Renouveler le certificat Expressway

Options de téléchargement

  • PDF     (369.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (207.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (230.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:18 octobre 2023
ID du document:218034

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le processus de renouvellement de certificat d’Expressway/Video Communication Server (VCS).

    Informations générales

    Les informations contenues dans ce document s’appliquent à Expressway et à VCS. Le document fait référence à Expressway mais il peut être échangé avec VCS.

    Remarque : bien que ce document soit conçu pour vous aider dans le processus de renouvellement des certificats, il est conseillé de consulter également le Guide de création et d’utilisation des certificats Cisco Expressway pour votre version.

    Lors du renouvellement d’un certificat, deux points principaux doivent être pris en compte afin de vérifier que le système continue à fonctionner correctement après l’installation du nouveau certificat :

    1. Les attributs du nouveau certificat doivent correspondre à ceux de l'ancien certificat (principalement l'autre nom du sujet et l'utilisation de la clé étendue).

    2. L’autorité de certification qui signe le nouveau certificat doit être approuvée par d’autres serveurs qui communiquent directement avec l’Expressway (par exemple CUCM, Expressway-C, Expressway-E, etc.).

    Process

    A) Obtenir des informations à partir du certificat actuel

    1. Ouvrez la page Web Expressway Maintenance > Security > Server certificate > Show decoded.

    2. Dans la nouvelle fenêtre qui s'ouvre, copiez les extensions Subject Alternative name et Authority Key Identifier X509v3 dans un bloc-notes.

    Show decoded certificate windowFenêtre de certificat « Show decoded »

    B) Générez la demande de signature de certificat (CSR) et envoyez-la à l'autorité de certification (CA) pour signature.

    1. Depuis la page Web Expressway Maintenance > Security > Server certificate > Generate CSR.

    2. Dans la fenêtre Générer un CSR, dans le champ Autres noms alternatifs (séparés par des virgules), entrez toutes les valeurs des Autres noms d'objet qui ont été enregistrées dans la section A, et supprimez DNS : et séparez la liste par des virgules. Dans cette image, à côté de Autre nom tel qu'il apparaîtra, il y a une liste de tous les SAN à utiliser dans le certificat) :

    Generate CSR SAN entriesGénérer des entrées SAN CSR

    3. Entrez le reste des informations dans la section Additional Information (comme le pays, la société, l'état, etc.) et cliquez sur Generate CSR.

    4. Une fois que vous avez généré le CSR, la page Maintenance > Security > Server Certificate affiche une option pour Discard CSR et Download. Choisissez Download et envoyez le CSR à l'autorité de certification pour signature.

    Remarque : ne supprimez pas CSR avant l'installation du nouveau certificat. Si Discard CSR a été fait et qu'une tentative d'installation d'un certificat signé avec le CSR qui a été rejeté est effectuée, l'installation du certificat échoue.

    C) Vérifiez la liste SAN et l'attribut d'utilisation de clé étendue/améliorée dans le nouveau certificat

    Ouvrez le certificat nouvellement signé dans le gestionnaire de certificats Windows et vérifiez :

    1. La liste SAN correspond à la liste SAN que nous avons enregistrée dans la section A et que nous avons utilisée pour générer le CSR.

    2. L'attribut « Extended/Enhanced key usage » doit inclure à la fois l'authentification client et l'authentification serveur.

    Remarque : si le certificat porte l'extension .pem, renommez-le en .cer ou .crt pour pouvoir l'ouvrir avec le Gestionnaire de certificats Windows. Une fois le certificat ouvert avec le Gestionnaire de certificats Windows, vous pouvez aller à l'onglet Détails > Copier dans fichier et l'exporter en tant que fichier codé en Base64, un fichier codé en Base64 a normalement "-----BEGIN CERTIFICATE-----" en haut et "-----END CERTIFICATE-----" en bas lorsqu'il est ouvert dans un éditeur de texte

    D) Vérifiez si l'autorité de certification qui a signé le nouveau certificat est la même que celle qui a signé l'ancien certificat

    Ouvrez le certificat nouvellement signé dans le gestionnaire de certificats Windows et copiez la valeur « Identificateur de clé d'autorité » et comparez-la à la valeur « Identificateur de clé d'autorité » que nous avons enregistrée dans la section A.

    New certificate opened with Windows Certificate ManagerNouveau certificat ouvert avec le Gestionnaire de certificats Windows

    Si les deux valeurs sont identiques, cela signifie que la même autorité de certification a été utilisée pour signer le nouveau certificat que celle qui a été utilisée pour signer l'ancien certificat, et vous pouvez passer à la section E pour télécharger le nouveau certificat.

    Si les valeurs sont différentes, cela signifie que l'autorité de certification utilisée pour signer le nouveau certificat est différente de celle utilisée pour signer l'ancien certificat, et les étapes à suivre avant de passer à la section E sont les suivantes :

    1. Obtenez tous les certificats d’autorité de certification intermédiaire, le cas échéant, et le certificat d’autorité de certification racine.

    2. Accédez à Maintenance > Security > Trusted CA certificate , cliquez sur Browse , puis recherchez le certificat d'autorité de certification intermédiaire sur votre ordinateur et téléchargez-le. Faites de même pour les autres certificats d'autorité de certification intermédiaires et le certificat d'autorité de certification racine.

    3. Procédez de la même manière sur tout Expressway-E (si le certificat à renouveler est un certificat Expressway-C) qui se connecte à ce serveur ou tout Expressway-C (si le certificat à renouveler est un certificat Expressway-E) qui se connecte à ce serveur.

    4. Si le certificat à renouveler est un certificat Expressway-C et que vous disposez d’un ARM ou de zones sécurisées pour CUCM

    • Vérifiez que CUCM fait confiance à la nouvelle autorité de certification racine et intermédiaire.
    • Téléchargez les certificats d'autorité de certification racine et intermédiaire vers les magasins CUCM tomcat-trust et callmanager-trust.
    • Redémarrez les services appropriés sur CUCM.

    E) Installer le nouveau certificat

    Une fois que tous les points précédents ont été vérifiés, vous pouvez installer le nouveau certificat sur l’Expressway à partir de Maintenance > Security > Server Certificate .

    Cliquez sur Browse et sélectionnez le nouveau fichier de certificat à partir de votre ordinateur et téléchargez-le.

    Vous devez redémarrer l’Expressway après avoir installé un nouveau certificat.

    Remarque : vérifiez que le certificat à télécharger vers Expressway à partir de Maintenance > Sécurité > Certificat de serveur contient uniquement le certificat de serveur Expressway et non la chaîne de certificats complète et vérifiez qu’il s’agit d’un certificat Base64.

    Ajout d’un certificat unique à plusieurs Expressways :

    • Créez un certificat unique pour l'ensemble du cluster expressway-e. Sur cette base, voici ce que vous devez faire :
    • Créez un CSR qui contient tous les FQDN ainsi que les fonctionnalités supplémentaires que vous utilisez sur vos expressways (si CMS webrtc, l'URL et le domaine de jonction, si MRA, vos domaines d'enregistrement/de connexion)

    Exemple :
    Exwycluster.domain
    Exwy1.domain
    Domaine Exwy2.0
    Domaine Exwy3.1
    Exwy4.domain
    Fonctionnalités supplémentaires (domaines ou URL CMS)

    • Une fois la CSR terminée, vous pouvez extraire la clé privée de cette CSR en utilisant un programme SFTP (je vous recommande WinSCP, nous l'utilisons beaucoup)
    • Ouvrez WinSCP et connectez-vous à l'expressway-e qui a créé le CSR
    • Naviguez jusqu'à tandberg/persistent/certs/ CSR ou demande de signature de certificat (peut apparaître ou en attente)
    • Copiez la clé privée de l'expressway-e sur votre bureau,
    • Une fois que cela est fait, nous pouvons utiliser le même certificat pour tous vos 4 noeuds.

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    18-Oct-2023
    Recertification
    1.0
    08-Aug-2022
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Nart Omat
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco