Introduction
Ce document fournit une procédure pas à pas recommandée pour régénérer les certificats dans Cisco Unified Communications Manager (CUCM) version 12.X et ultérieure. Ce processus n'utilise pas le retour arrière vers les versions antérieures à la fonctionnalité 8.0 et met à jour les certificats par fonction. La fonction de sécurité par défaut est Identity Trust List (ITL) et la fonction Mixed-Mode est Certificate Trust List (CTL) sont traitées afin d'éviter les problèmes d'enregistrement.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Outil de surveillance en temps réel (RTMT).
- Certificats Cisco Unified Communications Manager (CUCM).
Components Used
Les informations de ce document sont basées sur CUCM version 12.X et ultérieure.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Télécharger et installer RTMT
Étape 1. Ouvrez la page d'administration de Call Manager (CM).
Étape 2. Accédez à Application > Plugins > Find > Cisco Unified Real-Time Monitoring Tool - Windows > Download.
Étape 3. Lancez le logiciel d'installation RTMT téléchargé et suivez l'assistant d'installation.
Contrôler les terminaux avec RTMT
Étape 1. Lancez RTMT et saisissez l'adresse IP ou le nom de domaine complet (FQDN), puis le nom d'utilisateur et le mot de passe pour accéder à l'outil.
Étape 2. Cette section identifie le nombre total de terminaux enregistrés et le nombre de terminaux enregistrés pour chaque noeud. Surveillez la réinitialisation du point de terminaison pour garantir l'enregistrement avant la régénération du certificat suivant.
a. Sélectionnez l'onglet Voice/Video.
b. Sélectionnez Récapitulatif des périphériques.
Astuce : Le processus de régénération de certains certificats peut avoir un impact sur les terminaux. Envisagez un plan d'action après les heures de bureau normales en raison de la nécessité de redémarrer les services et de redémarrer les téléphones. Il est fortement recommandé de surveiller l'enregistrement des téléphones via RTMT.
Avertissement : Les points de terminaison présentant une non-correspondance ITL actuelle peuvent avoir des problèmes d'enregistrement après ce processus. La suppression de l'ITL sur le terminal est une solution recommandée type après la fin du processus de régénération et l'enregistrement de tous les autres téléphones.

Identifier les clusters en mode mixte ou non sécurisé
Étape 1. Ouvrez la page CM Administration.
Étape 2. Accédez à System > Enterprise Parameters > Security Parameters > Cluster Security Mode.


Impact du magasin de certificats
Il est essentiel pour la bonne fonctionnalité du système d’avoir tous les certificats mis à jour à travers la grappe CUCM. Si les certificats sont expirés ou non valides, ils peuvent affecter de manière significative le fonctionnement normal du système. Une liste des services pour les certificats spécifiques qui sont invalides ou expirés est affichée ici. L’impact peut varier en fonction de la configuration de votre système.
Processus de régénération des certificats
Explication ITL et CTL
- ITL contient le rôle de certificat pour Call Manager TFTP, tous les certificats TVS du cluster et la fonction CAPF (Certificate Authority Proxy Function) lorsqu'elle est exécutée
- CTL contient des entrées pour les services SAST (System Administrator Security Token), Cisco Call Manager et Cisco TFTP exécutés sur le même serveur, CAPF, serveur TFTP et pare-feu ASA (Adaptive Security Appliance). TVS n'est pas référencé dans CTL.
Note: Le certificat ITLRecovery est utilisé lorsque les périphériques perdent leur état de confiance. Le certificat apparaît à la fois dans ITL et CTL (lorsque le fournisseur CTL est actif). Si les périphériques perdent leur statut de confiance, vous pouvez utiliser la commande utils itl reset localkey pour les clusters non sécurisés et la commande utils ctl reset localkey pour les clusters en mode mixte. Lisez le guide de sécurité de votre version Call Manager pour vous familiariser avec l'utilisation du certificat ITLRecovery et le processus requis pour récupérer l'état approuvé.
Si le cluster a été mis à niveau vers une version qui prend en charge une longueur de clé de 2048 et que les certificats de serveur de clusters ont été régénérés à 2048 et que ITLRecovery n'a pas été régénéré et qu'il a actuellement une longueur de clé de 1024, la commande ITL recovery échoue et la méthode ITLRecovery ne peut pas être utilisée.
Cluster non sécurisé
Étape 1. Vérifiez que le fichier ITL est valide (commande show itl) et que tous les téléphones font confiance au fichier ITL actuel.
Étape 2. Régénérer le certificat ITLRecovery. Accédez à Cisco Unified OS Administration > Security > Certificate Management > Find.
- Sélectionnez le certificat ITLRecovery pem.
- Une fois ouvert, sélectionnez Régénérer et attendez que la fenêtre contextuelle Réussite s'affiche, puis fermez la fenêtre contextuelle ou revenez en arrière et sélectionnez Rechercher/Liste.
Étape 3. Signez le fichier ITL à l'aide de CallManager Certificate (jusqu'à ce que la clé locale de réinitialisation soit réinitialisée).
Étape 4. Redémarrez tous les téléphones.
- Accédez à Cisco Unified CM Administration > System > Enterprise Parameters.
- Sélectionnez Reset puis une fenêtre contextuelle contenant l'instruction Vous êtes sur le point de réinitialiser tous les périphériques du système. Cette action ne peut pas être annulée. Continuer ?, sélectionnez OK puis sélectionnez Réinitialiser.
Étape 5. Redémarrez le service TFTP (tous les noeuds en cours d'exécution) pour que le fichier ITL soit résigné par le nouveau certificat de récupération ITLR.
Étape 6. Réinitialiser tous les téléphones une deuxième fois pour récupérer un nouveau fichier ITL.
- Accédez à Cisco Unified CM Administration > System > Enterprise Parameters.
- Sélectionnez Reset puis une fenêtre contextuelle contenant l'instruction Vous êtes sur le point de réinitialiser tous les périphériques du système. Cette action ne peut pas être annulée. Continuer ?, sélectionnez OK puis sélectionnez Réinitialiser.
Cluster sécurisé (mode mixte)
Étape 1. Vérifiez le fichier CTL à l'aide de la commande show ctl.
Étape 2. Régénérer le certificat ITLRecovery. Accédez à Cisco Unified OS Administration > Security > Certificate Management > Find.
- Sélectionnez le certificat ITLRecovery pem.
- Une fois ouvert, sélectionnez Régénérer et attendez que la fenêtre contextuelle Réussite s'affiche, puis fermez la fenêtre contextuelle ou revenez en arrière et sélectionnez Rechercher/Liste.
Étape 3. Signez CTLFile avec le certificat CallManager (utils ctl reset localkey). Ceci mettra également à jour CTLFile avec le nouveau certificat ITLRecovery.
Étape 4. Réinitialisez les téléphones pour récupérer le nouveau CTLFile avec le nouveau certificat ITLRecovery.
- Cisco Unified CM Administration > System > Enterprise Parameters.
- Sélectionnez Reset puis une fenêtre contextuelle contenant l'instruction Vous êtes sur le point de réinitialiser tous les périphériques du système. Cette action ne peut pas être annulée. Continuer ?, sélectionnez OK puis sélectionnez Réinitialiser.
Étape 5. Mettre à jour CTLFile pour qu'il soit résigné par le nouveau certificat ITLRecovery (utils ctl update CTLFile).
Étape 6. Redémarrez CallManager et les services TFTP.
- Connectez-vous à la page Cisco Unified Serviceability de Publisher.
- Accédez à Cisco Unified Serviceability > Tools > Control Center - Feature Services.
- Commencez par l'éditeur, puis continuez avec les abonnés, redémarrez Cisco CallManager Service où il est en cours d'exécution.
- Accédez à Cisco Unified Serviceability > Tools > Control Center - Feature Services.
- Commencez par le serveur de publication, puis continuez avec les abonnés, redémarrez le service TFTP Cisco uniquement en cas d'exécution.
Étape 7. Réinitialisez les téléphones pour récupérer le nouveau CTLFile signé par le nouveau certificat ITLRecovery.
- Cisco Unified CM Administration > System > Enterprise Parameters.
- Sélectionnez Reset puis une fenêtre contextuelle contenant l'instruction Vous êtes sur le point de réinitialiser tous les périphériques du système. Cette action ne peut pas être annulée. Continuer ?, sélectionnez OK puis sélectionnez Réinitialiser.
Vérification
Aucune procédure de vérification n'est disponible pour cette configuration.
Dépannage
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.