Verbetering in Security-certificaatbeheer

Downloadopties

  • PDF     (216.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (177.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (252.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:1 augustus 2016
Document-id:200572

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt de functie beschreven die de gebruikerservaring verbetert en het wissen van certificaten in brede kring toestaat.

Voorwaarden

Vereisten

Cisco raadt u aan kennis te hebben van Cisco Unified Communications Manager (CUCM) versie 11.0 en hoger.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

Er zijn bepaalde certificaten op CUCM en IM&P die op transparante wijze worden herhaald (zonder de kennis van de beheerder). Dit betekent dat als een certificaat door de Admin op één server wordt geüpload, het naar de andere servers binnen het cluster wordt gestuwd. Dit wordt gedaan om de optie Extension Mobility Cross Cluster (EMCC) te ondersteunen.

Als er een vereiste was om een niet-vereist certificaat te verwijderen, heeft u eerder in een enorm cluster de beheerder nodig om in elk van de servers in te loggen en het certificaat handmatig te verwijderen. Als dit bovendien niet binnen een bepaald venster gebeurt, kan het verwijderde certificaat opnieuw verschijnen vanwege de CertSync service die elke 30 minuten draait, waardoor het bestandssysteem en de certificaattabellen synchroon zijn. Om dit probleem te voorkomen, blokkeren klanten vandaag de CertSync service op alle knooppunten die worden gevolgd door het wissen van certificaten op alle knooppunten. Dit maakt de gebruikerservaring erg slecht.

Met de nieuwe functieverbetering worden dergelijke gevallen niet weergegeven.

Deze optie-aanpassing aan het certificeringsbeheer biedt u de mogelijkheid om een certificaat automatisch te verwijderen uit alle knooppunten in het cluster.

Wanneer een certificaat uit één knooppunt in het cluster wordt verwijderd, wordt het certificaat uit alle andere knooppunten in het cluster verwijderd.

Configureren

Navigeer in Cisco Call Manager naar Cisco Unified OS-beheer > Beveiliging > certificaatbeheer

Selecteer het certificaat dat moet worden verwijderd. U ziet dit:

200572-Security-Certificate-Management-Enhancem-00.png

Zodra u op OK klikt, worden deze stappen uitgevoerd:

1. Het certificaat wordt lokaal op de server verwijderd.

2. Als het certificaat wordt verwijderd, wordt de gebeurtenis geactiveerd. Deze platformgebeurtenis wordt naar alle servers in het cluster gestuurd (CUCM en IM&P). De informatie in de platformgebeurtenis is het eenheidstype (CallManager, Tomcat of Phone-SAST) samen met de naam van het certificaat (bijvoorbeeld RootCA.pem). De platform gebeurtenis geeft ons de mogelijkheid om de root van gebeurtenissen te activeren. 

De handeling voor het verwijderen van het certificaat is alleen van toepassing op deze certificaten:

CUCM

1. kat-trust

2. CallManager-trust

3. Telefonisch vertrouwen

CUCM IM& Presence

1. kat-trust

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Als de certificaten op de andere knooppunten in de cluster niet worden verwijderd, verzamel deze logbestanden bij RTMT, om dit probleem op te lossen.

1. Log van gebeurtenis Viewer-toepassing

2. Log van het evenement Viewer-systeem

3. Vastlegging IPT-platform CertMGR

200572-Security-Certificate-Management-Enhancem-01.png

Bericht per voorbeeld:

6 jul. 3:12:05 CM11 gebruiker 6 ilog_impl: Ontvangen verzoek voor platform-gebeurtenis (—geen-wacht platform-gebeurtenis-clusterbrede-certificaat-verwijdert HOSTNAME=CM11Sub-UNIT=tomcat-trust Type=certs-trust NAME=testcert.pem).

Dit logbestand geeft aan dat een gebeurtenis is ontvangen door de andere knooppunten in het cluster om de certificeringstest te verwijderen wanneer het certificaat op één knooppunt is verwijderd.

Van de certMgmt Logs voor de verwijdert handeling:

Dit logbestand toont aan dat bepaalde Mgmt het verzoek om schrapping van het certificaat certificaat.pem in tomcat_trust heeft ontvangen:

decoderen:     reëel


op:         schrappen


eenheid:       kat-trust


keystoreUnit:tomcat-trust


logbestand:    /var/log/active/platform/log/cert-mgmt.log


ResultaatBestand: /var/log/active/platform/log/certde-info.xml


keyDir:     /usr/local/cm/.security/tomcat/keys


certDir:    /usr/local/cm/.security/tomcat/trust-certs/Certificate.pem

Dit logbestand toont aan dat de certificaten uit de databank worden verwijderd:

2016-07-06 01:31:55,374 INFO [main] - IN — CertDBAction.java - DeletecertificaataanvraagInDB(informatie over het certificaat) -

TAC Authored

Bijgedragen door Cisco-engineers

  • Somnath Gupta
    Cisco TAC-ingenieur

Was dit document nuttig?

FeedbackFeedback

Contact Cisco