Renouveler le certificat Expressway

Options de téléchargement

  • PDF     (367.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:19 mars 2026
ID du document:218034

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le processus de renouvellement de certificat d’Expressway/Video Communication Server (VCS).

    Informations générales

    Les informations contenues dans ce document s’appliquent à Expressway et à VCS. Le document fait référence à Expressway mais il peut être échangé avec VCS.

    Remarque : Bien que ce document soit conçu pour vous aider dans le processus de renouvellement des certificats, il est conseillé de consulter également le Guide de création et d’utilisation des certificats Cisco Expressway pour votre version.

    Lors du renouvellement d’un certificat, deux points principaux doivent être pris en compte afin de vérifier que le système continue à fonctionner correctement après l’installation du nouveau certificat :

    1. Les attributs du nouveau certificat doivent correspondre à ceux de l'ancien certificat (principalement l'autre nom du sujet et l'utilisation de la clé étendue).

    2. L’autorité de certification qui signe le nouveau certificat doit être approuvée par d’autres serveurs qui communiquent directement avec l’Expressway (par exemple, CUCM, Expressway-C, Expressway-E, etc.).

    Process

    A) Obtenir des informations à partir du certificat actuel

    1. Ouvrez Expressway Webpage Maintenance > Security > Server certificate > Show decoded.

    2. Dans la nouvelle fenêtre qui s'ouvre, copiez les extensions Subject Alternative name et Authority Key Identifier X509v3 dans un bloc-notes.

    Show Decoded Certification WindowAfficher la fenêtre de certification décodée

    B) Générer la demande de signature de certificat (CSR) et l'envoyer à l'autorité de certification (CA) pour signature

    1. Accédez à Expressway Webpage Maintenance > Security > Server certificate > Generate CSR.

    2. Dans la fenêtre Générer un CSR, dans le champ Autres noms alternatifs (séparés par des virgules), saisissez toutes les valeurs des Autres noms d'objet qui ont été enregistrées dans la section A, puis supprimez DNS : et séparez la liste par des virgules.

    Dans cette image, à côté de Autre nom tel qu'il apparaît, il y a une liste de tous les SAN à utiliser dans le certificat :

    Generate CSR SAN EntriesGénérer des entrées SAN CSR

    3. Saisissez le reste des informations dans la section Informations supplémentaires (par exemple le pays, la société, l'état, etc.) et cliquez sur Générer un CSR.

    4. Après avoir généré le CSR, la page Maintenance > Security > Server Certificate affiche une option pour Discard CSR and Download. Choisissez Download et envoyez le CSR à l'autorité de certification pour signature.

    Remarque : Ne pas supprimer CSR avant l'installation du nouveau certificat. Si la commande Discard CSR a été exécutée et qu'une tentative d'installation d'un certificat signé avec la commande CSR a été exécutée, l'installation du certificat échoue.

    C) Vérifiez la liste SAN et l'attribut d'utilisation de clé étendue/améliorée dans le nouveau certificat

    Ouvrez le certificat nouvellement signé dans le gestionnaire de certificats Windows et vérifiez :

    1. La liste SAN correspond à la liste SAN que vous avez enregistrée dans la section A et que vous avez utilisée et générée dans le CSR.

    2. L'attribut Extended/Enhanced key usage doit inclure à la fois l'authentification client et l'authentification serveur.

    Remarque : Si le certificat a l'extension .pem, renommez-le en .cer ou .crt pour pouvoir l'ouvrir avec le Gestionnaire de certificats Windows. Une fois le certificat ouvert avec le Gestionnaire de certificats Windows, vous pouvez aller à l'onglet Détails > Copier dans le fichier et l'exporter en tant que fichier codé en Base64, un fichier codé en Base64 a normalement "-----BEGIN CERTIFICATE-----" en haut et "-----END CERTIFICATE-----" en bas lorsqu'il est ouvert dans un éditeur de texte

    D) Vérifiez si l'autorité de certification qui a signé le nouveau certificat est la même que celle qui a signé l'ancien certificat

    Ouvrez le certificat nouvellement signé dans le gestionnaire de certificats Windows et copiez la valeur Identificateur de clé d'autorité et comparez-la à la valeur Identificateur de clé d'autorité que vous avez enregistrée dans la section A.

    New Certification Opened with Windows Certification ManagerNouvelle certification ouverte avec le Gestionnaire de certification Windows

    Si les deux valeurs sont identiques, cela signifie que la même autorité de certification a été utilisée pour signer le nouveau certificat que celle qui a été utilisée pour signer l'ancien certificat, et vous pouvez passer à la section E pour télécharger le nouveau certificat.

    Si les valeurs sont différentes, cela signifie que l'autorité de certification utilisée pour signer le nouveau certificat est différente de celle utilisée pour signer l'ancien certificat, et les étapes à suivre avant de passer à la section E sont les suivantes :

    1. Obtenez tous les certificats d’autorité de certification intermédiaire, le cas échéant, et le certificat d’autorité de certification racine.

    2. Accédez à Maintenance > Security > Trusted CA certificate, cliquez sur Browse, puis recherchez le certificat intermédiaire CA sur votre ordinateur et téléchargez-le. Faites de même pour les autres certificats d'autorité de certification intermédiaires et le certificat d'autorité de certification racine.

    3. Procédez de la même manière sur tout Expressway-E (si le certificat à renouveler est un certificat Expressway-C) qui se connecte à ce serveur ou tout Expressway-C (si le certificat à renouveler est un certificat Expressway-E) qui se connecte à ce serveur.

    4. Si le certificat à renouveler est un certificat Expressway-C et que vous disposez d’un ARM ou de zones sécurisées pour CUCM.

    • Vérifiez que CUCM fait confiance à la nouvelle autorité de certification racine et intermédiaire.
    • Téléchargez les certificats d'autorité de certification racine et intermédiaire vers les magasins CUCM tomcat-trust et callmanager-trust.
    • Redémarrez les services appropriés sur CUCM.

    E) Installer le nouveau certificat

    Une fois que tous les points précédents ont été vérifiés, vous pouvez installer le nouveau certificat sur l’Expressway à partir de Maintenance > Security > Server Certificate.

    Cliquez sur Browse et sélectionnez le nouveau fichier de certificat à partir de votre ordinateur et téléchargez-le.

    Vous devez redémarrer l’Expressway après avoir installé un nouveau certificat.

    Remarque : Vérifiez que le certificat à télécharger vers Expressway à partir de Maintenance > Security > Server Certificate contient seulement le certificat du serveur Expressway et non la chaîne de certificats complète et vérifiez qu’il s’agit d’un certificat Base64.

    Ajout d’un certificat unique à plusieurs Expressways :

    • Créez un certificat unique pour l'ensemble du cluster expressway-e. 
    • Créez un CSR qui contient tous les noms de domaine fréquemment qualifiés (FQDN) ainsi que les fonctionnalités supplémentaires que vous utilisez sur vos autoroutes (si CMS webrtc, l'URL et le domaine de jonction, si MRA, vos domaines d'enregistrement/de connexion)

    Exemple :
    Exwycluster.domain
    Exwy1.domain
    Domaine Exwy2.0
    Domaine Exwy3.1
    Exwy4.domain
    Fonctionnalités supplémentaires (domaines ou URL CMS)

    • Une fois le CSR terminé, vous pouvez extraire la clé privée de ce CSR en utilisant un programme SFTP (Recommander WinSCP car il est beaucoup utilisé).
    • Ouvrez WinSCP et connectez-vous à l'expressway-e qui a créé le CSR.
    • Accédez à tandberg/persistent/certs/ CSR ou à la demande de signature de certificat (peut apparaître comme étant en attente).
    • Copiez la clé privée de l'expressway-e sur votre bureau.
    • Une fois cette opération effectuée, vous pouvez utiliser le même certificat pour l'ensemble de vos 4 noeuds.

    Historique de révision

    Révision Date de publication Commentaires
    4.0
    19-Mar-2026
    Mise à jour du texte de remplacement et de la mise en forme conformément aux directives de Cisco pour l'externalisation.
    3.0
    13-Aug-2024
    Recertification
    1.0
    08-Aug-2022
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Nart Omat
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco