Rinnova certificato Expressway

Opzioni per il download

  • PDF     (367.1 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:19 marzo 2026
ID documento:218034

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive il processo di rinnovo del certificato Expressway/Video Communication Server (VCS).

    Premesse

    Le informazioni di questo documento si applicano sia a Expressway che a VCS. Il documento fa riferimento a Expressway ma può essere scambiato con VCS.

    Nota: Anche se questo documento è progettato per agevolare il processo di rinnovo del certificato, è consigliabile consultare anche la Cisco Expressway Certificate Creation and Use Deployment Guide per la propria versione.

    Ogni volta che un certificato deve essere rinnovato, è necessario considerare due punti principali per verificare che il sistema continui a funzionare correttamente dopo l'installazione del nuovo certificato:

    1. Gli attributi del nuovo certificato devono corrispondere a quelli del certificato precedente (principalmente il nome soggetto alternativo e l'utilizzo esteso della chiave).

    2. L'Autorità di certificazione (CA) che firma il nuovo certificato deve essere considerata attendibile dagli altri server che comunicano direttamente con Expressway, ad esempio CUCM, Expressway-C, Expressway-E e così via.

    Processo

    A) Ottenere informazioni dal certificato corrente

    1. Aprire Manutenzione pagine Web di Expressway > Sicurezza > Certificato server > Mostra decodificato.

    2. Nella nuova finestra visualizzata, copiare le estensioni Subject Alternative name e Authority Key Identifier X509v3 in un documento del Blocco note.

    Show Decoded Certification WindowMostra finestra Certificazione decodificata

    B) Generare la richiesta di firma del certificato (CSR) e inviarla all'Autorità di certificazione (CA) per la firma

    1. Passare a Manutenzione pagina Web di Expressway > Sicurezza > Certificato server > Genera CSR.

    2. Nel campo Nomi alternativi aggiuntivi (separati da virgola) della finestra Genera CSR immettere tutti i valori per Nomi alternativi soggetto salvati nella sezione A e rimuovere DNS: e separare l'elenco con virgole.

    In questa immagine, accanto al nome alternativo visualizzato, è disponibile un elenco di tutte le SAN da utilizzare nel certificato:

    Generate CSR SAN EntriesGenera voci SAN CSR

    3. Inserire le altre informazioni nella sezione Ulteriori informazioni (ad esempio, paese, società, stato e così via) e fare clic su Genera CSR.

    4. Dopo aver generato il CSR, nella pagina Manutenzione > Sicurezza > Certificato server viene visualizzata un'opzione che consente di ignorare il CSR e di scaricarlo. Scegliere Scarica e inviare il CSR alla CA per la firma.

    Nota: Non eliminare CSR prima dell'installazione del nuovo certificato. Se dopo aver eseguito l'operazione Ignora CSR si tenta di installare un certificato firmato con il CSR che è stato scartato, l'installazione del certificato avrà esito negativo.

    C) Controllare l'elenco SAN e l'attributo di utilizzo chiavi esteso/migliorato nel nuovo certificato

    Aprire il certificato appena firmato in Gestione certificati di Windows e verificare quanto segue:

    1. L'elenco SAN corrisponde all'elenco SAN salvato nella sezione A utilizzato e generato dal CSR.

    2. L'attributo Utilizzo chiave esteso/avanzato deve includere sia l'autenticazione client che l'autenticazione server.

    Nota: Se il certificato ha estensione .pem, rinominarlo in .cer o .crt per aprirlo con Gestione certificati di Windows. Una volta aperto il certificato con Gestione certificati di Windows, è possibile passare alla scheda Dettagli > Copia nel file ed esportarlo come file con codifica Base64, un file con codifica Base64 in genere presenta "—BEGIN CERTIFICATE—" nella parte superiore e "—END CERTIFICATE—" nella parte inferiore quando viene aperto in un editor di testo

    D) Verificare se la CA che ha firmato il nuovo certificato è la stessa della CA che ha firmato il vecchio certificato

    Aprire il certificato appena firmato in Gestione certificati di Windows, copiare il valore Identificatore chiave autorità e confrontarlo con il valore Identificatore chiave autorità salvato nella sezione A.

    New Certification Opened with Windows Certification ManagerNuova certificazione aperta con Gestione certificazioni Windows

    Se entrambi i valori sono uguali, significa che per firmare il nuovo certificato è stata utilizzata la stessa CA di quella utilizzata per firmare il vecchio certificato ed è possibile passare alla sezione E per caricare il nuovo certificato.

    Se i valori sono diversi, significa che la CA utilizzata per firmare il nuovo certificato è diversa dalla CA utilizzata per firmare il vecchio certificato e le operazioni da eseguire prima di passare alla sezione E sono le seguenti:

    1. Ottenere tutti i certificati CA intermedi, se presenti, e il certificato CA radice.

    2. Passare a Manutenzione > Sicurezza > Certificato CA attendibile, fare clic su Sfoglia, quindi cercare il certificato CA intermedio nel computer e caricarlo. Eseguire la stessa operazione per tutti gli altri certificati CA intermedi e per il certificato CA radice.

    3. Eseguire la stessa operazione su qualsiasi Expressway-E (se il certificato da rinnovare è un certificato Expressway-C) connesso a questo server o su qualsiasi Expressway-C (se il certificato da rinnovare è un certificato Expressway-E) connesso a questo server.

    4. Se il certificato da rinnovare è un certificato Expressway-C e si dispone di MRA o di zone protette per CUCM.

    • Verificare che CUCM consideri attendibile la nuova CA radice e intermedia.
    • Caricare i certificati CA radice e intermedia negli archivi CUCM per attendibilità del catalizzatore e per attendibilità del gestore chiamate.
    • Riavviare i relativi servizi su CUCM.

    E) Installare il nuovo certificato

    Dopo aver controllato tutti i punti precedenti, è possibile installare il nuovo certificato in Expressway scegliendo Manutenzione > Protezione > Certificato server.

    Fare clic su Sfoglia e selezionare il nuovo file di certificato dal computer e caricarlo.

    È necessario riavviare Expressway dopo aver installato un nuovo certificato.

    Nota: Verificare che il certificato da caricare in Expressway da Manutenzione > Sicurezza > Certificato server contenga solo il certificato del server Expressway e non la catena di certificati completa e che sia un certificato Base64.

    Aggiunta di un singolo certificato a più espressioni:

    • Creare un singolo certificato per l'intero cluster expressway-e. 
    • Creare un CSR che contenga tutti i nomi di dominio qualificati (FQDN) più le funzionalità aggiuntive utilizzate nelle superstrade (se CMS webrtc, l'URL di join e il dominio, se MRA, le registrazioni e i domini di login)

    Esempio:
    Exwycluster.dominio
    Exwy1.domain
    Exwy2.domain
    Exwy3.domain
    Exwy4.domain
    Funzionalità aggiuntive (domini o URL CMS)

    • Al termine dell'operazione, è possibile estrarre la chiave privata del CSR utilizzando un programma SFTP (si consiglia WinSCP poiché viene utilizzato molto).
    • Aprire WinSCP e connettersi all'autostrada-e che ha creato il CSR.
    • Passare a tandberg/persistent/certs/ CSR o alla richiesta di firma del certificato (potrebbe essere in sospeso).
    • Copiare la chiave privata da expressway-e sul desktop.
    • Al termine, sarà possibile utilizzare lo stesso certificato per tutti e quattro i nodi.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    4.0
    19-Mar-2026
    Testo alternativo e formattazione aggiornati in conformità alle linee guida Cisco per l'esternalizzazione.
    3.0
    13-Aug-2024
    Certificazione
    1.0
    08-Aug-2022
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Nart Omat
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci