Nieuwe certificaten maken van ondertekende CA-certificaten

Downloadopties

  • PDF     (650.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (442.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (357.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 september 2022
Document-id:217138

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u de certificaten kunt regenereren die door een certificaatinstantie (CA) zijn ondertekend in Cisco Unified Communications Manager (CUCM).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Realtime Monitoring Tool (RTMT)
    • CUCM-certificaten

    Gebruikte componenten

    • CUCM release 10.x, 11.x en 12.x.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Informatie vooraf controleren

    Opmerking: Voor zelfondertekende certificaatregeneratie raadpleegt u de Handleiding certificaatregeneratie. Raadpleeg voor door CA ondertekend multi-SAN-certificaatregeneratie de multi-SAN-certificaatregeneratiegids.

    Om de impact van elk certificaat en de regeneratie ervan te begrijpen, raadpleegt u de zelfondertekende regeneratiegids.

    Elk type certificaatondertekeningsaanvraag (CSR) heeft verschillende belangrijke gebruiksdoeleinden en die zijn vereist in het ondertekende certificaat. De Security Guide bevat een tabel met de vereiste belangrijkste gebruiksdoeleinden voor elk type certificaat.

    U kunt de onderwerpinstellingen (locatie, staat, organisatie-eenheid, enzovoort) als volgt wijzigen:

    • set web-security orgunit orgname locality state [country] [alternatehostname]

    Het Tomcat-certificaat wordt automatisch opnieuw gegenereerd nadat u de set web-security uit. Het nieuwe zelfondertekende certificaat wordt niet toegepast tenzij de Tomcat-service opnieuw wordt gestart. Raadpleeg deze handleidingen voor meer informatie over deze opdracht:

    Certificaten configureren en opnieuw genereren

    De stappen voor het regenereren van certificaten met één knooppunt in een CUCM-cluster die door een CA zijn ondertekend, worden vermeld voor elk type certificaat. Het is niet nodig om alle certificaten in de cluster te regenereren als ze niet zijn verlopen. 

    Tomcat Certificate

    Waarschuwing: controleer of SSO in het cluster is uitgeschakeld (CM Administration > System > SAML Single Sign-On). Als SSO is ingeschakeld, moet deze worden uitgeschakeld en weer worden ingeschakeld zodra het Tomcat-certificaatregeneratieproces is voltooid.

    Op alle knooppunten (CallManager en IM&P) van het cluster:

    Stap 1. Navigeer naar Cisco Unified OS Administration > Security > Certificate Management > Find en controleert de vervaldatum van het Tomcat-certificaat.

    Stap 2. Klik op Generate CSR > Certificate Purpose: tomcat. Selecteer de gewenste instellingen voor het certificaat en klik vervolgens op Generate. Wacht tot het succesbericht verschijnt en klik op Close.

    Certificate Signing Request Generated

    Stap 3. Download de CSR. Klik Download CSR , selecteer Certificate Purpose: tomcat,  en klik op Download.

    Download Certificate Signing Request

    Stap 4. Verzend de MVO naar de certificaatautoriteit.

    Stap 5. De certificeringsinstantie retourneert twee of meer bestanden voor de ondertekende certificaatketen. Upload de certificaten in deze volgorde:

    • Root CA certificaat als tomcat-trust. Navigeer naar Certificate Management > Upload certificate > Certificate Purpose: tomcat-trustStel de beschrijving van het certificaat in en blader door het basiscertificaatbestand.
    • Tussentijds certificaat als tomcat-trust (optioneel). Navigeer naar Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust. Stel de beschrijving van het certificaat in en blader door het tussenliggende certificaatbestand.

    Opmerking: Sommige CA's geven geen tussentijds certificaat, als alleen het basiscertificaat werd verstrekt, kan deze stap worden weggelaten.

    • CA-ondertekend certificaat als tomcat. Navigeer naar Certificate Management > Upload certificate > Certificate Purpose: tomcat1. Stel de beschrijving van het certificaat in en blader door het CA-ondertekende certificaatbestand voor het huidige CUCM-knooppunt.

    Opmerking: Op dit punt vergelijkt CUCM de CSR en het geüploade CA-ondertekende certificaat. Als de informatie overeenkomt, verdwijnt de MVO en wordt het nieuwe CA-ondertekende certificaat geüpload. Als u een foutbericht ontvangt nadat het certificaat is geüpload, raadpleegt u de Upload Certificate Common Error Messages doorsnede.

    Stap 6. Om het nieuwe certificaat op de server te kunnen toepassen, moet de Cisco Tomcat-service via CLI worden herstart (start met Publisher, en vervolgens moeten abonnees, één voor één) de opdracht gebruiken utils service restart Cisco Tomcat.

    Om het Tomcat-certificaat te valideren wordt nu gebruikt door CUCM. Navigeer naar de webpagina van het knooppunt en selecteer Site Information  (Vergrendelingspictogram) in de browser, klikt u op de certificate  van het nieuwe certificaat.

    Certificate Option

    Certificate Information

    CallManager-certificaat

    Voorzichtig: Regenereer CallManager- en TVS-certificaten niet tegelijkertijd. Dit veroorzaakt een onherstelbare mismatch met de geïnstalleerde ITL op endpoints die de verwijdering van ITL van ALLE endpoints in het cluster vereist. Voltooi het gehele proces voor CallManager en zodra de telefoons terug zijn geregistreerd, start het proces voor de TVS.

    Opmerking: om te bepalen of het cluster in gemengde modus staat, navigeer u naar Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode (0 == niet-beveiligd; 1 == gemengde modus).

    Voor alle CallManager-knooppunten van het cluster:

    Stap 1. Navigeer naar Cisco Unified OS Administration > Security > Certificate Management > Find   en de verloopdatum van het CallManager-certificaat verifiëren.

    Stap 2. Klik op Generate CSR > Certificate Purpose: CallManager. Selecteer de gewenste instellingen voor het certificaat en klik vervolgens op Generate. Wacht tot het succesbericht verschijnt en klik op Close.

    Stap 3. Download de CSR. Klik Download CSR. Select Certificate Purpose: CallManager and click Download

    Stap 4. Verzend de MVO naar de Certificate Authority .

    Stap 5. De certificeringsinstantie retourneert twee of meer bestanden voor de ondertekende certificaatketen. Upload de certificaten in deze volgorde:

      • CA-certificaat als CallManager-trust. Navigeer naar Certificate Management > Upload certificate > Certificate Purpose: CallManager-trust. Stel de beschrijving van het certificaat in en blader door het basiscertificaatbestand.
      • Tussentijds certificaat als CallManager-trust (optioneel). Navigeer naar Certificate Management > Upload certificate > Certificate Purpose: CallManager-trust. Stel de beschrijving van het certificaat in en blader door het tussenliggende certificaatbestand.

    Opmerking: Sommige CA's geven geen tussentijds certificaat, als alleen het basiscertificaat werd verstrekt, kan deze stap worden weggelaten.

    • Door CA ondertekend certificaat als CallManager. Navigeer naar Certificate Management > Upload certificate > Certificate Purpose: CallManager. Stel de beschrijving van het certificaat in en blader door het CA-ondertekende certificaatbestand voor het huidige CUCM-knooppunt.

    Opmerking: Op dit punt vergelijkt CUCM de CSR en het geüploade CA-ondertekende certificaat. Als de informatie overeenkomt, verdwijnt de MVO en wordt het nieuwe CA-ondertekende certificaat geüpload. Als u een foutbericht ontvangt nadat het certificaat is geüpload, raadpleegt u de sectie Gemeenschappelijke foutmeldingen in uploadcertificaat.

    Stap 6. Als het cluster zich in de gemengde modus bevindt, update de CTL voordat de services opnieuw worden gestart: Token of Tokenloos. Als het cluster zich in de niet-beveiligde modus bevindt, slaat u deze stap over en gaat u verder met het opnieuw opstarten van de services.

    Stap 7. Om het nieuwe certificaat op de server toegepast te krijgen, moeten de vereiste services opnieuw opgestart worden (alleen als de service draait en actief is). Navigeren naar:

      • Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service
      • Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
      • Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
      • Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTIManager

    Stap 8. Zet alle telefoons terug:

        • Navigeer naar Cisco Unified CM Administration > System > Enterprise Parameters > Reset. Er verschijnt een pop-upvenster met de verklaring U staat op het punt alle apparaten in het systeem te resetten. Deze actie kan niet ongedaan worden gemaakt. Doorgaan? selecteren OK  en klik vervolgens op Reset .

    Opmerking: Monitorapparaatregistratie via RTMT. Zodra alle telefoons registreren terug kunt u met het volgende certificaattype te werk gaan.

    IPsec-certificaat

    Voorzichtig: Een back-up- of terugzettaak mag niet actief zijn wanneer het IPSec-certificaat wordt geregenereerd.

    Voor alle knooppunten (CallManager en IM&P) van het cluster:

    Stap 1. Navigeer naar Cisco Unified OS Administration > Security > Certificate Management > Find en de vervaldatum van het ipsec-certificaat te verifiëren.

    Stap 2. Klik op Generate CSR > Certificate Purpose: ipsec. Selecteer de gewenste instellingen voor het certificaat en klik vervolgens op Generate. Wacht totdat het succesbericht verschijnt en klik vervolgens op Sluiten.

    Stap 3. Download de CSR. Klik op CSR downloaden. Selecteer ipsec voor certificaatdoeleinden en klik op Downloaden.

    Stap 4. Verzend de MVO naar de certificaatautoriteit.

    Stap 5. De certificeringsinstantie retourneert twee of meer bestanden voor de ondertekende certificaatketen. Upload de certificaten in deze volgorde:

    • Root CA-certificaat als ipsec-trust. Navigeren naar certificaatbeheer > Uploadcertificaat > Doel certificaat: ipsec-trust. Stel de beschrijving van het certificaat in en blader door het basiscertificaatbestand.
    • Tussentijds certificaat als ipsec-trust (optioneel). Navigeren naar certificaatbeheer > Uploadcertificaat > Doel certificaat: Tomcat-trust. Stel de beschrijving van het certificaat in en blader door het tussenliggende certificaatbestand.

    Opmerking: Sommige CA's geven geen tussentijds certificaat, als alleen het basiscertificaat werd verstrekt, kan deze stap worden weggelaten.

      • Door CA ondertekend certificaat als ipsec. Navigeren naar certificaatbeheer > Uploadcertificaat > Doel certificaat: ipsec. Stel de beschrijving van het certificaat in en blader door het CA-ondertekende certificaatbestand voor het huidige CUCM-knooppunt.

    Opmerking: Op dit punt vergelijkt CUCM de CSR en het geüploade CA-ondertekende certificaat. Als de informatie overeenkomt, verdwijnt de MVO en wordt het nieuwe CA-ondertekende certificaat geüpload. Als u een foutbericht ontvangt nadat het certificaat is geüpload, raadpleegt u de sectie Gemeenschappelijke foutmeldingen uploaden van het uploadcertificaat</strong>.

    Stap 6. Om het nieuwe certificaat op de server toegepast te krijgen, moeten de vereiste services opnieuw opgestart worden (alleen als de service draait en actief is). Navigeren naar:

    • Cisco Unified Service > Tools > Control Center - netwerkservices > Cisco DRF Master(Uitgever)
    • Cisco Unified Servicability > Tools > Control Center - netwerkservices > Cisco DRF lokaal (uitgever en abonnees)

    CAPF-certificaat

    Opmerking: om te bepalen of het cluster in gemengde modus staat, moet u navigeren naar Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode (0 == niet-beveiligd; 1 == gemengde modus).

    Opmerking: CAPF service draait alleen in de uitgever, en dat is het enige certificaat dat wordt gebruikt. Het is niet nodig om Subscriber-knooppunten ondertekend te krijgen door een CA, omdat ze niet worden gebruikt. Als het certificaat in de abonnees is verlopen en u de waarschuwingen van verlopen certificaten wilt voorkomen, kunt u de CAPF-certificaten van de abonnee opnieuw genereren als zelfondertekend. Zie CAPF-certificaat als zelfondertekend voor meer informatie.

    In de uitgeverij:

    Stap 1. Navigeer naar Cisco Unified OS-beheer > Beveiliging > certificaatbeheer > Zoek en controleer de verloopdatum van het CAPF-certificaat.

    Stap 2. Klik op Generate CSR > Certificate Purpose: CAPF. Selecteer de gewenste instellingen voor het certificaat en klik vervolgens op Generate. Wacht tot het succesbericht verschijnt en klik op Sluiten.

    Stap 3. Download de CSR. Klik op CSR downloaden. Selecteer Certificaat Doel CAPF en klik op Downloaden.

    Stap 4. Verzend de MVO naar de certificaatautoriteit.

    Stap 5. De certificeringsinstantie retourneert twee of meer bestanden voor de ondertekende certificaatketen. Upload de certificaten in deze volgorde:

      • CA-basiscertificaat als CAPF-trust. Navigeren naar certificaatbeheer > Uploadcertificaat > Doel certificaat: CAPF-trust. Stel de beschrijving van het certificaat in en blader door het basiscertificaatbestand.
      • Tussentijds certificaat als CAPF-trust (optioneel). Navigeren naar certificaatbeheer > Uploadcertificaat > Doel certificaat: CAPF-trust. Stel de beschrijving van het certificaat in en blader door het tussenliggende certificaatbestand.

    Opmerking: Sommige CA's geven geen tussentijds certificaat, als alleen het basiscertificaat werd verstrekt, kan deze stap worden weggelaten.

    • Door CA ondertekend certificaat als CAPF. Navigeren naar certificaatbeheer > Uploadcertificaat > Doel certificaat: CAPF. Stel de beschrijving van het certificaat in en blader door het CA-ondertekende certificaatbestand voor het huidige CUCM-knooppunt.

    Opmerking: Op dit punt vergelijkt CUCM de CSR en het geüploade CA-ondertekende certificaat. Als de informatie overeenkomt, verdwijnt de MVO en wordt het nieuwe CA-ondertekende certificaat geüpload. Als u een foutbericht ontvangt nadat het certificaat is geüpload, raadpleegt u de sectie Gemeenschappelijke foutmeldingen in uploadcertificaat.

    Stap 6. Als het cluster zich in de gemengde modus bevindt, update de CTL voordat de services opnieuw worden gestart: Token of Tokenloos. Als het cluster zich in de niet-beveiligde modus bevindt, slaat u deze stap over en gaat u verder met het opnieuw opstarten van de service.

    Stap 7. Om het nieuwe certificaat op de server toegepast te krijgen, moeten de vereiste services opnieuw opgestart worden (alleen als de service draait en actief is). Navigeren naar:

    • Cisco Unified Service > Tools > Control Center - Netwerkservices > Cisco Trust Verification Service (Alle knooppunten waar de service wordt uitgevoerd)
    • Cisco Unified Servicability > Tools > Control Center - functieservices > Cisco TFTP (Alle knooppunten waar de service wordt uitgevoerd)
    • Cisco Unified Servicability > Tools > Control Center - functieservices > Cisco Certificate Authority Proxy-functie (uitgever)

    Stap 8. Zet alle telefoons terug:

    • Ga naar Cisco Unified CM Management > System > Enterprise Parameters > Reset. Er verschijnt een pop-upvenster met de verklaring U staat op het punt alle apparaten in het systeem te resetten. Deze actie kan niet ongedaan worden gemaakt. Doorgaan? Selecteer OK en klik vervolgens op Reset.

    Opmerking: Monitorapparaatregistratie via RTMT. Zodra alle telefoons registreren terug kunt u met het volgende certificaattype te werk gaan.

    TV-certificaat

    Voorzichtig: Regenereer CallManager- en TVS-certificaten niet tegelijkertijd. Dit veroorzaakt een onherstelbare mismatch met de geïnstalleerde ITL op endpoints die de verwijdering van ITL van ALLE endpoints in het cluster vereist. Voltooi het gehele proces voor CallManager en zodra de telefoons terug zijn geregistreerd, start het proces voor de TVS.

    Voor alle TVS-knooppunten van het cluster:

    Stap 1. Navigeer naar Cisco Unified OS-beheer > Beveiliging > certificaatbeheer > Zoek en controleer de verloopdatum van het TV-certificaat.

    Stap 2. Klik op Generate CSR > Certificate Purpose: TV. Selecteer de gewenste instellingen voor het certificaat en klik vervolgens op Generate. Wacht tot het succesbericht verschijnt en klik op Sluiten.

    Stap 3. Download de CSR. Klik op CSR downloaden. Selecteer TVS voor certificaatdoeleinden en klik op Downloaden.

    Stap 4. Verzend de MVO naar de certificaatautoriteit.

    Stap 5. De certificeringsinstantie retourneert twee of meer bestanden voor de ondertekende certificaatketen. Upload de certificaten in deze volgorde:

    • CA-basiscertificaat als TVS-trust. Navigeren naar certificaatbeheer > Uploadcertificaat > Doel certificaat: TVS-trust. Stel de beschrijving van het certificaat in en blader door het basiscertificaatbestand.
    • Tussentijds certificaat als TVS-trust (optioneel). Navigeren naar certificaatbeheer > Uploadcertificaat > Doel certificaat: TVS-trust. Stel de beschrijving van het certificaat in en blader door het tussenliggende certificaatbestand.

    Opmerking: Sommige CA's geven geen tussentijds certificaat, als alleen het basiscertificaat werd verstrekt, kan deze stap worden weggelaten.

    • Door CA ondertekend certificaat als TVS. Navigeren naar certificaatbeheer > Uploadcertificaat > Doel certificaat: TV. Stel de beschrijving van het certificaat in en blader door het CA-ondertekende certificaatbestand voor het huidige CUCM-knooppunt.

    Opmerking: Op dit punt vergelijkt CUCM de CSR en het geüploade CA-ondertekende certificaat. Als de informatie overeenkomt, verdwijnt de MVO en wordt het nieuwe CA-ondertekende certificaat geüpload. Als u een foutbericht ontvangt nadat het certificaat is geüpload, raadpleegt u de sectie Gemeenschappelijke foutmeldingen in uploadcertificaat.

    Stap 6. Om het nieuwe certificaat op de server toegepast te krijgen, moeten de vereiste services opnieuw opgestart worden (alleen als de service draait en actief is). Navigeren naar:

    • Cisco Unified Servicability > Tools > Control Center - functieservices > Cisco TFTP (Alle knooppunten waar de service wordt uitgevoerd)
    • Cisco Unified Service > Tools > Control Center - Netwerkservices > Cisco Trust Verification Service (Alle knooppunten waar de service wordt uitgevoerd)

    Stap 7. Reset alle telefoons:

    • Ga naar Cisco Unified CM Management > System > Enterprise Parameters > Reset. Er verschijnt een pop-upvenster met de verklaring U staat op het punt alle apparaten in het systeem te resetten. Deze actie kan niet ongedaan worden gemaakt. Doorgaan? Selecteer OK en klik vervolgens op Reset.

    Opmerking: Monitorapparaatregistratie via RTMT. Zodra alle telefoons registreren terug kunt u met het volgende certificaattype te werk gaan.

    Probleemoplossing voor gebruikelijke geüploade certificaatfoutmeldingen

    In deze sectie worden enkele van de meest voorkomende foutmeldingen weergegeven wanneer een CA-ondertekend certificaat is geüpload.

    CA-certificaat is niet beschikbaar in de Trust-Store

    Deze fout betekent dat het wortel- of tussencertificaat niet naar de CUCM is geüpload. Controleer of deze twee certificaten zijn geüpload als vertrouwensarchief voordat het servicecertificaat wordt geüpload.

    Bestand /usr/local/platform/.security/tomcat/keys/tomcat.csr bestaat niet

    Deze fout verschijnt wanneer een MVO niet bestaat voor het certificaat (tomcat, callmanager, ipsec, capf, tvs). Controleer of de MVO eerder is opgesteld en of het certificaat op basis van die MVO is opgesteld. Belangrijke punten in gedachten houden:

    • Er kan slechts 1 MVO per server en certificaattype bestaan. Dat betekent dat als er een nieuwe MVO wordt gecreëerd, de oude vervangen wordt.
    • Wildcard-certificaten worden niet ondersteund door CUCM.
    • Het is niet mogelijk een servicecertificaat te vervangen dat momenteel van kracht is zonder een nieuwe MVO.
    • Een andere mogelijke fout voor hetzelfde probleem is "Het bestand /usr/local/platform/upload/certs//tomcat.der kan niet worden geüpload." Dit hangt af van de CUCM-versie.

    MVO Openbare sleutel en Certificaat Openbare sleutel komen niet overeen

    Deze fout verschijnt wanneer het door CA verstrekte certificaat een andere openbare sleutel heeft dan die in het CSR-bestand wordt verzonden. Mogelijke redenen zijn:

    • Het onjuiste certificaat (misschien van een ander knooppunt) is geüpload.
    • Het CA-certificaat is gegenereerd met een andere MVO.
    • De MVO werd geregenereerd en verving de oude MVO die werd gebruikt om het ondertekende certificaat te verkrijgen.

    Om de MVO en certificaat openbare sleutel match te verifiëren, zijn er meerdere tools online zoals SSL

    SSLshopper

    Een andere mogelijke fout voor hetzelfde probleem is "Het bestand /usr/local/platform/upload/certs//tomcat.der kan niet worden geüpload." Dit hangt af van de CUCM-versie.

    MVO alternatieve naam (SAN) en certificaat SAN komt niet overeen

    De SAN’s tussen de CSR en het certificaat moeten hetzelfde zijn. Dit voorkomt certificering voor domeinen die niet zijn toegestaan. Voer de volgende stappen uit om de SAN-fout te verifiëren:

    1. Decodeer de MVO en het certificaat (basis 64). Er zijn verschillende decoders online beschikbaar, zoals de decoder

    2. Vergelijk de SAN-vermeldingen en controleer of ze allemaal overeenkomen. De volgorde is niet belangrijk, maar alle vermeldingen in de MVO moeten dezelfde zijn in het certificaat. 

    Het CA-ondertekende certificaat heeft bijvoorbeeld twee extra SAN-vermeldingen toegevoegd, de gemeenschappelijke naam van het certificaat en een extra IP-adres.

    Check if CSR matches Certificate

    3. Zodra u hebt vastgesteld dat het SAN niet overeenkomt, kunt u dit op twee manieren oplossen:

    1. Vraag uw CA-beheerder om een certificaat uit te geven met exact dezelfde SAN-vermeldingen die in de CSR worden verzonden.
    2. Maak een CSR in CUCM die voldoet aan de eisen van de CA.

    U kunt de door de CUCM gemaakte MVO als volgt wijzigen:

    1. Als CA het domein verwijdert, kan een CSR in CUCM worden gemaakt zonder het domein. Terwijl de creatie van MVO, verwijder het domein dat door gebrek wordt bevolkt.
    2. Als een multi-SAN-certificaat wordt aangemaakt, zijn er bepaalde certificeringsinstanties die de "-ms" niet accepteren in de algemene naam. De "-ms" kan worden verwijderd uit de MVO wanneer deze wordt gecreëerd. 

    Remove MS

    3. Een andere naam toevoegen dan die welke automatisch door CUCM zijn ingevuld:

    1. Als het Multi-SAN-certificaat wordt gebruikt, kan meer FQDN worden toegevoegd. (IP-adressen worden niet geaccepteerd.)

    Extra SAN

    b. Als het certificaat één knooppunt is, gebruikt u de  set web-security  uit. Deze opdracht is zelfs van toepassing op multi-SAN-certificaten. (Elke vorm van domein kan worden toegevoegd, ook IP-adressen zijn toegestaan.)

    Zie de Opdrachtlijnhandleiding voor meer informatie.

    Trustcertificaten met dezelfde GN worden niet vervangen

    CUCM is ontworpen om slechts één certificaat met dezelfde algemene naam en hetzelfde certificaattype op te slaan. Dit betekent dat als een certificaat dat tomcat-trust is, reeds in de databank bestaat en moet worden vervangen door een nieuw certificaat met dezelfde GN, CUCM het oude certificaat verwijdert en vervangt door het nieuwe.

    Er zijn enkele gevallen waarin CUCM het oude certificaat niet vervangt:

    1. Het geüploade certificaat is verlopen: CUCM staat u niet toe om een verlopen certificaat te uploaden.
    2. Het oude certificaat heeft een recentere "VANAF"-datum dan het nieuwe certificaat. CUCM houdt het meest recente certificaat en om een oudere "VAN" datum te hebben catalogiseert het als ouder. Voor dit scenario, is het noodzakelijk om het ongewenste certificaat te wissen en dan het nieuwe te uploaden.

    Old Certificate Compared to New Certificate

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    14-Sep-2022
    Hercertificering
    1.0
    17-May-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Danny Duran
      Cisco TAC Project Manager

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten