Stap 5. Ondertekende certificaten toepassen op componenten op CMS-servers.
- Voer de volgende opdrachten uit om certificaten op Webadmin toe te passen:
webadmin disable
webadmin certs <keyfile> <certificate file> <certificate bundle/Root CA>
webadmin enable
- Voer de volgende opdrachten uit om certificaten op CallBridge toe te passen:
callbridge certs <keyfile> <certificate file> <certificate bundle/Root CA>
callbridge restart
- Voer de volgende opdrachten uit om certificaten op Webbridge toe te passen:
webbridge disable
webbridge certs <keyfile> <certificate file> <certificate bundle/Root CA>
webbridge enable
- Als u certificaten op XMPP wilt toepassen, voert u de volgende opdrachten uit:
xmpp disable
xmpp certs <keyfile> <certificate file> <certificate bundle/Root CA>
xmpp enable
- Als u certificaten op de database wilt toepassen of verlopen certificaten op het huidige DB-cluster wilt vervangen, voert u de volgende opdrachten uit:
database cluster remove (on all servers, noting who was primary before beginning)
database cluster certs <server_key> <server_certificate> <client_key> <client_certificate> <Root ca_crt>
database cluster initialize (only on primary node)
database cluster join <FQDN or IP of primary> (only on slave node)
database cluster connect <FQDN or IP of primary> (only on nodes that are not part of the database cluster)
- Voer de volgende opdrachten uit om certificaten toe te passen op turn:
turn disable
turn certs <keyfile> <certificate file> <certificate bundle/Root CA>
turn enable
Certificaat vertrouwensketens en -bundels
Sinds CMS 3.0 moet u gebruik maken van Certificate trust ketens of full chain trusts. Ook is het belangrijk voor elke dienst dat je herkent hoe certs moeten worden gebouwd wanneer je bundels maakt.
Wanneer u een certificaat vertrouwensketen, zoals vereist voor Web bridge 3, moet u het bouwen zoals getoond in het beeld, met entiteit cert bovenop, en tussenpersonen in het midden, en wortel CA onderaan, dan een enkele wagenterugloop.
![volledige keten](/c/dam/en/us/support/docs/conferencing/meeting-server/214618-generate-csr-and-apply-certificates-to-c-00.png)
Telkens als u een bundel maakt, moet het certificaat slechts één wagenterugloop aan het eind hebben.
CA-bundels zouden hetzelfde zijn als getoond in de afbeelding, maar er zou natuurlijk geen entiteitscertificaat zijn.
Problemen oplossen
Als u een verlopen certificaat moet vervangen voor alle services, behalve databasecertificaten, is de eenvoudigste methode om nieuwe certs te uploaden met dezelfde naam als de oude certificaten. Als u dit doet, hoeft de service alleen opnieuw opgestart te worden en hoeft u de service niet opnieuw te configureren.
Als u presteert pki csr ... en die bepaalde naam overeenkomt met een huidige sleutel, breekt het onmiddellijk de dienst. Als de productie live is en u proactief een nieuwe CSR en Key maakt, gebruik een nieuwe naam. U kunt de naam van de momenteel actieve naam wijzigen voordat u de nieuwe cert naar de servers uploadt.
Als de database certificaten zijn verlopen, moet u controleren met database cluster status wie de database Primary is, en op alle knooppunten, voer de opdracht database cluster remove. Dan kunt u de instructies van Stap 3 gebruiken. Genereert het databasecluster CSR en gebruikt ingebouwde CA om ze te ondertekenen.
Gerelateerde informatie