소개
이 문서에서는 CUCM(Cisco Unified Communications Manager) 릴리스 12.X 이상에서 인증서를 재생성하는 방법에 대해 권장되는 단계별 절차를 제공합니다.이 프로세스에서는 8.0 이전 버전의 대체 기능을 사용하지 않으며 기능별로 인증서를 업데이트합니다.기본적으로 보안은 ITL(Identity Trust List)이고 혼합 모드 기능은 등록 문제를 방지하기 위해 CTL(Certificate Trust List)을 처리합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- RTMT(Real Time Monitoring Tool).
- Cisco CUCM(Unified Communications Manager) 인증서
사용되는 구성 요소
이 문서의 정보는 CUCM 릴리스 12.X 이상을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.
배경 정보
RTMT 다운로드 및 설치
1단계. CM(Call Manager) 관리 페이지를 엽니다.
2단계. Application(애플리케이션) > Plugins(플러그인) > Find(찾기) > Cisco Unified Real-Time Monitoring Tool - Windows > Download(다운로드)로 이동합니다.
3단계. 다운로드한 RTMT 설치 소프트웨어를 실행하고 설치 마법사를 따릅니다.
RTMT로 엔드포인트 모니터링
1단계. RTMT를 시작하고 IP 주소 또는 FQDN(Fully Qualified Domain Name), 사용자 이름 및 비밀번호를 입력하여 툴에 액세스합니다.
2단계. 이 섹션에서는 등록된 엔드포인트의 총 수와 각 노드에 등록된 엔드포인트 수를 식별합니다.엔드포인트가 재설정되는 동안 모니터링하여 다음 인증서를 재생성하기 전에 등록을 확인합니다.
a.음성/비디오 탭을 선택합니다.
b.Device Summary를 선택합니다.
팁:일부 인증서의 재생성 프로세스는 엔드포인트에 영향을 미칠 수 있습니다.서비스를 다시 시작하고 전화기를 다시 부팅해야 하기 때문에 정규 업무 시간 이후에 실행 계획을 고려하십시오.RTMT를 통해 전화 등록을 모니터링하는 것이 좋습니다.
경고:현재 ITL 불일치가 있는 엔드포인트는 이 프로세스 후에 등록 문제가 발생할 수 있습니다. 엔드포인트에서 ITL을 삭제하면 재생성 프로세스가 완료되고 다른 모든 전화기가 등록된 일반적인 모범 사례 솔루션입니다.

혼합 모드 또는 비보안 모드에서 클러스터 식별
1단계. CM 관리 페이지를 엽니다.
2단계. System > Enterprise Parameters > Security Parameters > Cluster Security Mode로 이동합니다.


인증서 저장소에 의한 영향
CUCM 클러스터 전체에서 모든 인증서가 업데이트되도록 하려면 시스템의 우수한 기능을 사용하는 것이 중요합니다.인증서가 만료되었거나 유효하지 않은 경우 시스템의 정상 기능에 큰 영향을 미칠 수 있습니다.유효하지 않거나 만료된 특정 인증서에 대한 서비스 목록이 여기에 표시됩니다.시스템 설정에 따라 영향이 달라질 수 있습니다.
인증서 재생성 프로세스
ITL 및 CTL 설명
- ITL에는 Call Manager TFTP에 대한 인증서 역할, 클러스터의 모든 TVS 인증서 및 실행 시 CAPF(Certificate Authority Proxy Function)가 포함됩니다.
- CTL에는 동일한 서버, CAPF, TFTP 서버 및 ASA(Adaptive Security Appliance) 방화벽에서 실행되는 SAST(System Administrator Security Token), Cisco Call Manager 및 Cisco TFTP 서비스에 대한 항목이 포함되어 있습니다.TVS는 CTL에서 참조되지 않습니다.
참고:ITLRecovery 인증서는 디바이스가 신뢰할 수 있는 상태를 잃을 때 사용됩니다.인증서는 ITL 및 CTL(CTL 제공자가 활성화된 경우)에 모두 나타납니다. 디바이스가 신뢰 상태를 잃을 경우 비보안 클러스터용 utils itl reset localkey 명령과 mix-mode 클러스터의 utils ctl reset localkey 명령을 사용할 수 있습니다.ITLRecovery 인증서 사용 방법 및 신뢰할 수 있는 상태를 복구하는 데 필요한 프로세스에 대해 알아보려면 Call Manager 버전의 보안 가이드를 참조하십시오.
클러스터가 2048의 키 길이를 지원하는 버전으로 업그레이드되었고 클러스터 서버 인증서가 2048로 재생성되었고 ITLRecovery가 재생성되지 않았으며 현재 키 길이가 1024개인 경우 ITL recovery 명령이 실패하고 ITLRecovery 방법을 사용할 수 없습니다.
비보안 클러스터
1단계. ITL 파일이 유효한지(show itl 명령), 모든 전화기 현재 ITL 파일을 신뢰하는지 확인합니다.
2단계. ITLRecovery 인증서를 다시 생성합니다.Cisco Unified OS Administration > Security > Certificate Management > Find로 이동합니다.
- ITLRecovery pem Certificate를 선택합니다.
- 열리면 재생성을 선택하고 성공 팝업이 표시될 때까지 기다렸다가 팝업 창을 닫거나 뒤로 돌아가서 찾기/목록을 선택합니다.
3단계. CallManager 인증서를 사용하여 ITL 파일에 서명합니다(utils itl reset localkey).
4단계. 모든 전화기를 재부팅합니다.
- Cisco Unified CM Administration(Cisco Unified CM 관리) > System(시스템) > Enterprise Parameters(엔터프라이즈 매개변수)로 이동합니다.
- Reset(재설정)을 선택하면 시스템의 모든 디바이스를 재설정하려고 한다는 문이 포함된 팝업이 표시됩니다.이 작업은 취소할 수 없습니다.계속하시겠습니까?, 확인을 선택한 다음 재설정을 선택합니다.
5단계. TFTP 서비스(실행 중인 모든 노드)를 다시 시작하여 새 ITLRecovery Certificate에서 ITL 파일을 다시 서명합니다.
6단계. 새 ITL 파일을 가져오려면 모든 전화기를 다시 설정합니다.
- Cisco Unified CM Administration(Cisco Unified CM 관리) > System(시스템) > Enterprise Parameters(엔터프라이즈 매개변수)로 이동합니다.
- Reset(재설정)을 선택하면 시스템의 모든 디바이스를 재설정하려고 한다는 문이 포함된 팝업이 표시됩니다.이 작업은 취소할 수 없습니다.계속하시겠습니까?, 확인을 선택한 다음 재설정을 선택합니다.
Secure-Cluster(혼합 모드)
1단계. show ctl 명령을 사용하여 CTL 파일을 확인합니다.
2단계. ITLRecovery 인증서를 다시 생성합니다.Cisco Unified OS Administration > Security > Certificate Management > Find로 이동합니다.
- ITLRecovery pem Certificate를 선택합니다.
- 열었으면 Regenerate(재생성)를 선택하고 Success(성공) 팝업이 표시될 때까지 기다렸다가 팝업 창을 닫거나 뒤로 돌아가서 Find/List(찾기/목록)를 선택합니다.
3단계. CallManager 인증서로 CTLFile에 서명합니다(utils ctl reset localkey). 이렇게 하면 CTLFile이 새 ITLRecovery 인증서로 업데이트됩니다.
4단계. 새 ITLRecovery 인증서로 새 CTLFile을 픽업하도록 전화기를 재설정합니다.
- Cisco Unified CM Administration(Cisco Unified CM 관리) > System(시스템) > Enterprise Parameters(엔터프라이즈 매개변수).
- Reset(재설정)을 선택하면 시스템의 모든 디바이스를 재설정하려고 한다는 문이 포함된 팝업이 표시됩니다.이 작업은 취소할 수 없습니다.계속하시겠습니까?, 확인을 선택한 다음 재설정을 선택합니다.
5단계. 새 ITLRecovery Certificate(utils ctl update CTLFile)에서 다시 서명하도록 CTLFile을 업데이트합니다.
6단계. CallManager 및 TFTP 서비스를 다시 시작합니다.
- Publisher의 Cisco Unified Serviceability 페이지에 로그인합니다.
- Cisco Unified Serviceability > Tools > Control Center - Feature Services로 이동합니다.
- 게시자로 시작한 다음 구독자를 계속 진행하여 Cisco CallManager Service를 실행 중인 곳에서 다시 시작합니다.
- Cisco Unified Serviceability > Tools > Control Center - Feature Services로 이동합니다.
- 게시자로 시작한 다음 구독자를 계속 진행하여 Cisco TFTP Service를 실행 중인 경우에만 다시 시작합니다.
7단계. 새 ITLRecovery Certificate에서 서명한 새 CTLFile을 선택하도록 전화기를 재설정합니다.
- Cisco Unified CM Administration(Cisco Unified CM 관리) > System(시스템) > Enterprise Parameters(엔터프라이즈 매개변수).
- Reset(재설정)을 선택하면 시스템의 모든 디바이스를 재설정하려고 한다는 문이 포함된 팝업이 표시됩니다.이 작업은 취소할 수 없습니다.계속하시겠습니까?, 확인을 선택한 다음 재설정을 선택합니다.
다음을 확인합니다.
현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.
문제 해결
현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.