Inleiding
Dit document beschrijft de procedure voor het regenereren van certificaten in Unified Communications Manager.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Real Time Monitoring Tool (RTMT)
- Beveiligingsgids voor Cisco Unified Communications Manager
- CUCM-certificaten
- proxy-functie van de certificaatautoriteit
Gebruikte componenten
Cisco raadt u aan deze hulpprogramma's te installeren:
- Real Time Monitoring Tool (RTMT)
- Informatie gebaseerd op Cisco Unified Communications Manager (CUCM) releases 10.5, 12.0, 14.0, 15.0.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
In dit document wordt de stapsgewijze procedure beschreven voor het regenereren van certificaten in Cisco Unified Communications Manager (CUCM) versie 8.X en nieuwer. Raadpleeg de Beveiligingsgids voor uw specifieke release.
Communications Manager (CUCM) release 8.X – 11.5.X het ITL is ondertekend door de Call Manager Certificaat.
Communications Manager (CUCM) release 12.0+ het ITL is ondertekend door het ITLRrecovery certificaat.
Interactie tussen ITL- en CTL-bestanden
De Cisco IP Phone vertrouwt op het CTL-bestand om meer te weten te komen over de beveiligingsmodus van het cluster (niet-beveiligde of gemengde modus). Het CTL-bestand volgt de beveiligingsmodus van het cluster door het certificaat Unified Communications Manager op te nemen in het record van Unified Communications Manager. Het ITL-bestand bevat ook de indicatie voor de beveiligingsmodus van het cluster.
ITL-ondertekenaarsvergelijking
Real Time Monitoring Tool (RTMT) installeren
- Download en installeer RTMT Tool vanuit Call Manager.
- Navigeer naar Call Manager (CM)-beheer: Toepassing > Plugins > Zoeken > Cisco Unified Real-Time Monitoring Tool - Windows > Downloaden. Installeren en starten.
Eindpunten bewaken met RTMT
- Start RTMT en voer het IP-adres of de FQDN-domeinnaam (Fully Qualified Domain Name) in, en vervolgens gebruikersnaam en wachtwoord om toegang te krijgen tot het hulpprogramma:
- Selecteer het tabblad Voice/Video.
- Selecteer Apparaatoverzicht.
- In dit gedeelte wordt het totale aantal geregistreerde eindpunten en het aantal eindpunten voor elk knooppunt aangegeven.
- Monitor tijdens het resetten van het eindpunt om te zorgen voor registratie voorafgaand aan de regeneratie van het volgende certificaat.
Tip: het regeneratieproces van sommige certificaten kan van invloed zijn op eindpunten. Overweeg een actieplan na de reguliere kantooruren vanwege de vereiste om services opnieuw op te starten en telefoons opnieuw op te starten. Verifieer de telefoonregistratie via RTMT voor, tijdens en na het proces wordt sterk aanbevolen. U hoeft de services alleen opnieuw op te starten als de services op de server worden uitgevoerd.
Waarschuwing: Eindpunten die momenteel een ITL-mismatch (slechte ITL) hebben, kunnen na dit proces registratieproblemen hebben. Voor apparaten met een slechte ITL is het verwijderen van de ITL op het eindpunt een typische best practice-oplossing nadat het regeneratieproces is voltooid en alle andere telefoons zijn geregistreerd. Bekijk specifieke telefoonmodellen over het verwijderen van ITL / CTL (Security) -certificaten.

Clusterbeveiligingsmodus identificeren
- Navigeer naar CM-beheer: Systeem > Bedrijfsparameters > Beveiligingsparameters > Clusterbeveiligingsmodus.


ITL en CTL
- Initial Trust List (ITL) bevat de certificaatrol voor Call Manager TFTP, ITLRrecovery en alle TVS-certificaten in het cluster. Het bevat ook de Certificate Authority Proxy Function (CAPF) als de service wordt uitgevoerd. Vanaf versie 12.0 wordt de ITL ondertekend door het ITLRrecovery certificaat. U kunt dit zien door u aan te melden bij CLI en de opdracht show itl in te voeren. Voorafgaand aan versie 12.0 werd het ITL ondertekend door het Call Manager-certificaat.
- CTL bevat vermeldingen voor System Administrator Security Token (SAST), Cisco CallManager en Cisco TFTP-services die worden uitgevoerd op dezelfde server, CAPF, ITLRrecovery, TFTP-server(s) en Adaptive Security Appliance (ASA)-firewall. TVS wordt niet vermeld in CTL. De CTL wordt aan eindpunten geleverd als de service, Cisco CTL Provider, wordt uitgevoerd.
- Met ingang van CUCM 14SU(3) ondersteunt de Cisco CTL Provider-service geen CTL-tokens meer en is Tokenless de standaard ondersteunde methode.
Impact van het certificaatarchief
Voor een succesvolle systeemfunctionaliteit is het van cruciaal belang dat alle certificaten in het CUCM-cluster worden bijgewerkt. Als certificaten verlopen of ongeldig zijn, kunnen ze de normale functionaliteit van het systeem aanzienlijk beïnvloeden. De impact kan verschillen, afhankelijk van uw systeemconfiguratie. Een lijst met services voor de specifieke certificaten die ongeldig of verlopen zijn, wordt hier weergegeven:
CallManager.pem
- Gecodeerde/geverifieerde telefoons registreren niet.
- Trivial File Transfer Protocol (TFTP) wordt niet vertrouwd (telefoons accepteren geen ondertekende configuratiebestanden en/of ITL-bestanden).
- Telefoondiensten kunnen worden beïnvloed.
- Secure Session Initiation Protocol (SIP) trunks of mediabronnen (conferentiebruggen, MTP-mediaterminatiepunt, Xcoders, enzovoort) registreren of werken niet.
- Het AXL-verzoek mislukt.
Tomcat.pem
- Telefoons hebben geen toegang tot HTTP-services die op de CUCM-node worden gehost, zoals Corporate Directory.
- CUCM kan verschillende webproblemen hebben, zoals het niet kunnen openen van servicepagina's van andere knooppunten in het cluster.
- Problemen met Extended Mobility (EM) of Extension Mobility Cross Cluster.
- Eenmalige aanmelding (SSO)
- Expressway Traversal Zone down (TLS Verify is ingeschakeld).
- Als Unified Contact Center Express (UCCX) is geïntegreerd vanwege de beveiligingswijziging van CCX 12.5, is het vereist om het CUCM Tomcat-certificaat (zelf ondertekend) of het Tomcat-root- en tussencertificaat (voor CA ondertekend) in de UCCX tomcat-trust-winkel te hebben geüpload omdat dit Finesse-aanmeldingen op het bureaublad beïnvloedt.
CAPF.pem
- Dit certificaat wordt gebruikt om LSC uit te geven aan de eindpunten (behalve online en offline CAPF-modus), Phone VPN, 802.1x en Phone Proxy.
- Vanaf Unified Communications Manager Release 11.5(1) SU1 zijn alle LSC-certificaten die door de CAPF-service zijn uitgegeven, ondertekend met het SHA-256-algoritme.
- Verificatie en codering instellen voor CTI, JTAPI en TAPI.
IPSec.pem
- Disaster Recovery System (DRS)/Disaster Recovery Framework (DRF) kan niet goed functioneren.
- IPsec-tunnels naar Gateway (GW) of naar andere CUCM-clusters werken niet.
Vertrouwensverificatieservice (TVS)
De Trust Verification Service (TVS) is het belangrijkste onderdeel van Security by Default. Met TVS kunnen Cisco Unified IP Phones toepassingsservers, zoals EM-services, directory en MIDlet, verifiëren wanneer HTTPS is ingesteld.
TVS biedt de volgende functies:
- Schaalbaarheid - Cisco Unified IP Phone-bronnen worden niet beïnvloed door het aantal te vertrouwen certificaten.
- Flexibiliteit - Het toevoegen of verwijderen van vertrouwenscertificaten wordt automatisch weerspiegeld in het systeem.
- Standaard beveiliging - Niet-media- en signaalbeveiligingsfuncties maken deel uit van de standaardinstallatie en vereisen geen tussenkomst van de gebruiker.
ITLRrecovery (Trust Verification Service)
- 8.X – 11.5 Herstel van telefoons met niet-overeenkomende ITL, telefoonmigratie en EMCC naar CUCM 12.0+.
- 12.0+ Gebruikt in SSO, EMCC en primaire ondertekenaar van ITL/CTL.
- 12.5+ ITL Recovery wordt alleen gegenereerd door de Publisher.
Certificate Manager ECDSA-ondersteuning
In Unified Communications Manager Release 11.0 ondersteunt de certificaatbeheerder zowel het genereren van zelf ondertekende ECDSA-certificaten als het ECDSA-certificaatondertekeningsverzoek (Certificate Signing Request, CSR). Eerdere versies van Unified Communications Manager ondersteunden alleen het RSA-certificaat. Echter, Unified Communications Manager Release 11.0 en verder, CallManager-ECDSA certificaat is toegevoegd samen met de bestaande RSA certificaat.
Zowel de CallManager- als de CallManager-ECDSA-certificaten delen de gemeenschappelijke certificaatvertrouwenswinkel CallManager-Trust. Unified Communications Manager uploadt deze certificaten naar deze vertrouwenswinkel.
Identiteitscertificaat ondertekend door CA van derden
Opmerking: onder derden kan worden verstaan interne certificeringsinstantie (CA) of externe bronnen zoals Go-Daddy, Verisign en anderen. Identiteitscertificaat is het servercertificaat voor de specifieke rol (Tomcat, Call Manager, enzovoort).
- Navigeer naar elke server in uw cluster (in afzonderlijke tabbladen van uw webbrowser, tenzij u Multi-SAN CSR maakt) en begin met de uitgever, gevolgd door elke abonnee. Navigeer naar Cisco Unified OS Administration > Security > Certificate Management.
- Selecteer CSR genereren.
- Selecteer de vervolgkeuzelijst Certificaatdoel en selecteer het certificaat.
- Selecteer type distributie. Eén server of meerdere servers (SAN).
- Multi-server (SAN) omvat alle CUCM- en CUP-knooppunten in het SAN-gedeelte.
- Selecteer Genereren.
- Download de CSR en geef deze door aan uw certificeringsinstantie.
- Nadat u het ondertekende certificaat hebt ontvangen, uploadt u de certificaten per kettingorder.
- Upload de ROOT als een vertrouwenscertificaat.
- Upload de tussenpersoon als vertrouwenscertificaat.
- Upload het ondertekende certificaat als certificaattype.
- Start de juiste services die in het pop-upvenster worden vermeld, opnieuw op.
proces voor regeneratie van certificaten
Opmerking: alle eindpunten moeten worden ingeschakeld en geregistreerd voordat de regeneratiecertificaten worden geregistreerd. Anders is het verwijderen van de ITL vereist voor de telefoons die niet zijn aangesloten.
Tomcat-certificaat
Het regeneratieproces van Tomcat en Tomcat-ECDSA is identiek, inclusief het opnieuw opstarten van de service.
Identificeer of certificaten van derden in gebruik zijn:
- Navigeer naar elke server in uw cluster (in afzonderlijke tabbladen van uw webbrowser) en begin met de uitgever, gevolgd door elke abonnee. Navigeer naar Cisco Unified OS Administration > Security > Certificate Management > Zoeken.
- Observeer in de kolom Beschrijving of Tomcat het door het systeem gegenereerde zelf-ondertekende certificaat vermeldt. Als Tomcat door derden is ondertekend, gebruikt u de verstrekte link en voert u die stappen uit na de regeneratie van Tomcat.
- Ondertekende certificaten van derden, zie CUCM Uploaden CCMAdmin Web GUI Certificaten.
- Selecteer Zoeken om alle certificaten weer te geven:
- Selecteer de Find Tomcat Pem.
- Eenmaal geopend, selecteert u Regenereren en wacht u tot het pop-upvenster Succes wordt weergegeven. Sluit vervolgens het pop-upvenster of ga terug en selecteer Zoeken/aanbieden.
- Ga door met elke volgende abonnee, voer dezelfde procedure uit in stap 2 en voltooi alle abonnees in uw cluster.
- Nadat alle knooppunten het Tomcat-certificaat opnieuw hebben gegenereerd, start u de tomcat-service op alle knooppunten opnieuw op. Begin bij de uitgever, ga verder met de abonnees.
- Om Tomcat opnieuw op te starten, moet u een CLI-sessie openen voor elke node en de opdrachthulpprogramma's uitvoeren om de service Cisco Tomcat opnieuw op te starten.

5. Deze stappen worden gebruikt vanuit de CCX-omgeving, indien van toepassing:
- Als u een zelf ondertekend certificaat gebruikt, uploadt u de Tomcat-certificaten van alle knooppunten van het CUCM-cluster naar de Unified CCX Tomcat-vertrouwenswinkel.
- Als een CA-ondertekend of een door een particuliere CA ondertekend certificaat wordt gebruikt, uploadt u het root CA-certificaat van CUCM naar de Unified CCX Tomcat-vertrouwenswinkel.
- Start de servers opnieuw op zoals vermeld in het document voor certificaatregeneratie voor CCX.
Aanvullende verwijzingen:
IPSEC-certificaat
Opmerking: CUCM/Instant Messaging and Presence (IM&P) vóór versie 10.X wordt de DRF-Master
agent uitgevoerd op zowel CUCM Publisher als IM&P Publisher. DRF Local-service wordt uitgevoerd op de abonnees. Versies 10.X en hoger, DRF Master
Agent draait alleen op de CUCM Publisher en DRF Local service op CUCM Abonnees en IM&P Publisher en Abonnees.
Opmerking: het Disaster Recovery System gebruikt een op Secure Socket Layer (SSL) gebaseerde communicatie tussen de Master
Agent en de Local Agent voor verificatie en codering van gegevens tussen de CUCM-clusternodes. DRS maakt gebruik van de IPSec certificaten voor de Public/Private Key encryptie. Houd er rekening mee dat als u het IPSEC-truststore (hostname.pem) -bestand van de pagina Certificaatbeheer verwijdert, DRS niet werkt zoals verwacht. Als u het IPSEC-trust-bestand handmatig verwijdert, moet u ervoor zorgen dat u het IPSEC-certificaat uploadt naar de IPSEC-trust-store. Raadpleeg de hulppagina voor certificaatbeheer in de beveiligingshandleidingen van Cisco Unified Communications Manager voor meer informatie.
- Navigeer naar elke server in uw cluster (in afzonderlijke tabbladen van uw webbrowser) en begin met de uitgever, gevolgd door elke abonnee. Navigeer naar Cisco Unified OS Administration > Security > Certificate Management > Zoeken.
- Selecteer het
IPSEC PEM
certificaat.
- Eenmaal geopend, selecteert u Regenereren en wacht u tot het pop-upvenster Succes wordt weergegeven. Sluit het pop-upvenster of ga terug en selecteer Zoeken/aanbieden.
- Ga door met volgende abonnees; voer dezelfde procedure uit in stap 1 en voltooi alle abonnees in uw cluster.
- Nadat alle knooppunten het IPSEC-certificaat opnieuw hebben gegenereerd, start u de services opnieuw op.
- Navigeer naar de uitgever Cisco Unified Serviceability.
- Cisco Unified Serviceability > Tools > Control Center - Netwerkservices
- Selecteer Opnieuw starten op Cisco DRF Master Service.
- Nadat de service opnieuw is opgestart, selecteert u Opnieuw starten op de Cisco DRF Local Service op de uitgever, gaat u verder met de abonnees en selecteert u Opnieuw starten op de Cisco DRF Local.
Het IPSEC.pem-certificaat in de uitgever moet geldig zijn en moet in alle abonnees aanwezig zijn als IPSEC-truststores. Het IPSEC.pem-certificaat van de abonnee is niet aanwezig in de uitgever als IPSEC-trust in een standaardimplementatie. Om de geldigheid te controleren, vergelijkt u de serienummers in het IPSEC.pem-certificaat van de PUB met het IPSEC-vertrouwen in de SUB's. Ze moeten matchen.
CAPF-certificaat
Opmerking: vanaf CUCM 14 is het CAPF-certificaat alleen te vinden op de uitgever.
Waarschuwing: zorg ervoor dat u hebt vastgesteld of uw cluster zich in de gemengde modus bevindt voordat u verdergaat. Zie het gedeelte De beveiligingsmodus voor clusters identificeren.
- Navigeer naar Cisco Unified CM Administration > System > Enterprise Parameters.
- Controleer het gedeelte Beveiligingsparameters en controleer of de beveiligingsmodus voor clusters is ingesteld op 0 of 1. Als de waarde 0 is, bevindt het cluster zich in de niet-beveiligde modus. Als het 1 is, bevindt het cluster zich in de gemengde modus en moet u het CTL-bestand bijwerken voordat de services opnieuw worden gestart. Zie Token- en Tokenless-links.
- Navigeer naar elke server in uw cluster (in afzonderlijke tabbladen van uw webbrowser), begin met de uitgever en vervolgens elke abonnee. Navigeer naar Cisco Unified OS Administration > Security > Certificate Management > Zoeken.
- Selecteer het
CAPF PEM
certificaat.
- Eenmaal geopend, selecteert u Regenereren en wacht u tot het pop-upvenster Succes wordt weergegeven. Sluit vervolgens het pop-upvenster of ga terug en selecteer Zoeken/aanbieden.
- Ga door met volgende abonnees; voer dezelfde procedure uit in stap 2 en voltooi alle abonnees in uw cluster.
- Als het cluster zich in de gemengde modus bevindt of als de CTL wordt gebruikt voor 802.1X, moet u de CTL bijwerken voordat u verdergaat.
- Meld u aan bij de CLI van de uitgever en voer de opdracht ctl update CTLFile in.
- Reset alle gecodeerde en geverifieerde telefoons voor de CTL-bestandsupdate om invloed uit te oefenen.
- Nadat alle Nodes het CAPF-certificaat opnieuw hebben gegenereerd, start u de services opnieuw op.
- Navigeer naar uitgever Cisco Unified Serviceability.
- Cisco Unified Serviceability > Tools > Control Center - Feature Services.
- Selecteer de uitgever en selecteer Opnieuw starten op de Cisco Certificate Authority Proxy Function Service, alleen als deze actief is.
- Navigeer naar Cisco Unified Serviceability > Tools > Control Center - Network Services.
- Begin met de uitgever en ga vervolgens verder met de abonnees en selecteer Opnieuw starten op Cisco Trust Verification Service.
- Navigeer naar Cisco Unified Serviceability > Tools > Control Center - Feature Services.
- Begin met de uitgever en ga vervolgens verder met de abonnees, start Cisco TFTP Service opnieuw op waar de status Gestart wordt weergegeven.
- Alle telefoons opnieuw opstarten:
- Optie 1
- Cisco Unified CM Administration > Systeem > Bedrijfsparameters
- Selecteer Reset, dan zie je een pop-up met de instructie "Je staat op het punt om alle apparaten in het systeem te resetten. Deze actie kan niet ongedaan worden gemaakt. Doorgaan?", selecteer OK en selecteer vervolgens Reset.
- Met deze methode worden ALLE componenten in Oproepbeheer gereset.
- Optie 2
- Cisco Unified CM Administration > Bulkbeheer > Telefoons > Telefoons bijwerken > Query
- Zoeken naar apparaatnaam begint met SEP > Volgende > Telefoons resetten > Direct uitvoeren.
De telefoons zijn nu opnieuw ingesteld. Controleer hun acties via RTMT-tool om ervoor te zorgen dat de reset succesvol is en dat apparaten zich opnieuw registreren bij CUCM. Wacht tot de telefoonregistratie is voltooid voordat u doorgaat naar het volgende certificaat. Dit proces van telefoonregistratie kan enige tijd duren. Houd er rekening mee dat apparaten die vóór het regeneratieproces slechte ITL's hadden, zich niet opnieuw registreren in het cluster totdat het is verwijderd.
CallManager-certificaat
Het proces voor het regenereren van CallManager en CallManager-ECDSA is identiek, inclusief het opnieuw opstarten van de service.
Waarschuwing: zorg ervoor dat u hebt vastgesteld of uw cluster zich in de gemengde modus bevindt voordat u verdergaat. Zie het gedeelte De beveiligingsmodus voor clusters identificeren.
Waarschuwing: regenereer CallManager.PEM- en TVS.PEM-certificaten niet tegelijkertijd in versie 8.x-11.5 of als de ITL is ondertekend door het Call Manager-certificaat. Dit veroorzaakt een niet-herstelbare mismatch met de geïnstalleerde ITL op eindpunten waarvoor de verwijdering van de ITL van ALLE eindpunten in het cluster vereist is, of herstel van DRS om de certificaatupdates opnieuw te starten.
- Navigeer naar Cisco Unified CM Administration > System > Enterprise Parameters:
- Controleer het gedeelte Beveiligingsparameters en controleer of de beveiligingsmodus voor clusters is ingesteld op 0 of 1. Als de waarde 0 is, bevindt het cluster zich in de niet-beveiligde modus. Als het 1 is, bevindt het cluster zich in de gemengde modus en moet u het CTL-bestand bijwerken voordat de services opnieuw worden gestart. Zie Token- en Tokenless-links.
- Navigeer naar elke server in uw cluster (in afzonderlijke tabbladen van uw webbrowser), begin met de uitgever en vervolgens elke abonnee. Navigeer naar Cisco Unified OS Administration > Security > Certificate Management > Zoeken.
- Selecteer het CallManager-certificaat.
- Eenmaal geopend, selecteert u Regenereren en wacht u tot het pop-upvenster Succes wordt weergegeven. Sluit vervolgens het pop-upvenster of ga terug en selecteer Zoeken/aanbieden.
- Ga door met volgende abonnees; voer dezelfde procedure uit in stap 2 en voltooi alle abonnees in uw cluster.
- Als het cluster zich in de gemengde modus bevindt of als de CTL wordt gebruikt voor 802.1X, moet u de CTL bijwerken voordat u verder gaat.
- Meld u aan bij de CLI van de uitgever en voer de opdracht ctl update CTLFile in.
- Reset alle gecodeerde en geverifieerde telefoons voor de CTL-bestandsupdate om invloed uit te oefenen.
- Meld u aan bij Publisher Cisco Unified Serviceability:
- Navigeer naar Cisco Unified Serviceability > Tools > Control Center - Feature Services.
- Begin met de uitgever en ga vervolgens verder met de abonnees, start alleen de Cisco CallManager-service opnieuw op waar de status Gestart wordt weergegeven.
- Navigeer naar Cisco Unified Serviceability > Tools > Control Center - Feature Services.
- Begin met de Publisher, ga vervolgens verder met de abonnees en start Cisco CTIManager Service opnieuw op waar de status Gestart wordt weergegeven.
- Navigeer naar Cisco Unified Serviceability > Tools > Control Center - Network Service.
- Begin met de uitgever, ga vervolgens verder met de abonnees en start de Cisco Trust Verification Service opnieuw op.
- Navigeer naar Cisco Unified Serviceability > Tools > Control Center - Feature Services.
- Begin met de Publisher, ga vervolgens verder met de abonnees en start de Cisco TFTP-service opnieuw op waar de status Gestart wordt weergegeven.
- Alle telefoons opnieuw opstarten:
- Optie 1
- Cisco Unified CM Administration > Systeem > Bedrijfsparameters
- Selecteer Reset, dan zie je een pop-up met de instructie "Je staat op het punt om alle apparaten in het systeem te resetten. Deze actie kan niet ongedaan worden gemaakt. Doorgaan?", selecteer OK en selecteer vervolgens Reset.
- Met deze methode worden ALLE componenten in Oproepbeheer gereset.
- Optie 2
- Cisco Unified CM Administration > Bulkbeheer > Telefoons > Telefoons bijwerken > Query
- Zoeken naar apparaatnaam begint met SEP > Volgende > Telefoons resetten > Direct uitvoeren
De telefoons zijn nu opnieuw ingesteld. Controleer hun acties via RTMT-tool om ervoor te zorgen dat de reset succesvol is en dat apparaten zich opnieuw registreren bij CUCM. Wacht tot de telefoonregistratie is voltooid voordat u doorgaat naar het volgende certificaat. Dit proces van telefoonregistratie kan enige tijd duren. Houd er rekening mee dat apparaten die slechte ITL's hadden voorafgaand aan het regeneratieproces, zich niet opnieuw registreren in het cluster totdat ITL is verwijderd.
TVS-certificaat
Waarschuwing: regenereer CallManager.PEM- en TVS.PEM-certificaten niet tegelijkertijd in versie 8.x-11.5 of als de ITL is ondertekend door het Call Manager-certificaat. Dit veroorzaakt een niet-herstelbare mismatch met de geïnstalleerde ITL op eindpunten waarvoor de verwijdering van de ITL van ALLE eindpunten in het cluster vereist is, of herstel van DRS om de certificaatupdates opnieuw te starten.
Opmerking: TVS verifieert certificaten namens Call Manager. Regenereer dit certificaat als laatste.
Navigeer naar elke server in uw cluster (in afzonderlijke tabbladen van uw webbrowser), begin met de uitgever en vervolgens elke abonnee. Navigeer naar Cisco Unified OS Administration > Security > Certificate Management > Zoeken.
- Selecteer het TVS-certificaat.
- Eenmaal geopend, selecteert u Regenereren en wacht u tot het pop-upvenster Succes wordt weergegeven. Sluit vervolgens het pop-upvenster of ga terug en selecteer Zoeken/aanbieden.
- Ga door met volgende abonnees; voer dezelfde procedure uit in stap 1 en voltooi alle abonnees in uw cluster.
- Nadat alle knooppunten het TVS-certificaat opnieuw hebben gegenereerd, start u de services opnieuw op:
- Meld u aan bij Publisher Cisco Unified Serviceability.
- Navigeer naar Cisco Unified Serviceability > Tools > Control Center - Network Services
- Selecteer in de uitgever Opnieuw starten op Cisco Trust Verification Service.
- Nadat de service opnieuw is opgestart, gaat u verder met de abonnees en start u de Cisco Trust Verification Service opnieuw op.
- Begin met de uitgever, of ga vervolgens verder met de abonnees, start Cisco TFTP Service opnieuw op waar de status Gestart wordt weergegeven.
- Alle telefoons opnieuw opstarten:
- Optie 1
- Cisco Unified CM Administration > Systeem > Bedrijfsparameters
- Selecteer Reset, dan zie je een pop-up met de instructie "Je staat op het punt om alle apparaten in het systeem te resetten. Deze actie kan niet ongedaan worden gemaakt. Doorgaan?", selecteer OK en selecteer vervolgens Reset.
- Met deze methode worden ALLE componenten in Oproepbeheer gereset.
- Optie 2
- Cisco Unified CM Administration > Bulkbeheer > Telefoons > Telefoons bijwerken > Query
- Zoeken naar apparaatnaam begint met SEP > Volgende > Telefoons resetten > Direct uitvoeren.
De telefoons zijn nu opnieuw ingesteld. Controleer hun acties via RTMT-tool om ervoor te zorgen dat de reset succesvol is en dat apparaten zich opnieuw registreren bij CUCM. Wacht tot de telefoonregistratie is voltooid voordat u doorgaat naar het volgende certificaat. Dit proces van telefoonregistratie kan enige tijd duren. Houd er rekening mee dat apparaten die slechte ITL's hadden voorafgaand aan het regeneratieproces, zich niet opnieuw registreren in het cluster totdat ITL is verwijderd.
ITLR-herstelcertificaat
Opmerking: het ITLR-herstelcertificaat wordt gebruikt wanneer apparaten hun vertrouwde status verliezen. Het certificaat wordt weergegeven in zowel de ITL als de CTL (wanneer de CTL-provider actief is, Cisco-bug IDCSCwf85275).
Vanaf 12.5+ is de ITLRecovery een enkel certificaat dat door de uitgever wordt gegenereerd en aan de abonnees wordt gedistribueerd.
Als apparaten hun vertrouwensstatus verliezen, kunt u de opdracht itl reset localkey gebruiken voor niet-beveiligde clusters en de opdracht ctl reset localkey voor mix-mode clusters. Lees de beveiligingsgids voor uw Call Manager-versie om vertrouwd te raken met hoe het ITLRrecovery-certificaat wordt gebruikt en het proces dat nodig is om de vertrouwde status te herstellen.
Als het cluster is geüpgraded naar een versie die een sleutellengte van 2048 ondersteunt en de clusterservercertificaten zijn geregenereerd naar 2048 en de ITLRrecovery niet is geregenereerd en momenteel 1024-sleutellengte heeft, mislukt de ITL-herstelopdracht en wordt de ITLRrecovery-methode niet gebruikt.
- Navigeer naar elke server in uw cluster (in afzonderlijke tabbladen van uw webbrowser), begin met de uitgever en vervolgens elke abonnee. Navigeer naar Cisco Unified OS Administration > Security > Certificate Management > Zoeken.
- Selecteer het ITLRrecovery-certificaat.
- Eenmaal geopend, selecteert u Regenereren en wacht u tot het pop-upvenster Succes wordt weergegeven. Sluit vervolgens het pop-upvenster of ga terug en selecteer Zoeken/aanbieden.
- Nadat ITLRecovery opnieuw is gegenereerd met het ITLRecovery-certificaat, moeten de services opnieuw worden gestart.
- Als het cluster zich in de gemengde modus bevindt of als de CTL wordt gebruikt voor 802.1X, moet u de CTL bijwerken voordat u verder gaat.
- Meld u aan bij de CLI van de uitgever en voer de opdracht ctl update CTLFile in.
- Reset alle gecodeerde en geverifieerde telefoons voor de CTL-bestandsupdate om invloed uit te oefenen.
- Inloggen bij Publisher
Cisco Unified Serviceability.
- Navigeer naar Cisco Unified Serviceability > Tools > Control Center - Network Services.
- Selecteer in de uitgever Opnieuw starten op Cisco Trust Verification Service.
- Nadat de service opnieuw is opgestart, gaat u verder met de abonnees en start u de Cisco Trust Verification Service opnieuw op.
- Begin met de Publisher, ga vervolgens verder met de abonnees en start de Cisco TFTP-service opnieuw op waar de status Gestart wordt weergegeven.
- Alle telefoons opnieuw opstarten:
- Optie 1
- Cisco Unified CM Administration > Systeem > Bedrijfsparameters
- Selecteer Reset, dan zie je een pop-up met de instructie "Je staat op het punt om alle apparaten in het systeem te resetten. Deze actie kan niet ongedaan worden gemaakt. Doorgaan?", selecteer OK en selecteer vervolgens Reset.
- Met deze methode worden ALLE componenten in Oproepbeheer gereset.
- Optie 2
- Cisco Unified CM Administration > Bulkbeheer > Telefoons > Telefoons bijwerken > Query
- Zoeken naar apparaatnaam begint met SEP > Volgende > Telefoons resetten > Direct uitvoeren.
Verlopen vertrouwenscertificaten verwijderen
Waarschuwing: het verwijderen van een certificaat kan van invloed zijn op uw systeemactiviteiten. Het kan ook een certificaatketen doorbreken als het certificaat deel uitmaakt van een bestaande keten. Controleer deze relatie aan de hand van de gebruikersnaam en onderwerpnaam van de relevante certificaten in het venster Certificaatlijst.
Opmerking: Een vertrouwd certificaat is het enige type certificaat dat u kunt verwijderen. U kunt een zelf ondertekend certificaat dat door uw systeem wordt gegenereerd, niet verwijderen. Identificeer de vertrouwenscertificaten die moeten worden verwijderd, niet langer nodig zijn of zijn verlopen. Verwijder de vijf basiscertificaten niet: CallManager.pem, tomcat.pem, ipsec.pem, CAPF.pem en TVS.pem. Vertrouwenscertificaten kunnen indien nodig worden verwijderd. De volgende service die opnieuw wordt opgestart, is bedoeld om informatie over bestaande certificaten binnen die services te wissen.
- Navigeer naar Cisco Unified Serviceability > Tools > Control Center - Network Services.
- Selecteer in de vervolgkeuzelijst de CUCM Publisher.
- Voor CUCM 11.5 en lager,
- Selecteer Melding wijziging certificaat stoppen. Deze vereiste is niet vereist voor CUCM versie 12.0 en hoger.
- Herhaal dit voor elke Call Manager-node in uw cluster.
- Als u een IMP-server hebt:
- Selecteer in de vervolgkeuzelijst de IMP-servers één voor één en selecteer Stop Platform Administration Web Services en Cisco Intercluster Sync Agent. Deze vereiste is niet vereist voor IMP versie 12.0 en hoger.
- Navigeer naar Cisco Unified OS Administration > Security > Certificate Management > Zoeken.
- Zoek de verlopen vertrouwenscertificaten. (Voor versies 10.X en hoger kunt u filteren op Vervaldatum. Voor versies lager dan 10.0 moet u de certificaten handmatig identificeren of de RTMT-waarschuwingen gebruiken als deze worden ontvangen.)
- Hetzelfde vertrouwenscertificaat kan in meerdere knooppunten worden weergegeven. Het moet afzonderlijk van elke node worden verwijderd.
- Selecteer het vertrouwenscertificaat dat moet worden verwijderd (afhankelijk van uw versie krijgt u een pop-up of navigeert u naar het certificaat op dezelfde pagina)
- Selecteer Verwijderen. (U krijgt een pop-up die begint met "u staat op het punt dit certificaat permanent te verwijderen")
- Selecteer OK.
- Herhaal het proces voor elk vertrouwenscertificaat dat moet worden verwijderd.
- Na voltooiing moeten services opnieuw worden gestart die rechtstreeks verband houden met de verwijderde certificaten. U hoeft in dit gedeelte geen telefoons opnieuw op te starten. Call Manager en CAPF kunnen het eindpunt beïnvloeden.
- Tomcat-trust: start Tomcat Service opnieuw op via de opdrachtregel (zie sectie Tomcat).
- CAPF-trust: start de proxy-functie van Cisco Certificate Authority opnieuw op (zie de sectie CAPF). Eindpunten niet opnieuw opstarten.
- CallManager-trust: CallManager Service/CTIManager (zie de sectie CallManager). Eindpunten niet opnieuw opstarten.
- Beïnvloedt eindpunten en veroorzaakt herstart.
- IPSEC-trust: DRF
Master
/ DRF Local (zie sectie IPSEC).
- TVS (Self-Signed) heeft geen vertrouwenscertificaten.
- Services opnieuw opstarten die eerder zijn gestopt in stap 1.
Verificatie
De verificatieprocedure is niet beschikbaar voor deze configuratie.
Problemen oplossen
Er zijn geen procedures voor probleemoplossing beschikbaar voor deze configuratie.