Configurare Tomcat Certificate Reuse per CallManager in CUCM 14

Aggiornato:11 ottobre 2023
ID documento:221070

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come riutilizzare il certificato Multi-SAN Tomcat per CallManager su un server Cisco Unified Communications Manager (CUCM).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • certificati CUCM
    • Strumento di monitoraggio in tempo reale (RTMT)
    • ITL (Identity Trust List)

    Componenti usati

    Il riferimento delle informazioni contenute in questo documento è CUCM 14.0.1.13900-155.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    I due servizi principali per CUCM sono Tomcat e CallManager. Nelle versioni precedenti per il cluster completo erano necessari certificati diversi per ogni servizio. In CUCM versione 14 è stata aggiunta una nuova funzionalità per riutilizzare il certificato Multi-SAN Tomcat anche per il servizio CallManager. L'utilizzo di questa funzione offre i seguenti vantaggi:

    • Riduce i costi per ottenere due certificati firmati da un'Autorità di certificazione pubblica (CA) per un cluster di certificati firmati da CA.
    • Questa funzione riduce le dimensioni del file ITL, riducendo in tal modo il sovraccarico.

    Configurazione

    caution-icon

    Attenzione: prima di caricare un certificato Tomcat, verificare che Single Sign-On (SSO) sia disabilitato. Se è attivata, l'SSO deve essere disattivato e riattivato al termine del processo di rigenerazione dei certificati Tomcat.

    1. Impostare il certificato Tomcat come Multi-SAN

    In CUCM 14, il certificato Tomcat Multi-SAN può essere autofirmato o firmato dalla CA. Se il certificato Tomcat è già Multi-SAN, ignorare questa sezione.

    Autofirmato

    Passaggio 1. Accedi a Publisher > Operating System (OS) Administration e passare a Security > Certificate Management > Generate Self-Signed.

    Passaggio 2. Scegli Certificate Purpose: tomcat > Distribution: Multi-Server SAN. Viene eseguito il popolamento automatico dei domini SAN e del dominio padre. 

    Generate Self-Signed Multi-SAN Tomcat Certificate ScreenSchermata Genera certificato Tomcat multifirma autografato

    Passaggio 3. Fare clic su  Generatee verificare che tutti i nodi siano elencati nella Certificate upload operation successful messaggio. Fare clic su Close.

    Generate Self-Signed Multi-SAN Tomcat Successful MessageGenera messaggio di completamento Tomcat multiSAN con firma automatica

    Passaggio 4. Riavviare il servizio Tomcat, aprire una sessione CLI in tutti i nodi del cluster ed eseguire utils service restart Cisco Tomcat  

    Passaggio 5. Passare alla Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services e riavviare Cisco DRF Master Service e Cisco DRF Local Service.

    Passaggio 6. Passa a ogni Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services e riavvia Cisco DRF Local Service.

    Con firma CA

    Passaggio 1. Accedi a Publisher > Operating System (OS) Administration e passare a Security > Certificate Management > Generate CSR.

    Passaggio 2. Scegli Certificate Purpose: tomcat > Distribution: Multi-Server SAN. Viene eseguito il popolamento automatico dei domini SAN e del dominio padre.

    Generate Multi-SAN CSR for Tomcat Certificate ScreenSchermata Genera CSR multi-SAN per certificato Tomcat

    Passaggio 3. Fare clic su  Generatee verificare che tutti i nodi siano elencati nella CSR export operation successful messaggio. Fare clic su  Close.

    Generate Multi-SAN CSR Tomcat Successful MessageGenera messaggio di riuscita CSR multi-SAN Tomcat

    Passaggio 4. Fare clic su  Download CSR > Certificate Purpose: tomcat > Download.

    Download Tomcat CSR ScreenSchermata Download CSR Tomcat

    Passaggio 5. Inviare il CSR alla CA per la firma.

    Passaggio 6. Per caricare la catena di attendibilità CA, passare a Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust. Impostare la descrizione del certificato ed esplorare i file della catena di attendibilità.

    Passaggio 7. Caricare il certificato firmato dalla CA, passare a Certificate Management > Upload certificate > Certificate Purpose: tomcat. Impostare la descrizione del certificato e sfogliare il file del certificato firmato dalla CA.

    Passaggio 8. Riavviare il servizio Tomcat, aprire una sessione CLI in tutti i nodi del cluster ed eseguire utils service restart Cisco Tomcat 

    Passaggio 9. Passare alla Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services e riavviare Cisco DRF Master Service e Cisco DRF Local Service.

    Passaggio 10. Passa a ogni Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services e riavvia Cisco DRF Local Service.

    2. Riutilizzare il certificato Tomcat per CallManager

    caution-icon

    Attenzione: per CUCM 14, un nuovo parametro enterprise Phone Interaction on Certificate Update introdotta. Utilizzare questo campo per reimpostare i telefoni manualmente o automaticamente in base alle esigenze quando viene aggiornato uno dei certificati TVS, CAPF o TFTP (CallManager/ITLRecovery). Per impostazione predefinita, questo parametro è impostato su reset the phones automatically. Dopo la rigenerazione, l'eliminazione e l'aggiornamento dei certificati, assicurarsi che i servizi appropriati vengano riavviati.

    Passaggio 1. Passare all'editore CUCM e quindi a Cisco Unified OS Administration > Security > Certificate Management.

    Passaggio 2. Fare clic su  Reuse Certificate.

    Passaggio 3. Dal choose Tomcat type elenco a discesa, scegliere tomcat.

    Passaggio 4. Dal Replace Certificate for the following purpose , controllare la CallManager .

    Reuse Tomcat Certificate for Other Services ScreenSchermata Riutilizza certificato Tomcat per altri servizi

    note-icon

    Nota: se si sceglie Tomcat come tipo di certificato, CallManager viene abilitato come sostituzione. Se si sceglie tomcat-ECDSA come tipo di certificato, CallManager-ECDSA viene abilitato come tipo sostitutivo.

    Passaggio 5. Fare clic su Finish per sostituire il certificato CallManager con il certificato Tomcat Multi-SAN.

    Reuse Tomcat Certificate Successful MessageRiutilizza messaggio di certificato Tomcat riuscito

    Passaggio 6. Riavviare il servizio Cisco HAProxy, aprire una sessione CLI in tutti i nodi del cluster ed eseguire utils service restart Cisco HAProxy 

    note-icon

    Nota: per determinare se il cluster è in modalità mista, passare a Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode (0 = Non Protetto; 1 = Modalità Mista).

    Passaggio 7. Se il cluster è in modalità mista, aprire una sessione CLI nel nodo Publisher ed eseguire  utils ctl update CTLFile  e reimpostare tutti i telefoni del cluster per rendere effettivi gli aggiornamenti del file CTL.

    Verifica

    Passaggio 1. Passare all'editore CUCM e quindi a Cisco Unified OS Administration > Security > Certificate Management.

    Passaggio 2. Filtra per Find Certificate List where: Usage > begins with: identity e fare clic su Find.

    Passaggio 3. I certificati CallManager e Tomcat devono terminare con lo stesso Common Name_Serial Number valore.

    Verify Tomcat Certificate Reuse for CallManagerVerifica riutilizzo certificati Tomcat per CallManager

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    11-Oct-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Belen Sanchez Torralva
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti