Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Processus de régénération des certificats pour ITLRecovery sur CUCM 12.x et versions ultérieures

Options de téléchargement

  • PDF     (108.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (106.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (92.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:22 avril 2020
ID du document:215402

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document fournit une procédure pas à pas recommandée pour régénérer les certificats dans Cisco Unified Communications Manager (CUCM) version 12.X et ultérieure. Ce processus n'utilise pas le retour arrière vers les versions antérieures à la fonctionnalité 8.0 et met à jour les certificats par fonction. La fonction de sécurité par défaut est Identity Trust List (ITL) et la fonction Mixed-Mode est Certificate Trust List (CTL) sont traitées afin d'éviter les problèmes d'enregistrement.

    Conditions préalables

    Conditions requises 

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Outil de surveillance en temps réel (RTMT).
    • Certificats Cisco Unified Communications Manager (CUCM).

    Components Used

    Les informations de ce document sont basées sur CUCM version 12.X et ultérieure.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Télécharger et installer RTMT

    Étape 1. Ouvrez la page d'administration de Call Manager (CM).

    Étape 2. Accédez à Application > Plugins > Find > Cisco Unified Real-Time Monitoring Tool - Windows > Download.

    Étape 3. Lancez le logiciel d'installation RTMT téléchargé et suivez l'assistant d'installation.

    Contrôler les terminaux avec RTMT

    Étape 1.  Lancez RTMT et saisissez l'adresse IP ou le nom de domaine complet (FQDN), puis le nom d'utilisateur et le mot de passe pour accéder à l'outil.

    Étape 2. Cette section identifie le nombre total de terminaux enregistrés et le nombre de terminaux enregistrés pour chaque noeud. Surveillez la réinitialisation du point de terminaison pour garantir l'enregistrement avant la régénération du certificat suivant.

    a. Sélectionnez l'onglet Voice/Video.

    b. Sélectionnez Récapitulatif des périphériques.

    Astuce : Le processus de régénération de certains certificats peut avoir un impact sur les terminaux. Envisagez un plan d'action après les heures de bureau normales en raison de la nécessité de redémarrer les services et de redémarrer les téléphones. Il est fortement recommandé de surveiller l'enregistrement des téléphones via RTMT.

    Avertissement : Les points de terminaison présentant une non-correspondance ITL actuelle peuvent avoir des problèmes d'enregistrement après ce processus.  La suppression de l'ITL sur le terminal est une solution recommandée type après la fin du processus de régénération et l'enregistrement de tous les autres téléphones.

    Identifier les clusters en mode mixte ou non sécurisé

    Étape 1. Ouvrez la page CM Administration.

    Étape 2. Accédez à System > Enterprise Parameters > Security Parameters > Cluster Security Mode.

    Impact du magasin de certificats

    Il est essentiel pour la bonne fonctionnalité du système d’avoir tous les certificats mis à jour à travers la grappe CUCM. Si les certificats sont expirés ou non valides, ils peuvent affecter de manière significative le fonctionnement normal du système. Une liste des services pour les certificats spécifiques qui sont invalides ou expirés est affichée ici. L’impact peut varier en fonction de la configuration de votre système.

    Processus de régénération des certificats

    Explication ITL et CTL

        • ITL contient le rôle de certificat pour Call Manager TFTP, tous les certificats TVS du cluster et la fonction CAPF (Certificate Authority Proxy Function) lorsqu'elle est exécutée
        • CTL contient des entrées pour les services SAST (System Administrator Security Token), Cisco Call Manager et Cisco TFTP exécutés sur le même serveur, CAPF, serveur TFTP et pare-feu ASA (Adaptive Security Appliance). TVS n'est pas référencé dans CTL.

    Note: Le certificat ITLRecovery est utilisé lorsque les périphériques perdent leur état de confiance. Le certificat apparaît à la fois dans ITL et CTL (lorsque le fournisseur CTL est actif). Si les périphériques perdent leur statut de confiance, vous pouvez utiliser la commande utils itl reset localkey pour les clusters non sécurisés et la commande utils ctl reset localkey pour les clusters en mode mixte. Lisez le guide de sécurité de votre version Call Manager pour vous familiariser avec l'utilisation du certificat ITLRecovery et le processus requis pour récupérer l'état approuvé.
    Si le cluster a été mis à niveau vers une version qui prend en charge une longueur de clé de 2048 et que les certificats de serveur de clusters ont été régénérés à 2048 et que ITLRecovery n'a pas été régénéré et qu'il a actuellement une longueur de clé de 1024, la commande ITL recovery échoue et la méthode ITLRecovery ne peut pas être utilisée.

    Cluster non sécurisé

    Étape 1. Vérifiez que le fichier ITL est valide (commande show itl) et que tous les téléphones font confiance au fichier ITL actuel.

    Étape 2. Régénérer le certificat ITLRecovery. Accédez à Cisco Unified OS Administration > Security > Certificate Management > Find.

    1. Sélectionnez le certificat ITLRecovery pem.
    2. Une fois ouvert, sélectionnez Régénérer et attendez que la fenêtre contextuelle Réussite s'affiche, puis fermez la fenêtre contextuelle ou revenez en arrière et sélectionnez Rechercher/Liste.

    Étape 3. Signez le fichier ITL à l'aide de CallManager Certificate (jusqu'à ce que la clé locale de réinitialisation soit réinitialisée).

    Étape 4. Redémarrez tous les téléphones.

    1. Accédez à Cisco Unified CM Administration > System > Enterprise Parameters.
    2. Sélectionnez Reset puis une fenêtre contextuelle contenant l'instruction Vous êtes sur le point de réinitialiser tous les périphériques du système. Cette action ne peut pas être annulée. Continuer ?, sélectionnez OK puis sélectionnez Réinitialiser.

    Étape 5. Redémarrez le service TFTP (tous les noeuds en cours d'exécution) pour que le fichier ITL soit résigné par le nouveau certificat de récupération ITLR.

    Étape 6. Réinitialiser tous les téléphones une deuxième fois pour récupérer un nouveau fichier ITL.

    1. Accédez à Cisco Unified CM Administration > System > Enterprise Parameters.
    2. Sélectionnez Reset puis une fenêtre contextuelle contenant l'instruction Vous êtes sur le point de réinitialiser tous les périphériques du système. Cette action ne peut pas être annulée. Continuer ?, sélectionnez OK puis sélectionnez Réinitialiser.

    Cluster sécurisé (mode mixte)

    Étape 1. Vérifiez le fichier CTL à l'aide de la commande show ctl.

    Étape 2. Régénérer le certificat ITLRecovery. Accédez à Cisco Unified OS Administration > Security > Certificate Management > Find.

      1. Sélectionnez le certificat ITLRecovery pem.
      2. Une fois ouvert, sélectionnez Régénérer et attendez que la fenêtre contextuelle Réussite s'affiche, puis fermez la fenêtre contextuelle ou revenez en arrière et sélectionnez Rechercher/Liste.

    Étape 3. Signez CTLFile avec le certificat CallManager (utils ctl reset localkey). Ceci mettra également à jour CTLFile avec le nouveau certificat ITLRecovery.

    Étape 4. Réinitialisez les téléphones pour récupérer le nouveau CTLFile avec le nouveau certificat ITLRecovery.

      1. Cisco Unified CM Administration > System > Enterprise Parameters.
      2. Sélectionnez Reset puis une fenêtre contextuelle contenant l'instruction Vous êtes sur le point de réinitialiser tous les périphériques du système. Cette action ne peut pas être annulée. Continuer ?, sélectionnez OK puis sélectionnez Réinitialiser.

    Étape 5. Mettre à jour CTLFile pour qu'il soit résigné par le nouveau certificat ITLRecovery (utils ctl update CTLFile).

    Étape 6. Redémarrez CallManager et les services TFTP.

      1. Connectez-vous à la page Cisco Unified Serviceability de Publisher.
      2. Accédez à Cisco Unified Serviceability > Tools > Control Center - Feature Services.
      3. Commencez par l'éditeur, puis continuez avec les abonnés, redémarrez Cisco CallManager Service où il est en cours d'exécution.
      4. Accédez à Cisco Unified Serviceability > Tools > Control Center - Feature Services.
      5. Commencez par le serveur de publication, puis continuez avec les abonnés, redémarrez le service TFTP Cisco uniquement en cas d'exécution.

    Étape 7. Réinitialisez les téléphones pour récupérer le nouveau CTLFile signé par le nouveau certificat ITLRecovery.

      1. Cisco Unified CM Administration > System > Enterprise Parameters.
      2. Sélectionnez Reset puis une fenêtre contextuelle contenant l'instruction Vous êtes sur le point de réinitialiser tous les périphériques du système. Cette action ne peut pas être annulée. Continuer ?, sélectionnez OK puis sélectionnez Réinitialiser.

    Vérification 

    Aucune procédure de vérification n'est disponible pour cette configuration.

    Dépannage

    Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

    TAC Authored

    Contribution d’experts de Cisco

    • Levi Thomas
      Cisco TAC Engineer
    • Richie Benjamin
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits