CSR genereren en certificaten op CMS toepassen

Bijgewerkt:24 april 2023
Document-id:214618

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een verzoek voor certificaatondertekening (CSR) kunt genereren en ondertekende certificaten kunt uploaden naar Cisco Meeting Server (CMS).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basiskennis van CMS Server

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Putty of soortgelijke software
    • CMS 2.9 of hoger

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Genereer de CSR

    Er zijn twee manieren waarop u CSR kunt genereren, één daarvan is om de CSR direct op de CMS server te genereren via Command Line Interface (CLI) met admin toegang, de andere is om het te doen met externe 3rd party Certificate Authority (CA) zoals Open SSL.

    In beide gevallen moet MVO met de juiste syntaxis worden gegenereerd om MCS-diensten goed te laten werken.

    Stap 1. Syntaxisstructuur.

    pki csr <key/cert basename> <CN:value> [OU:<value>] [O:<value>] [ST:<-value>] [C:<value>] [subjectAltName:<value>]
    • <key/cert basename> is een string die de nieuwe key en CSR naam identificeert. Het kan alfanumerieke, koppelteken of onderstreepteken tekens bevatten. Dit is een verplicht veld.
    • <CN:value> is de algemene naam. Dit is de volledig gekwalificeerde domeinnaam (FQDN) die de exacte locatie van de server in het Domain Name System (DNS) specificeert. Dit is een verplicht veld.
    • [OU:<value>] is de naam van de organisatorische eenheid of afdeling. Bijvoorbeeld Support, IT, Engineer, Finance. Dit is een optioneel veld.
    • [O:<value>] is de naam van de organisatie of het bedrijf. Meestal de wettelijk erkende naam van een bedrijf. Dit is een optioneel veld.
    • [ST:<value>] is de provincie, de regio, het district of de staat. Bijvoorbeeld Buckinghamshire California. Dit is een optioneel veld.
    • [C:<waarde>] is het land. De tweeletterige ISO-code (International Organization for Standardization) voor het land waar uw organisatie is gevestigd. Bijvoorbeeld VS, GB, FR. Dit is een optioneel veld.
    • [subjectAltName:<waarde>] is de alternatieve naam van het onderwerp (SAN). Vanaf X509, versie 3 (RFC 2459), zijn SSL-certificaten (Secure Socket Layers) toegestaan om meerdere namen op te geven die moeten overeenkomen met het certificaat. In dit veld kan het gegenereerde certificaat meerdere domeinen bestrijken. Het kan IP adressen, domeinnamen, e-mailadressen, regelmatige DNS hostnames, enz. bevatten, gescheiden door komma's. Als het wordt gespecificeerd, moet u ook de GN in deze lijst omvatten. Hoewel dit een optioneel veld is, moet het SAN-veld worden ingevuld zodat XMPP-clients (Extensible Messaging and Presence Protocol) een certificaat kunnen aanvaarden, anders wordt in de XMPP-clients een certificaatfout weergegeven.

    Stap 2. Genereer callbridge, xmpp, webadmin en webbridge CSR.

    1. Open de CMS CLI met Putty en Log in met de admin-account.
    2. Voer de volgende opdrachten uit om CSR te maken voor elke service die op CMS nodig is. Het is ook acceptabel om één cert te maken met een wild card (*.com) of het cluster FQDN als CN, FQDN’s van elke CMS-server en, indien nodig, bij URL te voegen.
    Service

    opdracht
    Webadmin

    pki csr CN:

    Webbridge

    pki csr CN: subjectAltName: ,

    callbridge

    OMKEREN

    Taakverdeling

    pki csr CN:  

    1. Als het CMS geclusterd is, voert u de volgende opdrachten uit.
    Service Opdracht

    callbridge

    OMKEREN

    Taakverdeling

    pki csr CN: subjectAltName:

    XMPP

    pki csr CN: subjectAltName: ,

    Stap 3. Genereer het databasecluster CSR en gebruik ingebouwde CA om ze te ondertekenen.

    Sinds CMS 2.7 moet u beschikken over certificaten voor uw databasecluster.  In 2.7 hebben we een ingebouwde CA opgenomen die kan worden gebruikt om de databasecertificaten te ondertekenen.

    1. Op alle kernen draait u  database cluster remove .
    2. Op de Primaire, lopen  pki selfsigned dbca CN . Voorbeeld:  Pki selfsigned dbca CN:tplab.local
    3. Op de Primaire, lopen  pki csr dbserver CN:cmscore1.example.com subjectAltName .  Voorbeeld:  cmscore2.example.com,cmscore3.example.com
    4. Maak op de Primaire pagina een cert voor database client pki csr dbclient CN:postgres .
    5. Gebruik op de primaire applicatie dbca om de dbserver cert te ondertekenen  pki sign dbserver dbca  .
    6. Gebruik op de primaire applicatie dbca om de dbclient cert te ondertekenen pki sign dbclient dbca .
    7. Kopieer de dbclient.crt naar alle servers die verbinding moeten maken met een database knooppunt
    8. Kopieert het bestand dbserver.crt naar alle servers die zijn aangesloten op de database (knooppunten waaruit het databasecluster bestaat).
    9. Kopieer het bestand dbca.crt naar alle servers.
    10. Voer op de primaire DB-server  database cluster certs dbserver.key dbserver.crt dbclient.key dbclient.crt dbca.crt .  Hierbij wordt gebruik gemaakt van de dbca.crt  als de root ca-cert .
    11. Voer op de primaire DB-server  database cluster localnode a .
    12. Voer op de primaire DB-server  database cluster initialize .
    13. Voer op de primaire DB-server  database cluster status .  Moet knooppunten zien: (me): Connected Primary.
    14. Op alle andere kernen die zijn aangesloten bij het databasecluster, voert u  database cluster certs dbserver.key dbserver.crt dbclient.key dbclient.crt dbca.crt .
    15. Op alle kernen die zijn aangesloten (niet op dezelfde locatie als een database) op het databasecluster, voert u de volgende handelingen uit database cluster certs dbclient.key cbclient.crt dbca.crt .
    16. Op kernen die aangesloten zijn (op dezelfde locatie als een database):
      • voer uit  database cluster localnode a .
      • voer uit  database cluster join .
    17. ON-kernen die zijn aangesloten (niet op dezelfde locatie als een database):
      • ru database cluster localnode a .
      • voer uit  database cluster connect .

    Stap 4. Controleer de ondertekende certificaten.

    • De geldigheid van het certificaat (vervaldatum) kan worden geverifieerd met de inspectie van het certificaat, voer de opdracht uit  pki inspect  .
    • U kunt bevestigen dat een certificaat overeenkomt met een persoonlijke sleutel en de opdracht uitvoeren  pki match  .
    • Om te valideren dat een certificaat is ondertekend door de CA en dat de certificaatbundel kan worden gebruikt om dit te bevestigen, voert u de opdracht uit  pki verify  .

    Stap 5. Ondertekende certificaten toepassen op componenten op CMS-servers.

    1. Voer de volgende opdrachten uit om certificaten op Webadmin toe te passen:
    webadmin disable
webadmin certs <keyfile> <certificate file> <certificate bundle/Root CA>
webadmin enable
    1. Voer de volgende opdrachten uit om certificaten op CallBridge toe te passen:
    callbridge certs <keyfile> <certificate file> <certificate bundle/Root CA>
callbridge restart
    1. Voer de volgende opdrachten uit om certificaten op Webbridge toe te passen: 
    webbridge disable
webbridge certs <keyfile> <certificate file> <certificate bundle/Root CA>
webbridge enable
    1. Als u certificaten op XMPP wilt toepassen, voert u de volgende opdrachten uit:
    xmpp disable
xmpp certs <keyfile> <certificate file> <certificate bundle/Root CA>
xmpp enable
    1. Als u certificaten op de database wilt toepassen of verlopen certificaten op het huidige DB-cluster wilt vervangen, voert u de volgende opdrachten uit: 
    database cluster remove (on all servers, noting who was primary before beginning)
database cluster certs <server_key> <server_certificate> <client_key> <client_certificate> <Root ca_crt>
    database cluster initialize     (only on primary node)
    database cluster join <FQDN or IP of primary>    (only on slave node)
    database cluster connect <FQDN or IP of primary> (only on nodes that are not part of the database cluster)

    1. Voer de volgende opdrachten uit om certificaten toe te passen op turn:
    turn disable
turn certs <keyfile> <certificate file> <certificate bundle/Root CA>
turn enable

    Certificaat vertrouwensketens en -bundels

    Sinds CMS 3.0 moet u gebruik maken van Certificate trust ketens of full chain trusts.  Ook is het belangrijk voor elke dienst dat je herkent hoe certs moeten worden gebouwd wanneer je bundels maakt.

    Wanneer u een certificaat vertrouwensketen, zoals vereist voor Web bridge 3, moet u het bouwen zoals getoond in het beeld, met entiteit cert bovenop, en tussenpersonen in het midden, en wortel CA onderaan, dan een enkele wagenterugloop.

    Full Chain

    Telkens als u een bundel maakt, moet het certificaat slechts één wagenterugloop aan het eind hebben.

    CA-bundels zouden hetzelfde zijn als getoond in de afbeelding, maar er zou natuurlijk geen entiteitscertificaat zijn.

    Problemen oplossen

    Als u een verlopen certificaat moet vervangen voor alle services, behalve databasecertificaten, is de eenvoudigste methode om nieuwe certs te uploaden met dezelfde naam als de oude certificaten. Als u dit doet, hoeft de service alleen opnieuw opgestart te worden en hoeft u de service niet opnieuw te configureren.  

    Als u  pki csr ...   en dat de cert naam overeenkomt met een huidige sleutel, het breekt onmiddellijk de dienst.  Als de productie live is en u proactief een nieuwe CSR en Key maakt, gebruik een nieuwe naam.  U kunt de naam van de momenteel actieve naam wijzigen voordat u de nieuwe cert naar de servers uploadt.

    Als de databasecertificaten zijn verlopen, moet u controleren met database cluster status  wie de database Primair is en voer op alle knooppunten de opdracht uit  database cluster remove .  Vervolgens kunt u de instructies uit Stap 3 gebruiken. Genereert het databasecluster CSR en gebruikt ingebouwde CA om ze te ondertekenen.

    note-icon

    Opmerking: Raadpleeg de volgende video voor het geval u de Cisco Meeting Manager (CMM)-certificaten wilt verlengen: het Cisco Meeting Management SSL-certificaat bijwerken

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    24-Apr-2023
    Hercertificering.
    1.0
    06-Oct-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Seeta Rama Raju K
      Cisco TAC Engineer
    • Sateesh Katukam
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco