deben estar activos y operativos para que los teléfonos que se van a migrar tengan conectividad con ambos clústeres. Los teléfonos del clúster de origen se migran al clúster de destino.

    Procedimiento de administración de certificados masivos

    Exportar certificados de clúster de destino

    Paso 1. Configure el servidor SFTP para la Administración de certificados masivos en el editor de CUCM del clúster de destino.

    En este ejemplo, la versión de CUCM del clúster de destino es 11.5.1.

    Vaya a Cisco Unified OS Administration > Security > Bulk Certificate Management. Introduzca los detalles del servidor SFTP y haga clic en Exportar.

    Enter the SFTP Server Details and Click ExportIntroduzca los detalles del servidor SFTP y haga clic en Exportar.

    Paso 2. Exporte todos los certificados de todos los nodos del clúster de destino al servidor SFTP.

    En la ventana emergente Exportación masiva de certificados, seleccione Todo para Tipo de certificado y luego haga clic en Exportar.

    Select All for Certificate Type and then Click ExportSeleccione Todos en Tipo de certificado y haga clic en Exportar


    Cierre la ventana y actualice Bulk Certificate Management con los archivos PKCS12 creados para cada uno de los nodos del clúster de destino. La página web se actualiza con esta información, como se muestra en la imagen.

    Bulk Certificate Management Updates with the PKCS12 FilesActualizaciones de administración masiva de certificados con los archivos PKCS12

    Exportar certificados de clúster de origen

    Paso 1. Configure el servidor SFTP para la Administración de certificados masivos en el editor de CUCM del clúster de origen.

    En este ejemplo, la versión de CUCM del clúster de origen es 10.5.2.

    Vaya a Cisco Unified OS Administration > Security > Bulk Certificate Management, ingrese los detalles del servidor SFTP y haga clic en Export.

    Nota: Los archivos PKCS12 exportados desde el clúster de destino al servidor SFTP se muestran en la página Web de administración de certificados masivos del editor del clúster de origen CUCM cuando se accede a ellos.

    Enter the SFTP Server Details and Click ExportIntroduzca los detalles del servidor SFTP y haga clic en Exportar

    Paso 2. Exporte todos los certificados de todos los nodos del clúster de origen al servidor SFTP.

    En la ventana emergente Exportación masiva de certificados, seleccione Todo para Tipo de certificado y luego haga clic en Exportar:

    Export Certificate Type AllExportar tipo de certificado Todo


    Haga clic en Cerrar para cerrar esta ventana. La Administración masiva de certificados se actualiza con los archivos PKCS12 creados para cada uno de los nodos del clúster de origen; la página web se actualiza con esta información. La página web para la administración de certificados masivos del clúster de origen ahora muestra los archivos PKCS12 de origen y destino exportados a SFTP.

    PKCS12 Files Exported to SFTPArchivos PKCS12 exportados a SFTP.

    Consolidación de archivos PKCS12 de origen y destino

    Nota: Mientras que la exportación de la Administración masiva de certificados se realiza en los clústeres de origen y de destino, la consolidación se realiza a través del editor de CUCM en uno solo de los clústeres.

    Paso 1. Vuelva a la página Bulk Certificate Management del editor de CUCM del clúster de origen y haga clic en Consolidar:

    Click ConsolidateHaga clic en Consolidar

    En la ventana emergente Consolidación masiva de certificados, seleccione Todo para el tipo de certificado y, a continuación, haga clic en Consolidar. Haga clic en Cerrar para cerrar esta ventana.

    Consolidate All Certificate TypesConsolidar todos los tipos de certificados

    Puede comprobar en cualquier momento el directorio SFTP para comprobar los archivos PKCS 12 que se incluyen para los clústeres de origen y de destino. El contenido del directorio SFTP después de la exportación de todos los certificados, desde los clústeres de destino y de origen, se ha completado. Esto se muestra en las imágenes siguientes.

    Contents of the SFTP Directory after the Export of all CertificatesContenido del directorio SFTP después de la exportación de todos los certificados

    Contents of the SFTP DirectoryContenido del directorio SFTP

    Importar certificados a clústeres de origen y de destino

    Paso 1. Importe certificados al clúster de destino.

    En el publicador de CUCM del clúster de destino, navegue hasta Administración de Cisco Unified OS > Seguridad > Administración de certificados masivos y deje que se actualice la página. A continuación, haga clic en Importar:

    SFTP Import

    En la ventana emergente Importación masiva de certificados, seleccione Todo para Tipo de certificado y luego haga clic en Importar. Haga clic en Cerrar para cerrar esta ventana.

    Select All and then ImportSeleccione Todo y luego Importar

    Paso 2.  Repita el paso 1 para el clúster de origen.

    Nota: Cuando se realiza la importación masiva de certificados, los certificados se cargan en el clúster remoto de la siguiente manera:
    - El certificado de función proxy de autoridad certificadora (CAPF) se carga como una confianza de CallManager.
    - El certificado Tomcat se carga como tomcat-trust.
    - El certificado de CallManager se carga como Phone-SAST-trust y CallManager-trust.
    - El certificado de recuperación de la lista de confianza de identidad (ITLRecrecovery) se carga como Phone-SAST-trust y CallManager-trust.

    Configuración de teléfonos de clúster de origen con información del servidor TFTP del clúster de destino

    Configure el alcance DHCP para los teléfonos del clúster de origen con la opción 150 del protocolo de transferencia de archivos trivial (TFTP) para señalar a los servidores TFTP de CUCM del clúster de destino.

    Restablecer teléfonos de clúster de origen para obtener el archivo ITL/CTL de clúster de destino para completar el proceso de migración

    Como parte del proceso de migración, los teléfonos del clúster de origen intentan configurar una conexión segura con el clúster de origen Cisco Trust Verification Service (TVS) para verificar el certificado de CallManager o ITLRecrecovery del clúster de destino.

    Nota: El certificado de CallManager de clústeres de origen de un servidor de CUCM que ejecuta el servicio TFTP (también conocido como certificado TFTP) o su certificado ITLRecrecovery firma un archivo de lista de confianza de certificados (CTL) de nodo de CUCM de clúster de origen o de lista de confianza de identidad (ITL). De manera similar, el certificado CallManager del clúster de destino de un servidor CUCM que ejecuta el servicio TFTP o su certificado ITLRecrecovery firma un archivo CTL y/o ITL del nodo CUCM del clúster de destino. Los archivos CTL e ITL se crean en nodos CUCM que ejecutan el servicio TFTP. Si el TVS del clúster de origen no valida un archivo CTL o ITL del clúster de destino, se producirá un error en la migración del teléfono al clúster de destino.

    Nota: Antes de iniciar el proceso de migración del teléfono del clúster de origen, confirme que estos teléfonos tienen instalado un archivo CTL o ITL válido. Además, asegúrese de que la función empresarial Prepare Cluster for Rollback to Pre 8.0 esté establecida en False para el clúster de origen. Además, verifique que los nodos de CUCM del clúster de destino que ejecutan el servicio TFTP tengan instalados archivos CTL o ITL válidos.

    Este es el proceso sin un clúster seguro para que los teléfonos de origen obtengan el archivo ITL del clúster de destino para completar la migración de teléfonos:

    Paso 1. Ni el CallManager ni el certificado ITLRecrecovery contenido en el archivo ITL del clúster de destino, que se presenta al teléfono del clúster de origen al restablecerse, se pueden utilizar para validar el archivo ITL de instalación actual. Esto hace que el teléfono del clúster de origen establezca una conexión con el TVS del clúster de origen para validar el archivo ITL del clúster de destino.
    Paso 2. El teléfono establece una conexión al TVS del clúster de origen en el puerto TCP 2445.
    Paso 3. El clúster de origen TVS presenta su certificado al teléfono. El teléfono valida la conexión y solicita al TVS del clúster de origen que valide el certificado de CallManager o ITLRecrecovery del clúster de destino para permitir que el teléfono descargue el archivo ITL del clúster de destino.
    Paso 4. Después de la validación e instalación del archivo ITL del clúster de destino, el teléfono del clúster de origen ahora puede validar y descargar archivos de configuración firmados del clúster de destino.

    Este es el proceso con el clúster seguro para que los teléfonos de origen obtengan el archivo CTL del clúster de destino para completar la migración de los teléfonos:

    Paso 1. El teléfono arranca e intenta descargar el archivo CTL del clúster de destino.
    Paso 2. El archivo CTL está firmado por el certificado CallManager o ITLRecrecovery del clúster de destino que no está en el archivo CTL o ITL actual del teléfono.
    Paso 3. Como resultado, el teléfono llega a TVS en el clúster de origen para verificar el certificado de CallManager o ITLRecrecovery.

    Nota: En este momento, el teléfono todavía tiene su configuración antigua que contiene la dirección IP del servicio TVS del clúster de origen. Los servidores TVS especificados en la configuración de teléfonos son los mismos que el grupo CallManager de teléfonos.

    Paso 4. El teléfono configura una conexión de seguridad de la capa de transporte (TLS) al TVS del clúster de origen.
    Paso 5. Cuando el TVS del clúster de origen presenta su certificado al teléfono, el teléfono comprueba este certificado de TVS con el certificado de su archivo ITL actual.
    Paso 6. Si son iguales, el protocolo de enlace se completa correctamente.
    Paso 7. El teléfono de origen solicita que el TVS del clúster de origen verifique el certificado de CallManager o ITLRecrecovery del archivo CTL del clúster de destino.
    Paso 8. El servicio TVS de origen encuentra el CallManager o ITLRecrecovery del clúster de destino en su almacén de certificados, lo valida y el teléfono del clúster de origen continúa actualizándose con el archivo CTL del clúster de destino.
    Paso 9. El teléfono de origen descarga el archivo ITL del clúster de destino que se valida con el archivo CTL del clúster de destino que ahora contiene. Dado que el archivo CTL del teléfono de origen ahora contiene el certificado de CallManager o ITLRecrecovery del clúster de destino, el teléfono de origen ahora puede verificar el certificado de CallManager o ITLRecrecovery sin necesidad de comunicarse con el TVS del clúster de origen.

    Verificación

    Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

    Troubleshoot

    Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

    Vídeo de configuración

    Este enlace proporciona acceso a un vídeo que recorre la Administración de certificados masivos entre clústeres de CUCM:

    Administración masiva de certificados entre clústeres de CUCM

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    4.0
    16-Jul-2025
    Vínculos de destino y formato actualizados.
    3.0
    14-May-2024
    Recertificación
    1.0
    20-May-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Adrian Esquillo
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos