Rigenera certificati autofirmati servizio IM/IP CUCM

Aggiornato:8 dicembre 2023
ID documento:215333

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritta una procedura dettagliata consigliata per la rigenerazione dei certificati in CUCM IM/P 8.x e versioni successive.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei certificati del servizio IM & Presence (IM/P).

    Componenti usati

    Le informazioni fornite in questo documento si basano sulla versione 8.x di IM/P e successive.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Utilizzo archivio certificati

    Certificato Cisco Unified Presence (CUP)

    Utilizzato per connessioni SIP sicure per la federazione SIP, il controllo delle chiamate remote di Microsoft per Lync/OCS/LCS, le connessioni sicure tra Cisco Unified Certificate Manager (CUCM) e IM/P e così via.

    Cisco Unified Presence - Certificato CUP-XMPP (Extensible Messaging and Presence Protocol)

    Utilizzato per convalidare le connessioni protette per i client XMPP quando viene creata una sessione XMPP.

    Cisco Unified Presence - Extensible Messaging and Presence Protocol - Certificato da server a server (CUP-XMPP-S2S)

    Utilizzato per convalidare le connessioni protette per le federazioni tra domini XMPP con un sistema XMPP federato esternamente.

    Certificato di protezione IP (IPSec)

    Utilizzato per:
    · Convalida di una connessione sicura per Disaster Recovery System (DRS)/Disaster Recovery Framework (DRF)
    · Convalidare la connessione sicura per i tunnel IPsec ai nodi Cisco Unified Communications Manager (CUCM) e IM/P nel cluster

    Certificato Tomcat

    Utilizzato per:

    · Convalidare vari accessi Web, ad esempio l'accesso alle pagine dei servizi da altri nodi nel cluster e Jabber Access.
    · Convalida della connessione protetta per SAML Single Sign-On (SSO).

    · Convalidare la connessione protetta per il peer intercluster.

    Attenzione: se si utilizza la funzione SSO sui server Unified Communications e i certificati Cisco Tomcat vengono rigenerati, l'SSO deve essere riconfigurato con i nuovi certificati. Il collegamento per la configurazione dell'SSO su CUCM e ADFS 2.0 è: https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html.

    Nota: il collegamento al processo di rigenerazione/rinnovo dei certificati CUCM è: https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200199-CUCM-Certificate-Regeneration-Renewal-Pr.html.

    Processo di rigenerazione dei certificati

    Certificato CUP

    Passaggio 1. Aprire un'interfaccia grafica utente (GUI) per ogni server del cluster. Iniziare con l'editore IM/P, quindi aprire una GUI per ogni server di sottoscrizione IM/P e passare a  Cisco Unified OS Administration > Security > Certificate Management.

    Passaggio 2. Iniziare con l'interfaccia utente grafica dell'editore e scegliere Find  per visualizzare tutti i certificati. Scegliere il  cup.pem certificato. Una volta aperta, scegliere Regenerate e attendere finché non si vede il successo prima che il popup sia chiuso.

    Passaggio 3. Continuare con i sottoscrittori successivi, seguire la stessa procedura descritta al passaggio 2 e completare tutti i sottoscrittori del cluster.

    Passaggio 4. Dopo la rigenerazione del certificato CUP su tutti i nodi, è necessario riavviare i servizi.

    Nota: se per la configurazione del gruppo di ridondanza di presenza l'opzione Abilita alta disponibilità è selezionata, Uncheck prima del riavvio dei servizi. La configurazione del gruppo di ridondanza di presenza è accessibile all'indirizzo  CUCM Pub Administration > System > Presence Redundancy Group. Il riavvio dei servizi provoca un'interruzione temporanea di IM/P e deve essere eseguito al di fuori dell'orario di produzione.

    Riavviare i servizi nell'ordine seguente:

    · Accedere a Cisco Unified Serviceability del server di pubblicazione:

    r. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

    b. Restart  Cisco SIP Proxy Service.

    c. Al termine del riavvio del servizio, continuare con i sottoscrittori e  Restart Cisco SIP Proxy Service.

    d. Iniziare con l'autore e quindi continuare con i sottoscrittori. Restart  Cisco SIP Proxy Service (anche da  Cisco Unified Serviceability > Tools > Control Center - Feature Services).

    · Accedere a Cisco Unified Serviceability del server di pubblicazione:

    r. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

    b. Restart Servizio Cisco Presence Engine.

    c. Al termine del riavvio del servizio, continuare con  Restart  del servizio Cisco Presence Engine sugli abbonati.

    Nota: se configurato per la federazione SIP,  Restart Servizio Cisco XCP SIP Federation Connection Manager (disponibile all'indirizzo  Cisco Unified Serviceability > Tools > Control Center - Feature Services). Iniziare con l'autore e quindi continuare con i sottoscrittori.

    Certificato CUP-XMPP

    Nota: poiché Jabber utilizza i certificati CUCM e IM/P Tomcat e i certificati server CUP-XMPP per convalidare le connessioni per Tomcat e i servizi CUP-XMPP, nella maggior parte dei casi questi certificati CUCM e IM/P sono firmati da CA. Si supponga che il dispositivo Jabber non disponga della radice e di un certificato intermedio che fa parte del certificato CUP-XMPP installato nell'archivio di certificati attendibili. In questo caso, il client Jabber visualizza un messaggio di avviso di protezione per il certificato non attendibile. Se non è già installato nel certificato dell'archivio di attendibilità del dispositivo Jabber, la radice e gli eventuali certificati intermedi devono essere inviati al dispositivo Jabber tramite Criteri di gruppo, MDM, posta elettronica e così via, che dipendono dal client Jabber.

    Nota: se il certificato CUP-XMMP è autofirmato, il client Jabber visualizza un messaggio di avviso di protezione per il certificato non attendibile se il certificato CUP-XMPP non è installato nell'archivio attendibile del certificato del dispositivo Jabber. Se non è già installato, il certificato CUP-XMPP autofirmato deve essere inviato al dispositivo Jabber tramite Criteri di gruppo, MDM, posta elettronica e così via, che dipende dal client Jabber.

    Passaggio 1. Aprire una GUI per ogni server del cluster. Iniziare con l'editore IM/P, quindi aprire una GUI per ogni server di sottoscrizione IM/P e passare a  Cisco Unified OS Administration > Security > Certificate Management.

    Passaggio 2. Iniziare con l'interfaccia utente grafica dell'editore e scegliere  Find per visualizzare tutti i certificati. Dalla colonna Tipo per  cup-xmpp.pem  , determinare se è autofirmato o firmato dalla CA. Se il  cup-xmpp.pem  Il certificato è un certificato di distribuzione multiSAN firmato da terze parti (di tipo con firma CA). Esaminare questo collegamento quando si genera un CSR CUP-XMPP multiSAN e si invia all'autorità di certificazione per il certificato CUP-XMPP con firma CA. Esempio di configurazione del cluster di comunicazioni unificato con nome alternativo soggetto multiserver con firma CA.

    Se il  cup-xmpp.pem  il certificato è un nodo singolo di distribuzione firmato da terze parti (tipo firmato dall'autorità di certificazione) (il nome di distribuzione è uguale al nome comune del certificato). Esaminare questo collegamento quando si genera un nodo singolo CUP-XMPP CSR e invio a CA per il certificato CUP-XMPP firmato da CA; Jabber Complete How-To Guide for Certificate Validation. Se il cup-xmpp.pem il certificato è autofirmato, passare al punto 3.

    Passaggio 3. Scegli  Find per visualizzare tutti i certificati e quindi scegliere  cup-xmpp.pem certificato. Una volta aperta, scegliere  Regenerate e attendere finché non si vede il successo prima che il popup sia chiuso.

    Passaggio 4. Continuare con i sottoscrittori successivi; fare riferimento alla stessa procedura nel passaggio 2 e completarla per tutti i sottoscrittori nel cluster.

    Passaggio 5. Dopo aver rigenerato il certificato CUP-XMPP su tutti i nodi, è necessario riavviare il servizio router Cisco XCP sui nodi IM/P.

    Nota: se per la configurazione del gruppo di ridondanza di presenza l'opzione Abilita alta disponibilità è selezionata,  Uncheck prima del riavvio del servizio. La configurazione del gruppo di ridondanza di presenza è accessibile all'indirizzo  CUCM Pub Administration > System > Presence Redundancy Group. Il riavvio del servizio provoca un'interruzione temporanea del servizio di messaggistica immediata e deve essere eseguito al di fuori dell'orario di produzione.

    · Accedere a Cisco Unified Serviceability del server di pubblicazione:

    r. Cisco Unified Serviceability > Tools > Control Center - Network Services.

    b. Restart il servizio router Cisco XCP.

    c. Al termine del riavvio del servizio, continuare con  Restart Servizio router Cisco XCP sugli abbonati.

    Certificato CUP-XMPP-S2S

    Passaggio 1. Aprire una GUI per ogni server del cluster. Iniziare con l'editore IM/P, quindi aprire una GUI per ciascun server di sottoscrizione IM/P e passare a  Cisco Unified OS Administration > Security > Certificate Management.

    Passaggio 2. Iniziare con l'interfaccia utente grafica dell'editore, scegliere  Find per visualizzare tutti i certificati e scegliere  cup-xmpp-s2s.pem certificato. Una volta aperta, scegliere  Regenerate e attendere finché non si vede il successo prima che il popup sia chiuso.

    Passaggio 3. Continuare con i sottoscrittori successivi e fare riferimento alla stessa procedura nel passaggio 2 e completare per tutti i sottoscrittori nel cluster.

    Passaggio 4. Dopo la rigenerazione del certificato CUP-XMPP-S2S su tutti i nodi, è necessario riavviare i servizi nell'ordine indicato.

    Nota: se per la configurazione del gruppo di ridondanza di presenza l'opzione Abilita alta disponibilità è selezionata,Uncheck prima del riavvio dei servizi. La configurazione del gruppo di ridondanza di presenza è accessibile su  CUCM Pub Administration > System > Presence Redundancy Group. Il riavvio dei servizi provoca un'interruzione temporanea di IM/P e deve essere eseguito al di fuori dell'orario di produzione.


    · Accedere a Cisco Unified Serviceability del server di pubblicazione:

    r. Cisco Unified Serviceability > Tools > Control Center - Network Services.
    b. Restart il servizio router Cisco XCP.
    c. Al termine del riavvio del servizio, continuare con  Restart  del servizio Cisco XCP Router sugli abbonati.

    · Accedere a Cisco Unified Serviceability del server di pubblicazione:

    r. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

    b. Restart il servizio Cisco XCP XMPP Federation Connection Manager.

    c. Al termine del riavvio del servizio, continuare con  Restart  del servizio Cisco XCP XMPP Federation Connection Manager sui sottoscrittori.

    Certificato IPSec

    Nota: la  ipsec.pem Il certificato nell'editore CUCM deve essere valido e presente in tutti i sottoscrittori (nodi CUCM e IM/P) nell'archivio attendibilità IPSec. OSPF (Open Shortest Path First)  ipsec.pem  il certificato del sottoscrittore non è presente nel server di pubblicazione come archivio di attendibilità IPSec in una distribuzione standard. Per verificare la validità, confrontare i numeri di serie nel  ipsec.pem certificato dal CUCM-PUB con il trust IPSec nei sottoscrittori. Devono corrispondere.

    Nota: DRS utilizza una comunicazione basata su SSL (Secure Socket Layer) tra l'agente di origine e l'agente locale per l'autenticazione e la crittografia dei dati tra i nodi cluster CUCM (nodi CUCM e IM/P). DRS utilizza i certificati IPSec per la crittografia a chiave pubblica/privata. Se si elimina l'archivio attendibile IPSEC (hostname.pem ) dalla pagina Gestione certificati, DRS non funziona come previsto. Se il file di trust IPSEC viene eliminato manualmente, è necessario assicurarsi di caricare il certificato IPSEC nell'archivio trust IPSEC. Per ulteriori informazioni, vedere la pagina della Guida alla gestione dei certificati nelle Guide alla sicurezza CUCM.


    Passaggio 1. Aprire una GUI per ogni server del cluster. Iniziare con l'editore IM/P, quindi aprire una GUI per ciascun server di sottoscrizione IM/P e passare a  Cisco Unified OS Administration > Security > Certificate Management.

    Passaggio 2. Iniziare con l'interfaccia utente grafica dell'editore e scegliere  Find per visualizzare tutti i certificati.Choose OSPF (Open Shortest Path First)  ipsec.pem certificato. Una volta aperta, scegliere  Regenerate e attendere finché non si vede il successo prima che il popup sia chiuso.

    Passaggio 3. Continuare con i sottoscrittori successivi e fare riferimento alla stessa procedura nel passaggio 2 e completare per tutti i sottoscrittori nel cluster.

    Passaggio 4. Dopo che tutti i nodi hanno rigenerato il certificato IPSEC,  Restart servizi. passare alla sezione Cisco Unified Serviceability del server di pubblicazione; Cisco Unified Serviceability > Tools > Control Center - Network Services.
    a. Scegliere  Restart sul servizio primario Cisco DRF.
    b. Al termine del riavvio del servizio, scegliere  Restart del servizio locale DRF Cisco sul server di pubblicazione, quindi continuare con  Restart del servizio locale DRF di Cisco su ciascun abbonato.

    Certificato Tomcat

    Nota: poiché Jabber utilizza i certificati server CUCM Tomcat e IM/P Tomcat e CUP-XMPP per convalidare le connessioni per i servizi Tomcat e CUP-XMPP, nella maggior parte dei casi questi certificati CUCM e IM/P sono firmati da CA. Si supponga che il dispositivo Jabber non disponga della radice e di eventuali certificati intermedi che fanno parte del certificato Tomcat installato nel relativo archivio certificati attendibili. In tal caso, il client Jabber visualizza un messaggio di avviso di protezione per il certificato non attendibile. Se non è già installato nell'archivio di certificati attendibili del dispositivo Jabber, la radice e gli eventuali certificati intermedi devono essere inviati al dispositivo Jabber tramite Criteri di gruppo, MDM, posta elettronica e così via, che dipendono dal client Jabber.

    Nota: se il certificato Tomcat è autofirmato, il client Jabber visualizza un messaggio di avviso di protezione per il certificato non attendibile, se il certificato Tomcat non è installato nell'archivio di certificati attendibili del dispositivo Jabber. Se non è già installato nell'archivio di certificati attendibili del dispositivo Jabber, il certificato CUP-XMPP autofirmato deve essere inviato al dispositivo Jabber tramite Criteri di gruppo, MDM, posta elettronica e così via, che dipendono dal client Jabber.

    Passaggio 1. Aprire una GUI per ogni server del cluster. Iniziare con l'editore IM/P, quindi aprire una GUI per ogni server di sottoscrizione IM/P e passare a  Cisco Unified OS Administration > Security > Certificate Management.

    Passaggio 2. Iniziare con l'interfaccia utente grafica dell'editore e scegliere Find  per visualizzare tutti i certificati.
    · Dalla colonna Tipo per  tomcat.pem , determinare se è autofirmato o firmato dalla CA.

    · Se il  tomcat.pem Il certificato è un certificato di distribuzione multiSAN firmato da terze parti (di tipo con firma CA). Vedere questo collegamento per informazioni su come generare un certificato CSR Tomcat multiSAN e inviare a CA per un certificato Tomcat firmato da CA, Esempio di configurazione di Unified Communication Cluster Setup con nome alternativo soggetto multiserver con firma CA

    note-icon

    Nota: il CSR Tomcat multi-SAN viene generato nell'editore CUCM e viene distribuito a tutti i nodi CUCM e IM/P nel cluster.

    · Se il  tomcat.pem  Il certificato è un nodo singolo di distribuzione firmato da terze parti (tipo firmato da CA) (il nome di distribuzione è uguale al nome comune del certificato). Esaminare questo collegamento per generare un CSR CUP-XMPP a nodo singolo e inviarlo all'autorità di certificazione per il certificato CUP-XMPP firmato da CA. Jabber Complete How-To Guide for Certificate Validation

    · Se il  tomcat.pem il certificato è autofirmato, passare al punto 3

    Passaggio 3. Scegli  Find per visualizzare tutti i certificati:
    · Scegli il  tomcat.pem certificato.
    · Una volta aperta, scegliere  Regenerate e attendere che venga visualizzato il popup di successo prima che il popup venga chiuso.

    Passaggio 4. Continuare con ogni sottoscrittore successivo, fare riferimento alla procedura descritta nel passaggio 2 e completare tutti i sottoscrittori del cluster.

    Passaggio 5. Dopo che tutti i nodi hanno rigenerato il certificato Tomcat,  Restart il servizio Tomcat su tutti i nodi. Iniziare con l'editore, seguito dai sottoscrittori.
    · Per  Restart Tomcat, è necessario aprire una sessione CLI per ogni nodo ed eseguire il comando fino al riavvio del servizio Cisco Tomcat, come mostrato nell'immagine:

    Restart Tomcat

    Elimina certificati di attendibilità scaduti

    Nota: è possibile eliminare i certificati di attendibilità (che terminano con -trust) quando necessario. I certificati di attendibilità che è possibile eliminare sono quelli non più necessari, scaduti o obsoleti. Non eliminare i cinque certificati di identità:  cup.pem ,  cup-xmpp.pem ,  cup-xmpp-s2s.pem ,  ipsec.pem ,e  tomcat.pem certificati.  I riavvii del servizio, come illustrato, sono progettati per cancellare qualsiasi informazione in memoria di questi certificati legacy all'interno di tali servizi.

    Nota: se per la configurazione del gruppo di ridondanza di presenza l'opzione Abilita alta disponibilità è selezionata,  Uncheck prima che un servizio venga Stopped/Started   Restarted. La configurazione del gruppo di ridondanza di presenza è accessibile all'indirizzo  CUCM Pub Administration > System > Presence Redundancy Group. Il riavvio di alcuni servizi, come illustrato, provoca un'interruzione temporanea di messaggistica istantanea/processo e deve essere eseguito al di fuori dell'orario di produzione.

    Passaggio 1. Passa a  Cisco Unified Serviceability > Tools > Control Center - Network Services:

    · Dal menu a discesa, scegliere l'editore IM/IP, quindi scegliere  Stop da Cisco Certificate Expiry Monitor, seguito da  Stop in Cisco Intercluster Sync Agent.

    · Ripetizione Stop per questi servizi per ogni nodo IM/P nel cluster.

    note-icon

    Nota: se è necessario eliminare il certificato Tomcat-trust, passare a  Cisco Unified Serviceability > Tools > Control Center - Network Services del publisher CUCM.

    · Scegliere l'editore CUCM dall'elenco a discesa.
    · Scegli  Stop da Cisco Certificate Expiry Monitor, seguito da  Stop in Notifica modifica certificato Cisco.
    · Ripetere l'operazione per ogni nodo CUCM del cluster.

    Passaggio 2. Passa a  Cisco Unified OS Administration > Security > Certificate Management > Find.

    · Individuare i certificati di attendibilità scaduti (per le versioni 10.x e successive, è possibile filtrare in base alla scadenza). Nelle versioni precedenti alla 10.0 è necessario identificare i certificati specifici manualmente o tramite gli avvisi RTMT, se ricevuti.
    · Lo stesso certificato di attendibilità può apparire in più nodi, ma deve essere eliminato singolarmente da ogni nodo.
    · Scegliere il certificato di attendibilità da eliminare (in base alla versione, viene visualizzata una schermata popup o viene visualizzato il certificato nella stessa pagina).

    · Scegli  Delete (viene visualizzato un popup che inizia con "si sta per eliminare definitivamente questo certificato...").
    •Fare clic su  OK.

    Passaggio 3. Ripetere la procedura per ogni certificato di attendibilità da eliminare.

    Passaggio 4. Al termine, è necessario riavviare i servizi direttamente correlati ai certificati eliminati.

    · CUP-trust: Cisco SIP Proxy, Cisco Presence Engine e, se configurato per la federazione SIP, Cisco XCP SIP Federation Connection Manager (vedere la sezione Certificato CUP)
    · CUP-XMPP-trust: router Cisco XCP (vedere la sezione relativa ai certificati CUP-XMPP)
    · CUP-XMPP-S2S-trust: router Cisco XCP e Cisco XCP XMPP Federation Connection Manager
    · IPSec-trust: origine DRF/locale DRF (vedere la sezione relativa ai certificati IPSec)
    · Tomcat-trust: riavviare il servizio Tomcat dalla riga di comando (vedere la sezione relativa ai certificati Tomcat)

    Passaggio 5. Riavviare i servizi arrestati nel passaggio 1.

    Verifica

    Attualmente non è disponibile una procedura di verifica per questa configurazione.

    Risoluzione dei problemi

    Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    08-Dec-2023
    Introduzione, SEO, requisiti di stile e formattazione aggiornati.
    1.0
    17-Mar-2020
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Adrian Esquillo
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti