Zelfondertekende certificaten voor Unified Communications Manager IM & Presence Service

Downloadopties

  • PDF     (328.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (166.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (114.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:17 maart 2020
Document-id:215333

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document biedt een aanbevolen stapsgewijze procedure voor het regenereren van certificaten in Unified Communications Manager IM & Presence Service 8.x en hoger.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:
    · IM/P (IM en Presence)-certificaten

    Gebruikte componenten

    · IM/P release 8.X en hoger

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Gebruik van certificaatarchief

    CUP-certificaat (Cisco Unified Presence)

    · Gebruikt voor beveiligde SIP-verbindingen voor SIP Federation, Microsoft Remote Call Control voor Lync/OCS/LCS, beveiligde verbinding tussen CUCM en IM/P, enz.

    CUP-XMPP (Cisco Unified Presence - Uitbreidbaar Messaging and Presence Protocol)-certificaat

    · Gebruikt om beveiligde verbinding voor XMPP-client te valideren wanneer XMPP-sessie wordt gemaakt.

    CUP-XMPP-S2S (Cisco Unified Presence - Extensible Messaging and Presence Protocol - Server to Server)-certificaat

    · Gebruikt om beveiligde verbinding voor XMPP interdomain federatie met extern gefedereerd XMPP systeem te valideren.

    IPsec-certificaat (IP-beveiliging)

    · Gebruikt voor het valideren van een beveiligde verbinding voor DRS (Disaster Recovery System)/DRF (Disaster Recovery Framework).
    · Gebruikt om beveiligde verbinding voor IPsec-tunnels met CUCM (Cisco Unified Communications Manager) en IM/P-knooppunten in een cluster te valideren.

    Tomcat Certificate

    · Gebruikt om diverse webtoegang te valideren, zoals toegang tot servicepagina's van andere knooppunten in het cluster en Jabber Access.
    · Gebruikt om beveiligde verbinding voor SSO te valideren (SAML Single Sign-On)

    · Gebruikt om beveiligde verbinding voor Intercluster Peer te valideren

    Certificaatregeneratieproces

    CUP-certificaat

    Stap 1. Open een GUI voor elke server in uw cluster. Start met de IM/P-uitgever, open vervolgens een GUI (Graphical User Interface - grafische gebruikersinterface) voor elke IM/P-abonneeserver en navigeer naar Cisco Unified OS-beheer > Beveiliging > certificaatbeheer

    Stap 2. Begin met de uitgever GUI, selecteer Find om alle certificaten te tonen.

    · Selecteer het beker.pem Certificaat.

    · Selecteer na het openen de optie Regenereren en wacht tot u Success ziet voordat de pop-up wordt gesloten.

    Stap 3. Ga verder met volgende abonnees; volg dezelfde procedure in stap 2 en vul alle abonnees in uw cluster in.

    Stap 4.  Nadat het CUP-certificaat op alle knooppunten is geregenereerd, moeten deze services in de volgende volgorde worden herstart:

    Opmerking: Als de configuratie van de Presence Redundancy Group de optie Hoge beschikbaarheid inschakelen heeft ingeschakeld, schakelt u deze optie uit voordat de volgende services opnieuw worden gestart. De configuratie van de Presence Redundancy Group kan worden benaderd bij CUCM Pub Administration > System > Presence Redundancy Group. Een herstart van de services, hieronder, zal tijdelijke stroomonderbreking van IM/P veroorzaken en moet buiten de productie-uren plaatsvinden.

    · Log in op de Cisco Unified Servicability van de uitgever

       a. Cisco Unified Service > Tools > Control Center - functieservices

       b. Start Cisco SIP Proxyservice opnieuw.

       c. Nadat de service is herstart, gaat u door met de abonnees en start u de Cisco SIP Proxy-service opnieuw

       d. Begin met de uitgever en ga vervolgens door met de abonnees. Start de Cisco SIP Proxy-service opnieuw (ook vanuit Cisco Unified Service > Tools > Control Center - Feature Services).

    · Log in op de Cisco Unified Servicability van de uitgever

       a. Cisco Unified Service > Tools > Control Center - functieservices

       b. Start Cisco Presence Engine-service opnieuw.

       c. Nadat de service is opgestart, gaat u verder met Herstart van Cisco Presence Engine Service op de abonnees.

    Opmerking: Indien geconfigureerd voor SIP Federation, herstart Cisco XCP SIP Federation Connection Manager service (gevestigd op Cisco Unified Servicability > Tools > Control Center - Feature Services); begin met de uitgever en ga vervolgens verder met de abonnees.

    CUP-XMPP certificaat

    Opmerking: Aangezien Jabber gebruik maakt van de CUCM tomcat en IM/P tomcat en cup-xmpp servercertificaten om de verbindingen voor tomcat en cup-xmpp services te valideren, zijn deze CUCM en IM/P certificaten in de meeste gevallen CA-ondertekend. Als het jabber-apparaat niet beschikt over de root en een tussenliggend certificaat dat deel uitmaakt van het CUP-XMPP-certificaat dat is geïnstalleerd in de bijbehorende vertrouwensopslag, zal de jabber-client een veiligheidswaarschuwing weergeven die verschijnt voor het onvertrouwde certificaat. Als het nog niet is geïnstalleerd in het certificaatvertrouwensarchief van het jabber-apparaat, moeten de wortel en elk tussenliggend certificaat naar het jabber-apparaat worden geduwd via groepsbeleid, mdm, e-mail, etc. afhankelijk van de jabber-client.

    Opmerking: Als het CUP-XMMP-certificaat zelf is ondertekend, verschijnt er een pop-up met een beveiligingswaarschuwing voor het onbetrouwbare certificaat als het CUP-XMPP-certificaat niet is geïnstalleerd in het certificaatvertrouwensarchief van het jabber-apparaat. Als het certificaat nog niet is geïnstalleerd in de vertrouwenswinkel voor het jabber-apparaat, moet het zelfondertekende CUP-XMPP certificaat naar het jabber-apparaat worden geduwd via groepsbeleid, mdm, e-mail, etc. afhankelijk van de jabber-client.

    Stap 1. Open een GUI voor elke server in uw cluster. Start met de IM/P-uitgever, open vervolgens een GUI voor elke IM/P-abonneeservers en navigeer naar Cisco Unified OS-beheer > Beveiliging > certificaatbeheer

    Stap 2. Begin met de uitgever GUI, selecteer Find om alle certificaten te tonen.

    · Bepaal vanuit de kolom Type voor het cup-xmpp.pem Certificaat of het zelfondertekend of CA-ondertekend is.

    · Als het cup-xmpp.pem certificaat een door een derde ondertekende (type CA-ondertekende) distributie multi-SAN is, raadpleeg dan de volgende link bij het genereren van een multi-SAN cup-xmpp CSR en het indienen bij CA voor CA-ondertekende cup-xmpp certificaat, Unified Communications Cluster Setup met CA-Onderwerp Alternate Name Configuration Voorbeeld

    · Als het cup-xmpp.pem Certificaat door een derde ondertekend (type CA-ondertekend) distributie enkele knooppunt is (distributienaam is gelijk aan de algemene naam voor het certificaat), bekijk dan de volgende link over het genereren van single-node cup-xmpp CSR en het indienen bij CA voor CA-ondertekend cup-xmpp certificaat, Jabber Complete How-To Guide voor certificaatvalidatie

    · Als het cup-xmpp.pem Certificaat Zelfondertekend is ga verder naar Stap 3.

    Stap 3. Selecteer Zoeken om alle certificaten weer te geven
    · Selecteer het beker-xmpp.pem Certificaat.
    · Selecteer na het openen Regenerate (Regenereren) en wacht tot u Success (Succes) ziet voordat de pop-up wordt gesloten.

    Stap 4. Ga verder met volgende abonnees; volg dezelfde procedure in stap 2 en vul alle abonnees in uw cluster in.

    Stap 5. Nadat het CUP-XMPP-certificaat op alle knooppunten is geregenereerd, moet Cisco XCP-routerservice op de IM/P-knooppunten worden herstart:

    Opmerking: Als de Configuratie van de Groep van de Redundantie van de Aanwezigheid Hoge gecontroleerde Beschikbaarheid heeft toegelaten, uncheck dit alvorens de dienst opnieuw is begonnen. De Configuratie van de Groep van de Redundantie van de aanwezigheid kan bij het Beheer van de Trommel CUCM > Systeem > de Groep van de Redundantie van de Aanwezigheid worden betreden. Een herstart van de service, hieronder, zal een tijdelijke stroomonderbreking van IM/P veroorzaken en moet buiten de productie-uren plaatsvinden.

    · Log in op de Cisco Unified Servicability van de uitgever
       a. Cisco Unified Service > Tools > Control Center - netwerkservices
       b. Start Cisco XCP routerservice opnieuw.
       c. Zodra het opnieuw opstarten van de service is voltooid, gaat u verder met het opnieuw opstarten van de Cisco XCP-routerservice op de abonnees.

    CUP-XMPP-S2S-certificaat

    Stap 1. Open een GUI voor elke server in uw cluster. Start met de IM/P-uitgever, open vervolgens een GUI voor elke IM/P-abonneeservers en navigeer naar Cisco Unified OS-beheer > Beveiliging > certificaatbeheer

    Stap 2. Begin met de uitgever GUI, selecteer Find om alle certificaten te tonen.
    · Selecteer het cup-xmpp-s2s.pem Certificaat.
    · Selecteer na het openen de optie Regenereren en wacht tot u Success ziet voordat de pop-up wordt gesloten.

    Stap 3. Ga verder met volgende abonnees; volg dezelfde procedure in stap 2 en vul alle abonnees in uw cluster in.

    Stap 4. Nadat het CUP-XMPP-S2S-certificaat op alle knooppunten is geregenereerd, moeten deze services in de volgende volgorde worden herstart:

    Opmerking: Als de Configuratie van de Groep van de Redundantie van de Aanwezigheid Hoge gecontroleerde Beschikbaarheid heeft toegelaten, uncheck dit alvorens deze diensten zijn opnieuw begonnen. De Configuratie van de Groep van de Redundantie van de aanwezigheid kan op het Beheer van de Trommel CUCM > Systeem > de Groep van de Redundantie van de Aanwezigheid worden betreden. Een herstart van de services, hieronder, zal een tijdelijke stroomonderbreking van IM/P veroorzaken en moet buiten de productie-uren gebeuren.


    · Log in op de Cisco Unified Servicability van de uitgever
       a. Cisco Unified Service > Tools > Control Center - netwerkservices
       b. Start de Cisco XCP routerservice opnieuw.
       c. Zodra het opnieuw opstarten van de service is voltooid, gaat u door met het opnieuw starten van de Cisco XCP Router-service op de abonnees.

    · Log in op de Cisco Unified Servicability van de uitgever

       a. Cisco Unified Service > Tools > Control Center - functieservices

       b. Start de Cisco XCP XMPP Federation Connection Manager-service opnieuw.

       c. Nadat de service is opgestart, gaat u verder met de herstart van de Cisco XCP XMPP Federation Connection Manager-service op de abonnees.

    IPSEC-certificaat

    Opmerking: Het ipsec.pem certificaat in de CUCM-uitgever moet geldig zijn en moet aanwezig zijn in alle abonnees (CUCM- en IM/P-knooppunten) in de IPSEC-truststore. Het IPSEC.pem-certificaat van abonnees zal niet in de uitgever aanwezig zijn als IPSEC truststore in een standaardimplementatie. Om de geldigheid te verifiëren vergelijk de serienummers in het ipsec.pem certificaat van de CUCM-PUB met het IPSEC-vertrouwen in de abonnees. Ze moeten overeenkomen.

    Opmerking: Het Disaster Recovery System maakt gebruik van een op SSL (Secure Socket Layer) gebaseerde communicatie tussen de Master Agent en de Local Agent voor verificatie en codering van gegevens tussen de CUCM-clusterknooppunten (CUCM- en IM/P-knooppunten). DRS maakt gebruik van de IPSec-certificaten voor de Public/Private Key-codering. Houd er rekening mee dat als u het bestand IPSEC truststore (hostname.pem) van de pagina Certificaatbeheer verwijdert, DRS niet werkt zoals verwacht. Als u het IPSEC-trust bestand handmatig verwijdert, moet u ervoor zorgen dat u het IPSEC-certificaat uploadt naar de IPSEC-truststore. Raadpleeg de Help-pagina voor certificaatbeheer in de Cisco Unified Communications Manager Security Guides voor meer informatie.


    Stap 1. Open een GUI voor elke server in uw cluster. Start met de IM/P-uitgever, open vervolgens een GUI voor elke IM/P-abonneeservers en navigeer naar Cisco Unified OS-beheer > Beveiliging > certificaatbeheer

    Stap 2. Begin met de uitgever GUI, selecteer Find om alle certificaten te tonen.
    · Selecteer het ipsec.pem certificaat.
    · Selecteer na het openen de optie Regenereren en wacht tot u Success ziet voordat de pop-up wordt gesloten.

    Stap 3. Ga verder met volgende abonnees; volg dezelfde procedure in stap 2 en vul alle abonnees in uw cluster in.

    Stap 4. Nadat alle knooppunten het IPSEC-certificaat opnieuw hebben gegenereerd, start u de volgende services opnieuw:
    · Navigeer naar de Cisco Unified Servicability van de uitgever Cisco Unified Servicability > Tools > Control Center - Network Services
       a. Selecteer Herstart op Cisco DRF-hoofdservice
       b. Nadat de service is herstart, selecteert u Herstart van de lokale service van Cisco DRF op de uitgever en gaat u vervolgens op elke abonnee door met Herstart van de lokale service van Cisco DRF.

    TOMCAT-certificaat

    Opmerking: Aangezien Jabber gebruik maakt van de CUCM tomcat en IM/P tomcat en cup-xmpp servercertificaten om de verbindingen voor tomcat en cup-xmpp services te valideren, zijn deze CUCM en IM/P certificaten in de meeste gevallen CA-ondertekend. Als het jabber apparaat niet de wortel en een tussenliggend certificaat dat deel uitmaakt van het Tomcat-certificaat geïnstalleerd in zijn certificaatvertrouwensopslag, zal de jabber client een veiligheidswaarschuwing pop-up voor het onvertrouwde certificaat tonen. Als het nog niet is geïnstalleerd in het certificaatvertrouwensarchief van het jabber-apparaat, moeten de wortel en elk tussenliggend certificaat naar het jabber-apparaat worden geduwd via groepsbeleid, mdm, e-mail, etc. afhankelijk van de jabber-client.

    Opmerking: Als het Tomcat-certificaat zelf is ondertekend, toont de jabber-client een veiligheidswaarschuwing pop-up voor het onbetrouwbare certificaat, als het Tomcat-certificaat niet is geïnstalleerd in het certificaatvertrouwensarchief van het jabber-apparaat. Als het certificaat nog niet is geïnstalleerd in de vertrouwenswinkel voor het jabber-apparaat, moet het zelfondertekende CUP-XMPP certificaat naar het jabber-apparaat worden geduwd via groepsbeleid, mdm, e-mail, etc. afhankelijk van de jabber-client.

    Stap 1. Open een GUI voor elke server in uw cluster. Start met de IM/P-uitgever, open vervolgens een GUI voor elke IM/P-abonneeservers en navigeer naar Cisco Unified OS-beheer > Beveiliging > certificaatbeheer

    Stap 2. Begin met de uitgever GUI, selecteer Find om alle certificaten te tonen.
    · Bepaal vanuit de kolom Type voor het tomcat.pem-certificaat of het zelfondertekend of CA-ondertekend is.

    · Als het tomcat.pem-certificaat door een derde partij is ondertekend (type CA-ondertekend), bekijk dan de volgende link over hoe u een multi-SAN tomcat CSR kunt genereren en verstuur naar CA voor CA-ondertekend tomcat-certificaat, Unified Communications Cluster Setup met CA-ondertekend multi-server Onderwerp Alternate Name Configuration Voorbeeld


    Opmerking: De multi-SAN tomcat CSR wordt gegenereerd op de CUCM Publisher en wordt gedistribueerd naar alle CUCM- en IM/P-knooppunten in het cluster.

    · Als het tomcat.pem-certificaat door een derde partij is ondertekend (type CA-ondertekend) distributie enkele knooppunt (distributienaam is gelijk aan de algemene naam voor het certificaat), bekijk dan de volgende link bij het genereren van single-node cup-xmpp CSR en het indienen bij CA voor CA-ondertekend cup-xmpp certificaat, Jabber Complete How-To Guide voor certificaatvalidatie

    · Als het tomcat.pem-certificaat zelfondertekend is, ga dan door naar stap 3.

    Stap 3. Selecteer Zoeken om alle certificaten weer te geven
    · Selecteer het certificaat tomcat.pem
    · Selecteer eenmaal Regenerate en wacht tot u de pop-up Success ziet voordat de pop-up wordt gesloten.

    Stap 4. Ga verder met elke volgende Subscriber, volg dezelfde procedure in stap 2 en vul alle Subscribers in uw cluster in.

    Stap 4. Nadat alle knooppunten het Tomcat-certificaat opnieuw hebben gegenereerd, start u de Tomcat-service op alle knooppunten opnieuw. Begin met de uitgever, gevolgd door de abonnees.
    · Om de Tomcat-service opnieuw te kunnen starten, moet u een CLI-sessie voor elke knooppunt openen en de opdrachtprogramma's voor het opnieuw opstarten van Cisco Tomcat uitvoeren, zoals in de afbeelding:

    Verlopen vertrouwenscertificaten verwijderen

    Opmerking: Trustcertificaten (eindigend in -trust) kunnen indien nodig worden verwijderd. Vertrouwelijke certificaten die kunnen worden verwijderd zijn certificaten die niet langer nodig zijn, zijn verlopen of zijn verouderd. De vijf identiteitsbewijzen niet wissen: de certificaten cup.pem, cup-xmpp.pem, cup-xmpp-s2s.pem, ipsec.pem en tomcat.pem.  De service herstart, hieronder, zijn ontworpen om alle informatie in het geheugen van deze legacy certificaten binnen die services te wissen.

    Opmerking: Als de Configuratie van de Groep van de Redundantie van de Aanwezigheid Hoge Beschikbaarheid heeft gecontroleerd, uncheck dit alvorens een dienst wordt tegengehouden/begonnen of opnieuw begonnen. De Configuratie van de Groep van de Redundantie van de aanwezigheid kan bij het Beheer van de Trommel CUCM > Systeem > de Groep van de Redundantie van de Aanwezigheid worden betreden. Een herstart van een deel van de service, hieronder, zal een tijdelijke stroomonderbreking van IM/P veroorzaken en moet buiten de productie-uren plaatsvinden.

    Stap 1. Navigeer naar Cisco Unified Service > Tools > Control Center - Network Services

    · Selecteer in het uitrolmenu uw IM/P-uitgever, selecteer Stop van Cisco Certificate Expiry Monitor, gevolgd door Stop van Cisco Intercluster Sync Agent

    · Herhaal Stop van deze diensten voor elke IM/P knoop in uw cluster

    Opmerking: Als het Tomcat-trust-certificaat moet worden verwijderd, navigeer dan naar Cisco Unified Service > Tools > Control Center - Network Services van de CUCM Publisher

    · Selecteer vanuit de uitrollijst de CUCM Publisher
    · Selecteer Stop van de monitor van het Verval van het Cisco-certificaat, gevolgd door Stop van de Kennisgeving van de verandering van het Cisco-certificaat
    · Herhaal voor elke CUCM-knooppunt in uw cluster

    Stap 2. Navigeer naar Cisco Unified OS-beheer > Beveiliging > Certificaatbeheer > Zoeken
    · Vind de verlopen vertrouwenscertificaten. (Voor versies 10.X en hoger kunt u filteren op Vervaldatum. Van versies onder 10.0 moet u de specifieke certificaten handmatig of via de RTMT-waarschuwingen indien ontvangen.
    · Hetzelfde vertrouwenscertificaat kan in meerdere knooppunten verschijnen. Het moet van elk knooppunt afzonderlijk worden verwijderd.
    · Selecteer het certificaat dat moet worden verwijderd (afhankelijk van uw versie krijgt u een pop-up of u wordt naar het certificaat op dezelfde pagina navigeren)
       · Selecteer Verwijderen (u krijgt een pop-up die begint met u op het punt staat dit certificaat permanent te verwijderen...)
       · Selecteer OK

    Stap 3. Herhaal het proces voor elk te verwijderen vertrouwenscertificaat

    Stap 4. Na voltooiing moeten de diensten die rechtstreeks verband houden met de verwijderde certificaten, opnieuw worden opgestart.

    · CUP-trust: Cisco SIP proxy, Cisco Presence Engine en indien geconfigureerd voor SIP Federation, Cisco XCP SIP Federation Connection Manager (zie sectie CUP-certificaat)
    · CUP-XMPP-trust: Cisco XCP router (zie sectie CUP-XMPP certificaat)
    · CUP-XMPP-S2S-trust: Cisco XCP router en Cisco XCP XMPP Federation Connection Manager
    · IPSEC-trust: Lokale DRF-master/DRF (zie sectie IPSEC-certificaat)
    Tomcat-trust: Start Tomcat Service opnieuw via opdrachtregel (zie sectie Tomcat-certificaat)

    Stap 5. Start eerder gestopt in stap 1

    Verifiëren

    Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

    Problemen oplossen

    Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    17-Mar-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Adrian Esquillo

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco