Regenere certificados autofirmados del servicio CUCM IM/P

Actualizado:17 de marzo de 2020
ID del documento:215333

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe un procedimiento paso a paso recomendado sobre cómo regenerar certificados en CUCM IM/P 8.x y versiones posteriores.

    Prerequisites

    Requirements

    Cisco recomienda que conozca los certificados del servicio IM & Presence (IM/P).

    Componentes Utilizados

    La información de este documento se basa en la versión 8.x y posteriores de IM/P.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Utilización del almacén de certificados

    Certificado de Cisco Unified Presence (CUP)

    Se utiliza para conexiones SIP seguras para la federación de SIP, control remoto de llamadas de Microsoft para Lync/OCS/LCS, conexión segura entre Cisco Unified Certificate Manager (CUCM) e IM/P, etc.

    Cisco Unified Presence - Certificado de protocolo extensible de mensajería y presencia (CUP-XMPP)

    Se utiliza para validar conexiones seguras para clientes XMPP cuando se crea una sesión XMPP.

    Cisco Unified Presence - Protocolo extensible de mensajería y presencia - Certificado de servidor a servidor (CUP-XMPP-S2S)

    Se utiliza para validar conexiones seguras para federaciones de interdominios XMPP con un sistema XMPP federado externamente.

    Certificado de seguridad IP (IPSec)

    Esto se utiliza para:
    · Validar una conexión segura para el Sistema de recuperación ante desastres (DRS)/Marco de recuperación ante desastres (DRF)
    · Validar una conexión segura para túneles IPsec con Cisco Unified Communications Manager (CUCM) y nodos IM/P del clúster

    Certificado Tomcat

    Esto se utiliza para:

    · Validar varios accesos web, como el acceso a páginas de servicio desde otros nodos del clúster y Jabber Access
    · Validar una conexión segura para el inicio de sesión único (SSO) de SAML

    · Validar conexión segura para peer interclúster

    Precaución: si utiliza la función SSO en los servidores de Unified Communication y se vuelven a generar los certificados de Cisco Tomcat, es necesario volver a configurar el SSO con los nuevos certificados. El enlace para configurar SSO en CUCM y ADFS 2.0 es; https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html.

    Nota: el enlace al proceso de regeneración/renovación de certificados de CUCM es: https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200199-CUCM-Certificate-Regeneration-Renewal-Pr.html.

    Proceso de regeneración de certificados

    Certificado CUP

    Paso 1. Abra una interfaz gráfica de usuario (GUI) para cada servidor del clúster. Comience con el editor de IM/P, abra una GUI para cada servidor de suscriptor de IM/P y navegue hasta  Cisco Unified OS Administration > Security > Certificate Management.

    Paso 2. Empiece con la GUI del editor y seleccione Find  para mostrar todos los certificados. Elija el  cup.pem certificado. Una vez abierto, seleccione Regenerate y espere hasta que se vea que la operación se ha realizado correctamente antes de que se cierre la ventana emergente.

    Paso 3. Continúe con los suscriptores subsiguientes, consulte el mismo procedimiento que en el Paso 2. y complete todos los suscriptores de su clúster.

    Paso 4.  Una vez regenerado el certificado CUP en todos los nodos, se deben reiniciar los servicios.

    Nota: Si la configuración del grupo de redundancia de presencia tiene activada la opción 'Activar alta disponibilidad', Uncheck antes de reiniciar los servicios. Se puede acceder a la configuración del grupo de redundancia de presencia en  CUCM Pub Administration > System > Presence Redundancy Group. Un reinicio de los servicios provoca una interrupción temporal de IM/P y debe realizarse fuera de las horas de producción.

    Reinicie los servicios en este orden:

    · Inicie sesión en Serviciabilidad de Cisco Unified del editor:

    a. Cisco Unified Serviceability > Tools > Control Center - Feature Services

    b. Restart  Servicio Cisco SIP Proxy

    c. Una vez finalizado el reinicio del servicio, continúe con los suscriptores y  Restart Servicio Cisco SIP Proxy

    d. Empiece con el editor y continúe con los suscriptores,  Restart  Servicio Cisco SIP Proxy (también, desde  Cisco Unified Serviceability > Tools > Control Center - Feature Services)

    · Inicie sesión en Serviciabilidad de Cisco Unified del editor:

    a. Cisco Unified Serviceability > Tools > Control Center - Feature Services

    b. Restart servicio Cisco Presence Engine

    c. Una vez finalizado el reinicio del servicio, continúe con  Restart  de Cisco Presence EngineService en los suscriptores

    Nota: Si se configura para la federación de SIP,  Restart Servicio Cisco XCP SIP Federation Connection Manager (ubicado en  Cisco Unified Serviceability > Tools > Control Center - Feature Services), comience con el editor y continúe con los suscriptores.

    Certificado CUP-XMPP

    Nota: Puesto que Jabber utiliza los certificados de servidor CUCM y IM/P Tomcat y CUP-XMPP para validar las conexiones de Tomcat y los servicios CUP-XMPP, estos certificados CUCM e IM/P suelen estar firmados por CA. Suponga que el dispositivo Jabber no tiene la raíz y un certificado intermedio que forma parte del certificado CUP-XMPP instalado en su almacén de confianza de certificados; en ese caso, el cliente Jabber muestra una ventana emergente de advertencia de seguridad para el certificado no fiable. Si aún no está instalado en el certificado del almacén de confianza del dispositivo Jabber, la raíz y cualquier certificado intermedio deben enviarse al dispositivo Jabber a través de la política de grupo, MDM, correo electrónico, etc., que depende del cliente Jabber.

    Nota: Si el certificado CUP-XMMP tiene firma propia, el cliente Jabber muestra una ventana emergente de advertencia de seguridad para el certificado no fiable si el certificado CUP-XMPP no está instalado en el almacén de confianza del certificado del dispositivo Jabber. Si aún no está instalado, el certificado CUP-XMPP autofirmado debe enviarse al dispositivo Jabber a través de la política de grupo, MDM, correo electrónico, etc., que depende del cliente Jabber.

    Paso 1. Abra una GUI para cada servidor del clúster. Comience con el editor de IM/P, abra una GUI para cada servidor de suscriptor de IM/P y navegue hasta  Cisco Unified OS Administration > Security > Certificate Management.

    Paso 2. Empiece con la GUI del editor y seleccione  Find para mostrar todos los certificados. En la columna de tipo del  cup-xmpp.pem certificado, determine si está autofirmado o firmado por CA. Si  cup-xmpp.pem El certificado es una distribución de varios SAN firmada por terceros (tipo CA-signed), revise este enlace cuando genere una CSR CUP-XMPP de varios SAN y envíe a CA para el certificado CUP-XMPP firmado por CA; Ejemplo de Configuración de Unified Communication Cluster Setup with CA-Signed Multi-Server Subject Alternate Name.

    Si  cup-xmpp.pem El certificado es un nodo único de distribución firmado por terceros (tipo firmado por CA) (el nombre de distribución es igual al nombre común del certificado). Revise este vínculo cuando genere un nodo único CUP-XMPP CSR y enviar a CA para el certificado CUP-XMPP firmado por CA; guía de uso completa de Jabber para la validación de certificados. Si  cup-xmpp.pem el certificado está firmado automáticamente; vaya al paso 3.

    Paso 3. Elegir  Find para mostrar todos los certificados y, a continuación, elija el  cup-xmpp.pem certificado. Una vez abierto, seleccione  Regenerate y espere hasta que se vea que la operación se ha realizado correctamente antes de que se cierre la ventana emergente.

    Paso 4. Continúe con los suscriptores subsiguientes; consulte el mismo procedimiento en el paso 2. y complete el procedimiento para todos los suscriptores de su clúster.

    Paso 5. Después de regenerar el certificado CUP-XMPP en todos los nodos, se debe reiniciar el servicio del router Cisco XCP en los nodos IM/P.

    Nota: Si la configuración del grupo de redundancia de presencia tiene activada la opción 'Activar alta disponibilidad',  Uncheck esto antes de reiniciar el servicio. Se puede acceder a la configuración del grupo de redundancia de presencia en  CUCM Pub Administration > System > Presence Redundancy Group. Un reinicio del servicio provoca una interrupción temporal de IM/P y debe realizarse fuera de las horas de producción.

    · Inicie sesión en Serviciabilidad de Cisco Unified del editor:

    a. Cisco Unified Serviceability > Tools > Control Center - Network Services

    b. Restart el servicio de router Cisco XCP

    c. Una vez finalizado el reinicio del servicio, continúe con  Restart Servicio de router XCP de Cisco en los suscriptores

    Certificado CUP-XMPP-S2S

    Paso 1. Abra una GUI para cada servidor del clúster. Comience con el editor de IM/P, luego abra una GUI para cada servidor de suscriptor de IM/P y navegue hasta  Cisco Unified OS Administration > Security > Certificate Management.

    Paso 2. Empiece por la GUI del editor, seleccione  Find para mostrar todos los certificados y seleccione la opción  cup-xmpp-s2s.pem certificado. Una vez abierto, seleccione  Regenerate y espere hasta que se vea que la operación se ha realizado correctamente antes de que se cierre la ventana emergente.

    Paso 3. Continúe con los suscriptores subsiguientes y consulte el mismo procedimiento en el Paso 2. y complete para todos los suscriptores de su clúster.

    Paso 4. Después de regenerar el certificado CUP-XMPP-S2S en todos los nodos, los servicios deben reiniciarse en el orden mencionado.

    Nota: Si la configuración del grupo de redundancia de presencia tiene activada la opción 'Activar alta disponibilidad',Uncheck esto antes de que se reinicien estos servicios. Se puede acceder a la configuración del grupo de redundancia de presencia en  CUCM Pub Administration > System > Presence Redundancy Group. Un reinicio de los servicios provoca una interrupción temporal de IM/P y debe realizarse fuera de las horas de producción.


    · Inicie sesión en Serviciabilidad de Cisco Unified del editor:

    a. Cisco Unified Serviceability > Tools > Control Center - Network Services
    b. Restart el servicio de router Cisco XCP
    c. Una vez finalizado el reinicio del servicio, continúe con  Restart  del servicio de router XCP de Cisco en los suscriptores

    · Inicie sesión en Serviciabilidad de Cisco Unified del editor:

    a. Cisco Unified Serviceability > Tools > Control Center - Feature Services

    b. Restart el servicio Administrador de conexiones de federación XCP XMPP de Cisco

    c. Una vez finalizado el reinicio del servicio, continúe con  Restart  del servicio Cisco XCP XMPP Federation Connection Manager en los suscriptores

    Certificado IPSec

    Nota: El  ipsec.pem El certificado del editor de CUCM debe ser válido y estar presente en todos los suscriptores (nodos CUCM e IM/P) del almacén de confianza IPSec.   ipsec.pem El certificado del suscriptor no está presente en el editor como almacén de confianza IPSec en una implementación estándar. Para verificar la validez, compare los números de serie en el  ipsec.pem certificado de CUCM-PUB con la confianza IPSec en los suscriptores. Deben coincidir.

    Nota: El DRS utiliza una comunicación basada en Secure Socket Layer (SSL) entre el agente de origen y el agente local para la autenticación y el cifrado de datos entre los nodos de clúster de CUCM (nodos de CUCM e IM/P). DRS utiliza los certificados IPSec para el cifrado de clave pública/privada. Tenga en cuenta que si elimina el almacén de confianza IPSEC (hostname.pem) de la página Administración de certificados, DRS no funciona como se esperaba. Si elimina el archivo de confianza IPSEC manualmente, debe asegurarse de cargar el certificado IPSEC en el almacén de confianza IPSEC. Para obtener más información, consulte la página de ayuda de administración de certificados en las guías de seguridad de CUCM.


    Paso 1. Abra una GUI para cada servidor del clúster. Comience con el editor de IM/P, luego abra una GUI para cada servidor de suscriptor de IM/P y navegue hasta  Cisco Unified OS Administration > Security > Certificate Management.

    Paso 2. Empiece con la GUI del editor y seleccione  Find para mostrar todos los certificados.Choose   ipsec.pem certificado. Una vez abierto, seleccione  Regenerate y espere hasta que se vea que la operación se ha realizado correctamente antes de que se cierre la ventana emergente.

    Paso 3. Continúe con los suscriptores subsiguientes y consulte el mismo procedimiento en el Paso 2. y complete para todos los suscriptores de su clúster.

    Paso 4. Después de que todos los nodos hayan regenerado el certificado IPSEC,  Restart estos servicios. Vaya a Serviciabilidad de Cisco Unified del editor; Cisco Unified Serviceability > Tools > Control Center - Network Services.
    a. Elegir  Restart en el servicio principal Cisco DRF
    b. Una vez finalizado el reinicio del servicio, seleccione  Restart del servicio local de Cisco DRF en el editor y, a continuación, continúe con  Restart del servicio Cisco DRF Local en cada suscriptor

    Certificado Tomcat

    Nota: puesto que Jabber utiliza los certificados de servidor Tomcat y Tomcat IM/P y CUP-XMPP de CUCM para validar las conexiones de los servicios Tomcat y CUP-XMPP, estos certificados CUCM e IM/P suelen estar firmados por CA. Suponga que el dispositivo Jabber no tiene la raíz ni ningún certificado intermedio que forme parte del certificado Tomcat instalado en su almacén de confianza de certificados. En ese caso, el cliente Jabber muestra una ventana emergente de advertencia de seguridad para el certificado no confiable. Si aún no está instalado en el almacén de confianza de certificados del dispositivo Jabber, la raíz y cualquier certificado intermedio deben enviarse al dispositivo Jabber a través de la política de grupo, MDM, correo electrónico, etc., que depende del cliente Jabber.

    Nota: Si el certificado Tomcat está autofirmado, el cliente Jabber muestra una ventana emergente de advertencia de seguridad para el certificado no fiable, si el certificado Tomcat no está instalado en el almacén de confianza de certificados del dispositivo Jabber. Si aún no está instalado en el almacén de confianza de certificados del dispositivo Jabber, el certificado CUP-XMPP autofirmado debe enviarse al dispositivo Jabber a través de la política de grupo, MDM, correo electrónico, etc., que depende del cliente Jabber.

    Paso 1. Abra una GUI para cada servidor del clúster. Comience con el editor de IM/P, abra una GUI para cada servidor de suscriptor de IM/P y navegue hasta  Cisco Unified OS Administration > Security > Certificate Management.

    Paso 2. Empiece con la GUI del editor y seleccione Find  para mostrar todos los certificados.
    · En la columna Tipo del  tomcat.pem certificado, determine si está firmado por sí mismo o por la CA

    •Si  tomcat.pem es un certificado de terceros firmado (tipo CA-firmado) distribución multi-SAN, revise este enlace sobre cómo generar un CSR Tomcat multi-SAN y enviar a CA para un certificado Tomcat firmado por CA, Ejemplo de configuración de Unified Communication Cluster Setup with CA-Signed Multi-Server Subject Alternate Name

    note-icon

    Nota: el CSR de Tomcat de varias SAN se genera en el editor de CUCM y se distribuye a todos los nodos de CUCM e IM/P del clúster.

    •Si  tomcat.pem es un nodo único de distribución firmado por terceros (tipo firmado por CA) (el nombre de distribución es igual al nombre común del certificado), revise este enlace para generar un CSR CUP-XMPP de nodo único y envíelo a CA para obtener un certificado CUP-XMPP firmado por CA, guía de uso de Jabber Complete para la validación de certificados

    •Si  tomcat.pem el certificado está firmado automáticamente; vaya al paso 3

    Paso 3. Elegir  Find para mostrar todos los certificados:
    · Elija el  tomcat.pem certificado
    · Una vez abierto, elija  Regenerate y espere a que aparezca la ventana emergente de confirmación antes de que se cierre la ventana emergente

    Paso 4. Continúe con cada suscriptor subsiguiente, consulte el procedimiento del paso 2 y complete todos los suscriptores del clúster.

    Paso 5. Después de que todos los nodos hayan regenerado el certificado Tomcat,  Restart el servicio Tomcat en todos los nodos. Empiece por el editor, seguido por los suscriptores.
    · Para que  Restart Servicio Tomcat, debe abrir una sesión CLI para cada nodo y ejecutar el comando hasta que el servicio reinicie Cisco Tomcat, como se muestra en la imagen:

    Restart Tomcat

    Eliminar certificados de confianza caducados

    Nota: los certificados de confianza (que terminan en -trust) se pueden eliminar cuando sea apropiado. Los certificados de confianza que se pueden eliminar son aquellos que ya no son necesarios, que han caducado o que están obsoletos. No elimine los cinco certificados de identidad: el  cup.pem,  cup-xmpp.pem,  cup-xmpp-s2s.pemipsec.pem,y  tomcat.pem certificados.  Los reinicios del servicio, como se muestra, están diseñados para borrar cualquier información en memoria de estos certificados heredados dentro de esos servicios.

    Nota: Si la configuración del grupo de redundancia de presencia tiene activada la opción 'Activar alta disponibilidad',  Uncheck esto antes de que un servicio Stopped/Started  or  Restarted. Se puede acceder a la configuración del grupo de redundancia de presencia en  CUCM Pub Administration > System > Presence Redundancy Group. El reinicio de algunos de los servicios, como se muestra, provoca una interrupción temporal de IM/P y debe realizarse fuera de las horas de producción.

    Paso 1. Desplácese hasta  Cisco Unified Serviceability > Tools > Control Center - Network Services:

    · En el menú desplegable, elija su editor de IM/P y elija  Stop de Cisco Certificate Expiry Monitor, seguido de  Stop en Cisco Intercluster Sync Agent

    · Repetir Stop para estos servicios para cada nodo de IM/IP del clúster

    note-icon

    Nota: Si se debe eliminar el certificado de confianza de Tomcat, vaya a  Cisco Unified Serviceability > Tools > Control Center - Network Services del editor de CUCM.

    · En el menú desplegable, seleccione el editor de CUCM
    · Elija  Stop de Cisco Certificate Expiry Monitor, seguido de  Stop en Notificación de cambio de certificado de Cisco
    · Repita este procedimiento para cada nodo de CUCM del clúster

    Paso 2. Desplácese hasta  Cisco Unified OS Administration > Security > Certificate Management > Find.

    · Busque los certificados de confianza caducados (para las versiones 10.x y posteriores, puede filtrar por Caducidad. En las versiones anteriores a la 10.0, debe identificar los certificados específicos manualmente o a través de las alertas de RTMT si se reciben.)
    · El mismo certificado de confianza puede aparecer en múltiples nodos, debe eliminarse individualmente de cada nodo
    · Elija el certificado de confianza que desea eliminar (en función de la versión, obtendrá una ventana emergente o accederá al certificado en la misma página)

    · Elija  Delete (aparece una ventana emergente que comienza con "va a eliminar permanentemente este certificado...")
    · Haga clic OK

    Paso 3. Repita el proceso para cada certificado de confianza que desee eliminar.

    Paso 4. Al finalizar, se deben reiniciar los servicios que estén directamente relacionados con los certificados eliminados.

    · Cup-trust: Cisco SIP Proxy, Cisco Presence Engine y, si se ha configurado para la federación de SIP, Cisco XCP SIP Federation Connection Manager (consulte la sección Certificado CUP)
    · CUP-XMPP-trust: router Cisco XCP (consulte la sección de certificados CUP-XMPP)
    · CUP-XMPP-S2S-trust: router Cisco XCP y administrador de conexiones de federación Cisco XCP XMPP
    · IPSec-trust: DRF Source/DRF Local (consulte la sección de certificados IPSec)
    · Tomcat-trust: Reinicie el servicio Tomcat mediante la línea de comandos (consulte la sección de certificados de Tomcat)

    Paso 5. Se detuvieron los servicios de reinicio en el paso 1.

    Verificación

    Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

    Troubleshoot

    Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    17-Mar-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Adrian Esquillo
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco