Introduction


    Ce document décrit les progrès réalisés dans la gestion des certificats pour Cisco Unified Communications Manager (CUCM) mis en oeuvre dans la version 11.x.

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • CUCM

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

    • CUCM version 11.5.1.10000-6

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Informations générales

    La gestion des certificats de CUCM aide les administrateurs de communications unifiées ou de sécurité à tirer parti des avantages de la gestion des certificats plus efficace. Les avantages de cette amélioration comprennent une diminution du temps pendant la suppression des certificats non désirés expirés dans CUCM et IM&Presence.

    Gestion des certificats

    Anciennes versions

    Avant CUCM version 11, ce message s'affiche si un certificat est supprimé.

    Le certificat est supprimé uniquement du noeud sur lequel l'opération de suppression est lancée.

    Si le même certificat n'est pas supprimé dans d'autres noeuds, le certificat supprimé est de nouveau renseigné dans le noeud où il a été supprimé initialement. Ceci est dû au service de surveillance de certificat appelé Notification de modification de certificat. Comme pratique recommandée dans les versions plus anciennes de CUCM, le service de notification de modification de certificat est arrêté sur tous les noeuds CUCM avant la suppression de certificat. Un autre inconvénient dans les versions précédentes est la nécessité de se connecter à la section d'administration du système d'exploitation de chaque noeud afin de supprimer un seul certificat indésirable ou expiré, ce qui devient fastidieux et prend du temps, en particulier pour un grand cluster.

    Nouvelles versions

    À partir de CUCM version 11.0 ou ultérieure, tous les certificats indésirables ou expirés qui sont supprimés du noeud actuel sont également supprimés de tous les autres noeuds du cluster.

    L'amélioration a été incluse pour remédier à ces défauts :

    CSCto86463 - Les certificats supprimés réapparaissent, impossible de supprimer les certificats de CUCM

    CSCus28550 - Amélioration de la gestion des certificats pour supprimer un certificat de tous les noeuds

    Forum aux questions

    Q. Quel est le type de certificat inclus dans cette amélioration ?

       A. Pour Cisco Unified Communications Manager :

    • tomcat-trust
    • CallManager-trust
    • phone-sast-trust

           Pour Cisco Unified Communications Manager IM & Presence :

    • tomcat-trust

    Q. Que se passe-t-il à l'arrière-plan pour cette amélioration ?

       A. Dès qu'un certificat est supprimé dans l'un des noeuds CUCM :

    • Le certificat est supprimé du noeud local
    • L'événement de plate-forme déclenche la suppression du même certificat à tous les autres noeuds.

    Vérifier

    Une fois qu'un certificat est supprimé via la page Administration du système d'exploitation dans un noeud, connectez-vous à d'autres noeuds et vérifiez si le certificat est présent ou non. Si un certificat supprimé n'est pas supprimé de tous les noeuds, vérifiez les journaux générés par l'instance de suppression de certificat.

    • SYSLOG
    • Journaux CertMgr de la plate-forme IPT

    Dans un scénario de travail commun, ce sont les journaux attendus.

    SYSLOG

    L'événement de plate-forme est visible dans d'autres noeuds (autre que le noeud où la suppression du certificat a été initiée). Dans cet exemple, un certificat tomcat-trust nommé CUCMSUB1.pem a été supprimé de l'éditeur, affichant ceci dans le syslog de l'abonné.

    Aug  6 20:20:47 CUCMSUB1 user 6 ilog_impl: Received request for platform-event (--no-wait platform-event-clusterwide-certificate-delete HOSTNAME=CUCM-PUB UNIT=tomcat-trust NAME=CUCMSUB1.pem)

    Journaux CertMgr de la plate-forme IPT

    Dans les journaux CertMgr, les enregistrements confirment que le certificat est en file d'attente pour suppression des entrées de la base de données.

    2016-08-06 21:22:06,151 INFO [main] - IN -- CertDBAction.java - deleteCertificateInDB(certInfo) -

    2016-08-06 21:22:06,151 INFO [main] -

    DBParameters ...

    PKID :                   null

    CN :                      L=BGL,ST=Karnataka,CN=CUCMSUB1,OU=TAC,O=Cisco,C=IN

    serialNo :             4d6dc0cb7bc73e70c3ded20690d15fa8

    hostName :         CUCMSUB1

    issuerName :      L=BGL,ST=Karnataka,CN=CUCMSUB1,OU=TAC,O=Cisco,C=IN

    Certificate :         Not Printing huge Certificate String..

    IPV4Address :     10.106.99.196

    IPV6Address :    

    TimeToLive :       NULL

    TkCertificateDistribution :1

    UNIT :                  tomcat-trust

    TYPE :                   trust-certs

    ROLE :                  null

    RoleMoniker :    null

    RoleEnum :null

    SERVICE :                            null

    ServiceMoniker :               null

    ServiceEnum :0

    2016-08-06 21:22:06,151 INFO [main] - DB - Certifciate Store Plugin Handler is :com.cisco.ccm.certmgmt.db.CertDBImpl

    2016-08-06 21:22:06,156 INFO [main] - IN -- CertDBImpl.java - deleteCertificate(certInfo) –

    La commande SQL déclenchée pour la suppression du certificat est visible dans les journaux CertMgr.

    2016-08-06 21:22:08,980 DEBUG [main] - Delete query of CERTIFICATEPROCESSNODEMAP :DELETE FROM CERTIFICATEPROCESSNODEMAP WHERE FKCERTIFICATE="cdd0365a-2d17-3483-4d00-1bf08f942cf5" AND SERVERNAME = "CUCMSUB1"

    2016-08-06 21:22:08,980 DEBUG [main] - execute(DELETE FROM CERTIFICATEPROCESSNODEMAP WHERE FKCERTIFICATE="cdd0365a-2d17-3483-4d00-1bf08f942cf5" AND SERVERNAME = "CUCMSUB1")

    Dans les journaux CertMgr, les entrées confirment que le certificat est supprimé du FILE-SYSTEM (certificat avec extensions pem ou der).

    2016-08-06 21:22:09,009 DEBUG [main] - deleteDERandPEM: sCertDir = /usr/local/platform/.security/tomcat/trust-certs --- sAlias = CUCMSUB1

    2016-08-06 21:22:09,009 INFO [main] - IN -- TomcatCertMgr.java - removeFromKeyStore(..) -

    2016-08-06 21:22:09,010 INFO [main] - IN -- RSACryptoEngine.java - removeFromKeyStore(keystoreFile, keystorePass, alias) -

    2016-08-06 21:22:09,010 INFO [main] - IN -- RSACryptoEngine.java - loadKeyStore(keystoreFile, keystorePass) -

    2016-08-06 21:22:09,086 INFO [main] - OUT -- RSACryptoEngine.java - loadKeyStore -

    2016-08-06 21:22:09,103 DEBUG [main] - Removing certificate from keystore : CUCMSUB1

    Si la suppression de certificat n'est toujours pas répercutée sur les autres noeuds d'un cluster ou si les journaux indiquent des erreurs, ouvrez un dossier TAC avec l'équipe CUCM.