Hebt u een account?

  •   Gepersonaliseerde content
  •   Uw producten en ondersteuning

Hebt u een account nodig?

Account maken

Unified Communications Manager IM& regenereren; Aanwezige zelf-ondertekende certificaten voor services

Downloadopties

  • PDF     (178.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (169.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (117.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:17 maart 2020
Document-id:215333
Over de vertaling

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document biedt een aanbevolen stap-voor-stap procedure voor het regenereren van certificaten in Unified Communications Manager IM & Presence Service 8.X en hoger.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:
    ・ IM/P (IM and Presence)-certificaten

    Gebruikte componenten

    ・ IM/P release 8.X en hoger

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

    Achtergrondinformatie

    certificaatgebruik

    CUP-certificaat (Cisco Unified Presence)

    ・ Gebruikt voor beveiligde SIP-verbindingen voor SIP Federation, Microsoft Remote Call Control voor Lync/OCS/LCS, Secure Connection tussen CUCM en IM/P, enzovoort.

    CUP-XMPP-certificaat (Cisco Unified Presence - Extensible Messaging and Presence Protocol)

    ・ Gebruikt om veilige verbinding voor XMPP-client te valideren wanneer er een XMPP-sessie wordt gemaakt.

    CUP-XMPP-S2S (Cisco Unified Presence - Uitbreidbaar Messaging and Presence Protocol - Server to Server)-certificaat

    ・ Gebruikt om veilige verbinding voor XMPP interdomeinfederatie met een extern gefedereerd XMPP-systeem te valideren.

    IP-beveiligingscertificaat (IPSec)

    ・ Gebruikt om beveiligde verbinding voor DRS (Noodherstelsysteem)/DRF (Noodherstelkader) te valideren.
    ・ Gebruikt om veilige verbinding voor IPsec-tunnels naar CUCM (Cisco Unified Communications Manager) en IM/P-knooppunten in cluster te valideren.

    Tomkaaimatum

    ・ Gebruikt om verschillende web access, zoals toegang tot servicepagina's van andere knooppunten in het cluster en Jabber Access, te valideren.
    ・ Gebruikt om beveiligde verbinding voor SSO te valideren (SAML single aanmelding)

    ・ Gebruikt om veilige verbinding voor Intercluster Peer te valideren

    Regeneratieproces van certificaten

    CUP-certificaat

    Stap 1. Open een GUI voor elke server in uw cluster. Begin met de IM/P uitgever, open dan een GUI (Graphical User Interface - grafische gebruikersinterface) aan elke IM/P-abonneeservers en navigeer naar Cisco Unified OS-beheer > Beveiliging > certificaatbeheer

    Stap 2. Begin met de uitgever GUI, selecteer Zoeken om alle certificaten weer te geven.

    Selecteer het certificaat voor beker.pem.

    ・ Selecteer na het openen de optie Opnieuw genereren en wacht tot u Success ziet voordat de pop-up wordt gesloten.

    Stap 3. Ga door met de volgende abonnees; Volg dezelfde procedure in stap 2 en compleet voor alle abonnees in uw cluster.

    Stap 4.  Nadat het CUP-certificaat op alle knooppunten is geregenereerd, moeten deze services in de volgende volgorde worden herstart:

    Opmerking: Als de configuratie van de Presence Redundancy Group hoge beschikbaarheid ingeschakeld heeft, moet u de volgende services opnieuw controleren voordat u deze herstart. De configuratie van de groep van de Redundantie kan worden geraadpleegd bij CUCM Pub Administration > System > Presence Redundancy Group. Een nieuwe start van de volgende diensten zal een tijdelijke onderbreking van de IM/P tot gevolg hebben en moet buiten de productietijd plaatsvinden.

    ・ Meld u aan bij Cisco Unified Services

       a. Cisco Unified Services > Tools > Control Center - functieservices

       b. Start Cisco SIP-proxy opnieuw.

       c. Nadat de service opnieuw is gestart, gaat u verder met de abonnees en herstart de Cisco SIP Proxy-service

       d. Begin met de Uitgever en ga dan verder met de abonnees, Start Cisco SIP Proxy-service (ook via Cisco Unified Services > Gereedschappen > Control Center - Functieservices).

    ・ Meld u aan bij Cisco Unified Services

       a. Cisco Unified Services > Tools > Control Center - functieservices

       b. Start Cisco Presence Engine opnieuw.

       c. Nadat de service opnieuw is opgestart, kunt u de Cisco Presence Engine Service op de abonnees opnieuw starten.

    Opmerking: Indien geconfigureerd voor SIP-Federatie, herstart de service Cisco XCP SIP Connection Manager (bevindt zich op Cisco Unified Services > Tools > Control Center - functieservices); Begin met de uitgever en ga verder met de abonnees.

    CUP-XMPP-certificaat

    Opmerking: Aangezien Jabber de CUCM tomcat- en IM/P tomcat- en beker-xmpp servercertificaten gebruikt om de verbindingen voor Tomcat- en cup-XP-diensten te valideren, zijn deze CUCM- en IM/P-certificaten in de meeste gevallen CA-ondertekend. Als de jabber-machine niet de wortel en een intermediair certificaat heeft dat deel uitmaakt van het CUP-XMPP-certificaat en in de certificaattrustwinkel is geïnstalleerd, verschijnt de jabber-client een beveiligingswaarschuwing voor het onvertrouwde certificaat. Indien niet reeds geïnstalleerd in de certificatenwinkel van jabber device moeten de wortel en elk tussentijds certificaat naar het jabber-apparaat worden geduwd door groepsbeleid, mdm, e-mail, enz., afhankelijk van de jabber-client.

    Opmerking: Als het CUP-XMMP-certificaat zelf is getekend, geeft de jabber-client een beveiligingswaarschuwing voor het onvertrouwde certificaat weer als het CUP-XMPP-certificaat niet is geïnstalleerd in de certificaattrustwinkel van het jabber-apparaat. Als het niet al in de certificaattrustwinkel van jabber-apparaat is geïnstalleerd, moet het door de eigenaren ondertekende CUP-XMPP-certificaat aan de jabber-machine worden geduwd door middel van groepsbeleid, mdm, e-mail, enzovoort, afhankelijk van de jabber-client.

    Stap 1. Open een GUI voor elke server in uw cluster. Start met de IM/P-uitgever en open vervolgens een GUI voor elke IM/P-abonneeservers en navigeer naar Cisco Unified OS-beheer > Security > certificaatbeheer

    Stap 2. Begin met de uitgever GUI, selecteer Zoeken om alle certificaten weer te geven.

    ・ Bepaal in de kolom Type voor het cup-xmpp.pem-certificaat of het zelf-ondertekend is of dat het CA-teken is.

    ・ Als het cup-xmpp.pem-certificaat door derden ondertekend (type CA-ondertekend) distributie multiSAN is, bekijk dan de volgende link bij het genereren van een multi-SAN beker-XP CSR en het doorsturen naar CA voor een CA-ondertekend bekerxmpp-certificaat, Unified Communications Cluster Setup met CA-ondertekende multi-server Onderwerp Alternate Name Configuration Voorbeeld

    ・ Als het bekertje-xmpp.pem-certificaat door derden is ondertekend (type CA-ondertekend) distributieknooppunt (distributienaam is gelijk aan de gezamenlijke naam voor het certificaat), herzie dan de volgende link bij het genereren van bekertjes-xmpp-CSR en het overhandigen aan CA voor een bekertje-xmpp-certificaat, Jabber Complete How-To-Guide voor certificaatvalidatie

    ・ Als het beker-xmpp.pem-certificaat zelf is ondertekend, gaat u verder naar Stap 3.

    Stap 3. Selecteer Zoeken om alle certificaten weer te geven
    Selecteer het bekermodel van de XP.pem-certificaat.
    ・ Zodra open Select Regeneratie en wacht tot u Succes ziet voordat de pop-up wordt gesloten.

    Stap 4. Ga door met de volgende abonnees; Volg dezelfde procedure in stap 2 en compleet voor alle abonnees in uw cluster.

    Stap 5. Nadat het CUP-XMPP-certificaat op alle knooppunten is regenereerd, moet de Cisco XCP-routerservice opnieuw worden gestart op de IM/P-knooppunten:

    Opmerking: Als met de configuratie van de Presence Redundantion Group Hoge beschikbaarheid is ingeschakeld, verwijdert u de controle voordat de service opnieuw wordt gestart. De configuratie van de groep van de Redundantie kan worden geraadpleegd bij CUCM Pub Administration > System > Presence Redundancy Group. Een nieuwe start van de dienstverlening hieronder zal een tijdelijke onderbreking van de IM/P tot gevolg hebben en moet buiten de productietijd plaatsvinden.

    ・ Meld u aan bij Cisco Unified Services
       a. Cisco Unified Services > Tools > Control Center - Network Services
       b. Start Cisco XCP routerservice opnieuw.
       c. Nadat de service opnieuw is gestart, kunt u Cisco XCP routerservice opnieuw starten op de abonnees.

    CUP-XMPP-S2S-certificaat

    Stap 1. Open een GUI voor elke server in uw cluster. Start met de IM/P-uitgever en open vervolgens een GUI voor elke IM/P-abonneeservers en navigeer naar Cisco Unified OS-beheer > Security > certificaatbeheer

    Stap 2. Begin met de uitgever GUI, selecteer Zoeken om alle certificaten weer te geven.
    Selecteer het bekermodel-xmpp-s2s.pem-certificaat.
    ・ Selecteer na het openen de optie Opnieuw genereren en wacht tot u Success ziet voordat de pop-up wordt gesloten.

    Stap 3. Ga door met de volgende abonnees; Volg dezelfde procedure in stap 2 en compleet voor alle abonnees in uw cluster.

    Stap 4. Nadat het CUP-XMPP-S2S-certificaat op alle knooppunten is regenereerd, moeten deze services in de volgende volgorde opnieuw worden gestart:

    Opmerking: Als de configuratie van de Presence Redundancy Group hoge beschikbaarheid ingeschakeld heeft, moet u de controle uitschakelen voordat deze services opnieuw worden gestart. De configuratie van de groep van de Redundantie kan worden geraadpleegd op CUCM Pub Administration > System > Presence Redundancy Group. Een nieuwe start van de volgende diensten zal een tijdelijke onderbreking van de IM/P tot gevolg hebben en moet buiten de productietijd plaatsvinden.


    ・ Meld u aan bij Cisco Unified Services
       a. Cisco Unified Services > Tools > Control Center - Network Services
       b. Start de Cisco XCP routerservice opnieuw.
       c. Nadat de service opnieuw is gestart, kunt u de Cisco XCP-routerservice opnieuw starten op de abonnees.

    ・ Meld u aan bij Cisco Unified Services

       a. Cisco Unified Services > Tools > Control Center - functieservices

       b. Start de verbinding van Cisco XCP XMPP Federatie Manager opnieuw.

       c. Nadat de service opnieuw is gestart, gaat u op de abonnees verder met Start van de Cisco XCP Federatie Connection Manager-service.

    IPSEC-certificaat

    Opmerking: Het ipsec.pem-certificaat in de CUCM-uitgever moet geldig zijn en aanwezig zijn in alle abonnees (CUCM- en IM/P-knooppunten) in de IPSEC-trustwinkel. Het certificaat van de abonnees IPSEC.pem zal niet aanwezig zijn in de uitgever als IPSEC truststore in een standaardplaatsing. Om de geldigheid te verifiëren vergelijk de serienummers in het ipsec.pem certificaat van CUCM-PUB met het IPSEC-trust in de abonnees. Ze moeten overeenkomen.

    Opmerking: Het Noodherstelsysteem gebruikt een SSL (Secure Socket Layer)-gebaseerde communicatie tussen de Master Agent en de Local Agent voor verificatie en encryptie van gegevens tussen de CUCM-clusterknooppunten (CUCM en IM/P-knooppunten). DRS maakt gebruik van de IPSec-certificaten voor haar publiek-private sleutelencryptie. Houd er rekening mee dat als u het bestand IPSEC truststore (hostname.pem) uit de certificaatbeheerpagina verwijdert, DRS niet werkt zoals verwacht. Als u het bestand IPSEC-trust handmatig verwijdert, moet u ervoor zorgen dat u het IPSEC-certificaat naar de IPSEC-trustwinkel uploadt. Raadpleeg de Help-pagina voor certificaatbeheer in de Cisco Unified Communications Manager-beveiligingshandleidingen voor meer informatie.


    Stap 1. Open een GUI voor elke server in uw cluster. Start met de IM/P-uitgever en open vervolgens een GUI voor elke IM/P-abonneeservers en navigeer naar Cisco Unified OS-beheer > Security > certificaatbeheer

    Stap 2. Begin met de uitgever GUI, selecteer Zoeken om alle certificaten weer te geven.
    Selecteer het ipsec.pem-certificaat.
    ・ Selecteer na openen de optie Opnieuw genereren en wacht tot u Success ziet voordat de pop-up wordt gesloten.

    Stap 3. Ga door met de volgende abonnees; Volg dezelfde procedure in stap 2 en compleet voor alle abonnees in uw cluster.

    Stap 4. Nadat alle knooppunten het IPSEC-certificaat opnieuw hebben gegenereerd, herstart dan de volgende services:
    ・ navigeren naar de Cisco Unified Service Cisco Unified Services > Tools > Control Center - Network Services
       a. Selecteer Start opnieuw op Cisco DRF Master Service
       b. Nadat de service opnieuw is gestart, selecteert u Start van de lokale service van Cisco DRF op de uitgeverij en gaat u bij elke abonnee verder met Start van de lokale service van Cisco DRF.

    TOMCAT-certificaat

    Opmerking: Aangezien Jabber de CUCM tomcat- en IM/P tomcat- en beker-xmpp servercertificaten gebruikt om de verbindingen voor Tomcat- en cup-XP-diensten te valideren, zijn deze CUCM- en IM/P-certificaten in de meeste gevallen CA-ondertekend. Als de jabber-machine niet de wortel en een intermediair certificaat heeft dat deel uitmaakt van het Tomcat-certificaat en in zijn certificaattrust winkel is geïnstalleerd, toont de jabber-client een beveiligingswaarschuwing voor het onvertrouwde certificaat. Indien niet reeds geïnstalleerd in de certificatenwinkel van jabber device moeten de wortel en elk tussentijds certificaat naar het jabber-apparaat worden geduwd door groepsbeleid, mdm, e-mail, enz., afhankelijk van de jabber-client.

    Opmerking: Als het Tomcat-certificaat zelf ondertekend is, zal de jabber-client een beveiligingswaarschuwing voor het onvertrouwde certificaat tonen als het Tomcat-certificaat niet in de certificatenwinkel van de jabber-machine is geïnstalleerd. Als het niet al in de certificaattrustwinkel van jabber-apparaat is geïnstalleerd, moet het door de eigenaren ondertekende CUP-XMPP-certificaat aan de jabber-machine worden geduwd door middel van groepsbeleid, mdm, e-mail, enzovoort, afhankelijk van de jabber-client.

    Stap 1. Open een GUI voor elke server in uw cluster. Start met de IM/P-uitgever en open vervolgens een GUI voor elke IM/P-abonneeservers en navigeer naar Cisco Unified OS-beheer > Security > certificaatbeheer

    Stap 2. Begin met de uitgever GUI, selecteer Zoeken om alle certificaten weer te geven.
    ・ Bepaal in de kolom Type voor het Tomcat.pem Certificaat of het zelf-ondertekend of CA-ondertekend is.

    ・ Als het Tomcat.pem-certificaat door derden ondertekend (type CA-ondertekend) distributie multi-SAN is, bekijk dan de volgende link op hoe u een multi-SAN om CSR te genereren en aan CA voor CA voor CA-ondertekend te verzenden naar CA, Unified Communications Cluster Setup met CA-ondertekende multi-server Onderwerp Alternate Name Configuration Voorbeeld


    Opmerking: Het multi-SAN om CSR te bereiken zal op de CUCM Publisher worden gegenereerd en zal worden gedistribueerd naar alle CUCM- en IM/P-knooppunten in de cluster.

    ・ Als het Tomcat.pem-certificaat door derden ondertekend (type CA-ondertekend) distributieknooppunt is (distributienaam is gelijk aan de Gemeenschappelijke Naam voor het certificaat), herzie de volgende link bij het genereren van het single-knooppunt beker-xmpp CSR en het overhandigen aan CA voor een CA-ondertekend beker-xmpp-certificaat, Jabber Complete How-To-Guide voor certificaatvalidatie

    ・ Als het Tomcat.pem Certificaat zelfgetekend is, ga verder naar stap 3.

    Stap 3. Selecteer Zoeken om alle certificaten weer te geven
    Selecteer het Tomcat.pem-certificaat
    ・ Na openen Selecteer Selecteer Opnieuw en wacht tot u het Success pop-up ziet voordat de pop-up wordt gesloten.

    Stap 4. Ga door met elke volgende abonnee, volg dezelfde procedure in stap 2 en compleet op alle abonnees in uw cluster.

    Stap 4. Nadat alle knooppunten het certificaat van de Tomcat opnieuw hebben gegenereerd, start u de Tomcat-service op alle knooppunten opnieuw. Beginnen met de uitgever, gevolgd door de abonnees.
    ・ Om de Tomcat-dienst opnieuw te starten moet u een CLI-sessie voor elk knooppunt openen en de opdrachtutisten-service opnieuw starten, zoals in de afbeelding wordt weergegeven:

    Verlopen vertrouwen certificaten verwijderen

    Opmerking: Trustcertificaten (eindigend in de trust) kunnen indien nodig worden geschrapt. Trustcertificaten die kunnen worden verwijderd, zijn die welke niet langer nodig zijn, verlopen of verouderd zijn. Verwijder de vijf identiteitsbewijzen niet: het bekerglas.pem, bekerglas-xmpp.pem, bekerglas-xmpp-s2s.pem, ipsec.pem en tomcat.pem certificaten.  De service start hieronder, zodat alle informatie over het geheugen van deze nalatenschap certificaten binnen deze services kan worden gewist.

    Opmerking: Als de configuratie van de Presence Redundantion Group hoge beschikbaarheid heeft ingeschakeld, verwijdert u de controle voordat een service wordt gestopt/gestart of herstart. De configuratie van de groep van de Redundantie kan worden geraadpleegd bij CUCM Pub Administration > System > Presence Redundancy Group. Een herstart van een deel van de service, hierna, zal een tijdelijke onderbreking van de IM/P tot gevolg hebben en moet buiten de productietijd plaatsvinden.

    Stap 1. Navigeer naar Cisco Unified Services > Tools > Control Center - Network Services

    ・ Selecteer in het vervolgkeuzemenu uw IM/P Publisher en selecteer Stop van Cisco certificaatuitbreidingsmonitor, gevolgd door Stop van Cisco Intercluster Sync Agent

    ・ Herhaal Stop van deze services voor elk IM/IP-knooppunt in uw cluster

    Opmerking: Als het vertrouwenscertificaat van Tomcat moet worden verwijderd, navigeer dan naar Cisco Unified Services > Gereedschappen > Control Center - Network Services of the CUCM Publisher

    Selecteer vanuit de uitrollijst de CUCM-uitgever
    ・ Selecteer Stop van Cisco certificaatverlener, gevolgd door Stop van de melding van Cisco-certificaatwijziging.
    ・ Doe dit voor elk CUCM-knooppunt in uw cluster

    Stap 2. Navigeer naar Cisco Unified OS-beheer > Beveiliging > certificaatbeheer > Zoeken
    Vind de verlopen trust certificaten. (Voor versies 10.X en hoger kunt u filteren door Verlopen. Bij versies onder 10.0 dient u de specifieke certificaten handmatig te identificeren of, indien ontvangen, via de RTMT-waarschuwingen.
    ・ Hetzelfde vertrouwenscertificaat kan worden weergegeven in meerdere knooppunten. Het moet afzonderlijk van elk knooppunt worden verwijderd.
    Selecteer het certificaat van vertrouwen dat moet worden verwijderd (afhankelijk van uw versie krijgt u een pop-up-toets of u gaat naar het certificaat op dezelfde pagina)
       ・ Selecteer Verwijderen (u krijgt een pop-up die met u begint en dit certificaat definitief verwijdert...)
       ・ Selecteer OK

    Stap 3. Herhaal het proces voor het verwijderen van elk vertrouwenscertificaat

    Stap 4. Na voltooiing moeten de diensten worden herstart die rechtstreeks verband houden met de verwijderde certificaten.

    ・ CUP-vertrouwen: Cisco SIP Proxy, Cisco Presence Engine en indien geconfigureerd voor SIP-Federatie, Cisco XCP SIP Federation Connection Manager (zie CUP-certificaatsectie)
    ・ CUP-XMPP-trust: Cisco XCP router (zie sectie CUP-XMPP-certificaat)
    ・ CUP-XMPP-S2S-trust: Cisco XCP-router en Cisco XCP XMPP-verbindingsbeheer
    ・ IPSEC-trust: lokaal DRF-master/DRF (zie sectie IPSEC-certificaat)
    ・ Tomcat-trust: De Tomcat-service opnieuw starten via een opdrachtregel (zie sectie Tomcat-certificaat)

    Stap 5. Eerder gestopt herstart services in stap 1

    Verifiëren

    Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

    Problemen oplossen

    Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Adrian Esquillo

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Over Ons
    Contact
    Samenwerken