La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritta una procedura dettagliata consigliata per la rigenerazione dei certificati in CUCM IM/P 8.x e versioni successive.
Cisco raccomanda la conoscenza dei certificati del servizio IM & Presence (IM/P).
Le informazioni fornite in questo documento si basano sulla versione 8.x di IM/P e successive.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Utilizzato per connessioni SIP sicure per la federazione SIP, il controllo delle chiamate remote di Microsoft per Lync/OCS/LCS, le connessioni sicure tra Cisco Unified Certificate Manager (CUCM) e IM/P e così via.
Utilizzato per convalidare le connessioni protette per i client XMPP quando viene creata una sessione XMPP.
Utilizzato per convalidare le connessioni protette per le federazioni tra domini XMPP con un sistema XMPP federato esternamente.
Utilizzato per:
· Convalida di una connessione sicura per Disaster Recovery System (DRS)/Disaster Recovery Framework (DRF)
· Convalidare la connessione sicura per i tunnel IPsec ai nodi Cisco Unified Communications Manager (CUCM) e IM/P nel cluster
Utilizzato per:
· Convalidare vari accessi Web, ad esempio l'accesso alle pagine dei servizi da altri nodi nel cluster e Jabber Access.
· Convalida della connessione protetta per SAML Single Sign-On (SSO).
· Convalidare la connessione protetta per il peer intercluster.
Attenzione: se si utilizza la funzione SSO sui server Unified Communications e i certificati Cisco Tomcat vengono rigenerati, l'SSO deve essere riconfigurato con i nuovi certificati. Il collegamento per la configurazione dell'SSO su CUCM e ADFS 2.0 è: https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html.
Nota: il collegamento al processo di rigenerazione/rinnovo dei certificati CUCM è: https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200199-CUCM-Certificate-Regeneration-Renewal-Pr.html.
Passaggio 1. Aprire un'interfaccia grafica utente (GUI) per ogni server del cluster. Iniziare con l'editore IM/P, quindi aprire una GUI per ogni server di sottoscrizione IM/P e passare a Cisco Unified OS Administration > Security > Certificate Management
.
Passaggio 2. Iniziare con l'interfaccia utente grafica dell'editore e scegliere Find
per visualizzare tutti i certificati. Scegliere il cup.pem
certificato. Una volta aperta, scegliere Regenerate
e attendere finché non si vede il successo prima che il popup sia chiuso.
Passaggio 3. Continuare con i sottoscrittori successivi, seguire la stessa procedura descritta al passaggio 2 e completare tutti i sottoscrittori del cluster.
Passaggio 4. Dopo la rigenerazione del certificato CUP su tutti i nodi, è necessario riavviare i servizi.
Nota: se per la configurazione del gruppo di ridondanza di presenza l'opzione Abilita alta disponibilità è selezionata, Uncheck
prima del riavvio dei servizi. La configurazione del gruppo di ridondanza di presenza è accessibile all'indirizzo CUCM Pub Administration > System > Presence Redundancy Group
. Il riavvio dei servizi provoca un'interruzione temporanea di IM/P e deve essere eseguito al di fuori dell'orario di produzione.
Riavviare i servizi nell'ordine seguente:
· Accedere a Cisco Unified Serviceability del server di pubblicazione:
r. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b. Restart
Cisco SIP Proxy Service.
c. Al termine del riavvio del servizio, continuare con i sottoscrittori e Restart
Cisco SIP Proxy Service.
d. Iniziare con l'autore e quindi continuare con i sottoscrittori. Restart
Cisco SIP Proxy Service (anche da Cisco Unified Serviceability > Tools > Control Center - Feature Services
).
· Accedere a Cisco Unified Serviceability del server di pubblicazione:
r. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b. Restart
Servizio Cisco Presence Engine.
c. Al termine del riavvio del servizio, continuare con Restart
del servizio Cisco Presence Engine sugli abbonati.
Nota: se configurato per la federazione SIP, Restart
Servizio Cisco XCP SIP Federation Connection Manager (disponibile all'indirizzo Cisco Unified Serviceability > Tools > Control Center - Feature Services
). Iniziare con l'autore e quindi continuare con i sottoscrittori.
Nota: poiché Jabber utilizza i certificati CUCM e IM/P Tomcat e i certificati server CUP-XMPP per convalidare le connessioni per Tomcat e i servizi CUP-XMPP, nella maggior parte dei casi questi certificati CUCM e IM/P sono firmati da CA. Si supponga che il dispositivo Jabber non disponga della radice e di un certificato intermedio che fa parte del certificato CUP-XMPP installato nell'archivio di certificati attendibili. In questo caso, il client Jabber visualizza un messaggio di avviso di protezione per il certificato non attendibile. Se non è già installato nel certificato dell'archivio di attendibilità del dispositivo Jabber, la radice e gli eventuali certificati intermedi devono essere inviati al dispositivo Jabber tramite Criteri di gruppo, MDM, posta elettronica e così via, che dipendono dal client Jabber.
Nota: se il certificato CUP-XMMP è autofirmato, il client Jabber visualizza un messaggio di avviso di protezione per il certificato non attendibile se il certificato CUP-XMPP non è installato nell'archivio attendibile del certificato del dispositivo Jabber. Se non è già installato, il certificato CUP-XMPP autofirmato deve essere inviato al dispositivo Jabber tramite Criteri di gruppo, MDM, posta elettronica e così via, che dipende dal client Jabber.
Passaggio 1. Aprire una GUI per ogni server del cluster. Iniziare con l'editore IM/P, quindi aprire una GUI per ogni server di sottoscrizione IM/P e passare a Cisco Unified OS Administration > Security > Certificate Management
.
Passaggio 2. Iniziare con l'interfaccia utente grafica dell'editore e scegliere Find
per visualizzare tutti i certificati. Dalla colonna Tipo per cup-xmpp.pem
, determinare se è autofirmato o firmato dalla CA. Se il cup-xmpp.pem
Il certificato è un certificato di distribuzione multiSAN firmato da terze parti (di tipo con firma CA). Esaminare questo collegamento quando si genera un CSR CUP-XMPP multiSAN e si invia all'autorità di certificazione per il certificato CUP-XMPP con firma CA. Esempio di configurazione del cluster di comunicazioni unificato con nome alternativo soggetto multiserver con firma CA.
Se il cup-xmpp.pem
il certificato è un nodo singolo di distribuzione firmato da terze parti (tipo firmato dall'autorità di certificazione) (il nome di distribuzione è uguale al nome comune del certificato). Esaminare questo collegamento quando si genera un nodo singolo CUP-XMPP
CSR e invio a CA per il certificato CUP-XMPP firmato da CA; Jabber Complete How-To Guide for Certificate Validation. Se il cup-xmpp.pem
il certificato è autofirmato, passare al punto 3.
Passaggio 3. Scegli Find
per visualizzare tutti i certificati e quindi scegliere cup-xmpp.pem
certificato. Una volta aperta, scegliere Regenerate
e attendere finché non si vede il successo prima che il popup sia chiuso.
Passaggio 4. Continuare con i sottoscrittori successivi; fare riferimento alla stessa procedura nel passaggio 2 e completarla per tutti i sottoscrittori nel cluster.
Passaggio 5. Dopo aver rigenerato il certificato CUP-XMPP su tutti i nodi, è necessario riavviare il servizio router Cisco XCP sui nodi IM/P.
Nota: se per la configurazione del gruppo di ridondanza di presenza l'opzione Abilita alta disponibilità è selezionata, Uncheck
prima del riavvio del servizio. La configurazione del gruppo di ridondanza di presenza è accessibile all'indirizzo CUCM Pub Administration > System > Presence Redundancy Group
. Il riavvio del servizio provoca un'interruzione temporanea del servizio di messaggistica immediata e deve essere eseguito al di fuori dell'orario di produzione.
· Accedere a Cisco Unified Serviceability del server di pubblicazione:
r. Cisco Unified Serviceability > Tools > Control Center - Network Services
.
b. Restart
il servizio router Cisco XCP.
c. Al termine del riavvio del servizio, continuare con Restart
Servizio router Cisco XCP sugli abbonati.
Passaggio 1. Aprire una GUI per ogni server del cluster. Iniziare con l'editore IM/P, quindi aprire una GUI per ciascun server di sottoscrizione IM/P e passare a Cisco Unified OS Administration > Security > Certificate Management
.
Passaggio 2. Iniziare con l'interfaccia utente grafica dell'editore, scegliere Find
per visualizzare tutti i certificati e scegliere cup-xmpp-s2s.pem
certificato. Una volta aperta, scegliere Regenerate
e attendere finché non si vede il successo prima che il popup sia chiuso.
Passaggio 3. Continuare con i sottoscrittori successivi e fare riferimento alla stessa procedura nel passaggio 2 e completare per tutti i sottoscrittori nel cluster.
Passaggio 4. Dopo la rigenerazione del certificato CUP-XMPP-S2S su tutti i nodi, è necessario riavviare i servizi nell'ordine indicato.
Nota: se per la configurazione del gruppo di ridondanza di presenza l'opzione Abilita alta disponibilità è selezionata,Uncheck
prima del riavvio dei servizi. La configurazione del gruppo di ridondanza di presenza è accessibile su CUCM Pub Administration > System > Presence Redundancy Group
. Il riavvio dei servizi provoca un'interruzione temporanea di IM/P e deve essere eseguito al di fuori dell'orario di produzione.
· Accedere a Cisco Unified Serviceability del server di pubblicazione:
r. Cisco Unified Serviceability > Tools > Control Center - Network Services
.
b. Restart
il servizio router Cisco XCP.
c. Al termine del riavvio del servizio, continuare con Restart
del servizio Cisco XCP Router sugli abbonati.
· Accedere a Cisco Unified Serviceability del server di pubblicazione:
r. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b. Restart
il servizio Cisco XCP XMPP Federation Connection Manager.
c. Al termine del riavvio del servizio, continuare con Restart
del servizio Cisco XCP XMPP Federation Connection Manager sui sottoscrittori.
Nota: la ipsec.pem
Il certificato nell'editore CUCM deve essere valido e presente in tutti i sottoscrittori (nodi CUCM e IM/P) nell'archivio attendibilità IPSec. OSPF (Open Shortest Path First) ipsec.pem
il certificato del sottoscrittore non è presente nel server di pubblicazione come archivio di attendibilità IPSec in una distribuzione standard. Per verificare la validità, confrontare i numeri di serie nel ipsec.pem
certificato dal CUCM-PUB con il trust IPSec nei sottoscrittori. Devono corrispondere.
Nota: DRS utilizza una comunicazione basata su SSL (Secure Socket Layer) tra l'agente di origine e l'agente locale per l'autenticazione e la crittografia dei dati tra i nodi cluster CUCM (nodi CUCM e IM/P). DRS utilizza i certificati IPSec per la crittografia a chiave pubblica/privata. Se si elimina l'archivio attendibile IPSEC (hostname.pem
) dalla pagina Gestione certificati, DRS non funziona come previsto. Se il file di trust IPSEC viene eliminato manualmente, è necessario assicurarsi di caricare il certificato IPSEC nell'archivio trust IPSEC. Per ulteriori informazioni, vedere la pagina della Guida alla gestione dei certificati nelle Guide alla sicurezza CUCM.
Passaggio 1. Aprire una GUI per ogni server del cluster. Iniziare con l'editore IM/P, quindi aprire una GUI per ciascun server di sottoscrizione IM/P e passare a Cisco Unified OS Administration > Security > Certificate Management
.
Passaggio 2. Iniziare con l'interfaccia utente grafica dell'editore e scegliere Find
per visualizzare tutti i certificati.Choose
OSPF (Open Shortest Path First) ipsec.pem
certificato. Una volta aperta, scegliere Regenerate
e attendere finché non si vede il successo prima che il popup sia chiuso.
Passaggio 3. Continuare con i sottoscrittori successivi e fare riferimento alla stessa procedura nel passaggio 2 e completare per tutti i sottoscrittori nel cluster.
Passaggio 4. Dopo che tutti i nodi hanno rigenerato il certificato IPSEC, Restart
servizi. passare alla sezione Cisco Unified Serviceability del server di pubblicazione; Cisco Unified Serviceability > Tools > Control Center - Network Services
.
a. Scegliere Restart
sul servizio primario Cisco DRF.
b. Al termine del riavvio del servizio, scegliere Restart
del servizio locale DRF Cisco sul server di pubblicazione, quindi continuare con Restart
del servizio locale DRF di Cisco su ciascun abbonato.
Nota: poiché Jabber utilizza i certificati server CUCM Tomcat e IM/P Tomcat e CUP-XMPP per convalidare le connessioni per i servizi Tomcat e CUP-XMPP, nella maggior parte dei casi questi certificati CUCM e IM/P sono firmati da CA. Si supponga che il dispositivo Jabber non disponga della radice e di eventuali certificati intermedi che fanno parte del certificato Tomcat installato nel relativo archivio certificati attendibili. In tal caso, il client Jabber visualizza un messaggio di avviso di protezione per il certificato non attendibile. Se non è già installato nell'archivio di certificati attendibili del dispositivo Jabber, la radice e gli eventuali certificati intermedi devono essere inviati al dispositivo Jabber tramite Criteri di gruppo, MDM, posta elettronica e così via, che dipendono dal client Jabber.
Nota: se il certificato Tomcat è autofirmato, il client Jabber visualizza un messaggio di avviso di protezione per il certificato non attendibile, se il certificato Tomcat non è installato nell'archivio di certificati attendibili del dispositivo Jabber. Se non è già installato nell'archivio di certificati attendibili del dispositivo Jabber, il certificato CUP-XMPP autofirmato deve essere inviato al dispositivo Jabber tramite Criteri di gruppo, MDM, posta elettronica e così via, che dipendono dal client Jabber.
Passaggio 1. Aprire una GUI per ogni server del cluster. Iniziare con l'editore IM/P, quindi aprire una GUI per ogni server di sottoscrizione IM/P e passare a Cisco Unified OS Administration > Security > Certificate Management
.
Passaggio 2. Iniziare con l'interfaccia utente grafica dell'editore e scegliere Find
per visualizzare tutti i certificati.
· Dalla colonna Tipo per tomcat.pem
, determinare se è autofirmato o firmato dalla CA.
· Se il tomcat.pem
Il certificato è un certificato di distribuzione multiSAN firmato da terze parti (di tipo con firma CA). Vedere questo collegamento per informazioni su come generare un certificato CSR Tomcat multiSAN e inviare a CA per un certificato Tomcat firmato da CA, Esempio di configurazione di Unified Communication Cluster Setup con nome alternativo soggetto multiserver con firma CA
Nota: il CSR Tomcat multi-SAN viene generato nell'editore CUCM e viene distribuito a tutti i nodi CUCM e IM/P nel cluster.
· Se il tomcat.pem
Il certificato è un nodo singolo di distribuzione firmato da terze parti (tipo firmato da CA) (il nome di distribuzione è uguale al nome comune del certificato). Esaminare questo collegamento per generare un CSR CUP-XMPP a nodo singolo e inviarlo all'autorità di certificazione per il certificato CUP-XMPP firmato da CA. Jabber Complete How-To Guide for Certificate Validation
· Se il tomcat.pem
il certificato è autofirmato, passare al punto 3
Passaggio 3. Scegli Find
per visualizzare tutti i certificati:
· Scegli il tomcat.pem
certificato.
· Una volta aperta, scegliere Regenerate
e attendere che venga visualizzato il popup di successo prima che il popup venga chiuso.
Passaggio 4. Continuare con ogni sottoscrittore successivo, fare riferimento alla procedura descritta nel passaggio 2 e completare tutti i sottoscrittori del cluster.
Passaggio 5. Dopo che tutti i nodi hanno rigenerato il certificato Tomcat, Restart
il servizio Tomcat su tutti i nodi. Iniziare con l'editore, seguito dai sottoscrittori.
· Per Restart
Tomcat, è necessario aprire una sessione CLI per ogni nodo ed eseguire il comando fino al riavvio del servizio Cisco Tomcat, come mostrato nell'immagine:
Nota: è possibile eliminare i certificati di attendibilità (che terminano con -trust) quando necessario. I certificati di attendibilità che è possibile eliminare sono quelli non più necessari, scaduti o obsoleti. Non eliminare i cinque certificati di identità: cup.pem
, cup-xmpp.pem
, cup-xmpp-s2s.pem
, ipsec.pem
,e tomcat.pem
certificati. I riavvii del servizio, come illustrato, sono progettati per cancellare qualsiasi informazione in memoria di questi certificati legacy all'interno di tali servizi.
Nota: se per la configurazione del gruppo di ridondanza di presenza l'opzione Abilita alta disponibilità è selezionata, Uncheck
prima che un servizio venga Stopped
/Started
o Restarted
. La configurazione del gruppo di ridondanza di presenza è accessibile all'indirizzo CUCM Pub Administration > System > Presence Redundancy Group
. Il riavvio di alcuni servizi, come illustrato, provoca un'interruzione temporanea di messaggistica istantanea/processo e deve essere eseguito al di fuori dell'orario di produzione.
Passaggio 1. Passa a Cisco Unified Serviceability > Tools > Control Center - Network Services
:
· Dal menu a discesa, scegliere l'editore IM/IP, quindi scegliere Stop
da Cisco Certificate Expiry Monitor, seguito da Stop
in Cisco Intercluster Sync Agent.
· Ripetizione Stop
per questi servizi per ogni nodo IM/P nel cluster.
Nota: se è necessario eliminare il certificato Tomcat-trust, passare a Cisco Unified Serviceability > Tools > Control Center - Network Services
del publisher CUCM.
· Scegliere l'editore CUCM dall'elenco a discesa.
· Scegli Stop
da Cisco Certificate Expiry Monitor, seguito da Stop
in Notifica modifica certificato Cisco.
· Ripetere l'operazione per ogni nodo CUCM del cluster.
Passaggio 2. Passa a Cisco Unified OS Administration > Security > Certificate Management > Find
.
· Individuare i certificati di attendibilità scaduti (per le versioni 10.x e successive, è possibile filtrare in base alla scadenza). Nelle versioni precedenti alla 10.0 è necessario identificare i certificati specifici manualmente o tramite gli avvisi RTMT, se ricevuti.
· Lo stesso certificato di attendibilità può apparire in più nodi, ma deve essere eliminato singolarmente da ogni nodo.
· Scegliere il certificato di attendibilità da eliminare (in base alla versione, viene visualizzata una schermata popup o viene visualizzato il certificato nella stessa pagina).
· Scegli Delete
(viene visualizzato un popup che inizia con "si sta per eliminare definitivamente questo certificato...").
•Fare clic su OK
.
Passaggio 3. Ripetere la procedura per ogni certificato di attendibilità da eliminare.
Passaggio 4. Al termine, è necessario riavviare i servizi direttamente correlati ai certificati eliminati.
· CUP-trust: Cisco SIP Proxy, Cisco Presence Engine e, se configurato per la federazione SIP, Cisco XCP SIP Federation Connection Manager (vedere la sezione Certificato CUP)
· CUP-XMPP-trust: router Cisco XCP (vedere la sezione relativa ai certificati CUP-XMPP)
· CUP-XMPP-S2S-trust: router Cisco XCP e Cisco XCP XMPP Federation Connection Manager
· IPSec-trust: origine DRF/locale DRF (vedere la sezione relativa ai certificati IPSec)
· Tomcat-trust: riavviare il servizio Tomcat dalla riga di comando (vedere la sezione relativa ai certificati Tomcat)
Passaggio 5. Riavviare i servizi arrestati nel passaggio 1.
Attualmente non è disponibile una procedura di verifica per questa configurazione.
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
2.0 |
08-Dec-2023 |
Introduzione, SEO, requisiti di stile e formattazione aggiornati. |
1.0 |
17-Mar-2020 |
Versione iniziale |