Aprimoramento no gerenciamento de certificado de segurança CUCM 11.x

Opções de download

  • PDF     (225.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (206.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (209.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:25 de Maio de 2017
ID do documento:211300

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction


    Este documento descreve os avanços feitos no gerenciamento de certificados para o Cisco Unified Communications Manager (CUCM) implementado na versão 11.x.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • CUCM

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • CUCM versão 11.5.1.10000-6

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Informações de Apoio

    O gerenciamento de certificados do CUCM ajuda as Unified Communications ou os administradores de segurança a aproveitarem as vantagens de gerenciar certificados com mais eficiência. As vantagens da melhoria feita incluem um tempo reduzido durante a remoção de certificados indesejados expirados no CUCM e IM&Presence.

    Gerenciamento de certificado

    Versões antigas

    Antes da versão 11 do CUCM, esta mensagem aparecia se um certificado fosse excluído.

    O certificado é excluído somente do nó no qual a operação de exclusão é iniciada.

    Se o mesmo certificado não for excluído em outros nós, o certificado excluído será preenchido novamente no nó em que foi inicialmente excluído. Isso se deve ao serviço de monitoramento de certificado chamado Notificação de alteração de certificado. Como prática recomendada em versões mais antigas do CUCM, o serviço de Notificação de alteração de certificado é interrompido em todos os nós do CUCM antes da exclusão do certificado. Outra desvantagem em versões mais antigas é o requisito de fazer login na seção de administração do SO de cada nó para excluir um único certificado indesejado ou expirado, que se torna entediante e demorado especialmente para um grande cluster.

    Novas versões

    Começando na versão 11.0 do CUCM ou posterior, todos os certificados indesejados ou expirados que são excluídos do nó atual também são excluídos de todos os outros nós dentro do cluster.

    A melhoria foi incluída para solucionar esses defeitos:

    CSCto86463 - Certificados excluídos reaparecem, não é possível remover certificados do CUCM

    CSCus28550 - Aprimoramento do gerenciamento de certificados para excluir um certificado de todos os nós

    Perguntas mais freqüentes

    P. Qual é o tipo de certificado incluído nessa melhoria?

       A. Para o Cisco Unified Communications Manager:

    • tomcat-trust
    • CallManager-trust
    • phone-sast-trust

           Para mensagens instantâneas e presença do Cisco Unified Communications Manager:

    • tomcat-trust

    P. O que acontece no backend para esse aprimoramento?

       A. Assim que um certificado for excluído em qualquer um dos nós do CUCM:

    • O certificado é excluído do nó local
    • O evento de plataforma aciona a exclusão do mesmo certificado para todos os outros nós.

    Verificação

    Quando um certificado for excluído por meio da página Administração do SO em um nó, faça login em outros nós e verifique se o certificado está presente ou não. Se um certificado excluído não for excluído de todos os nós, verifique os logs gerados pela instância de exclusão do certificado.

    • Syslogs
    • Logs do IPT Platform CertMgr

    Em um cenário de trabalho comum, esses são os registros esperados.

    Syslogs

    O evento de plataforma é visto em outros nós (que não o nó em que a exclusão do certificado foi iniciada). Neste exemplo, um certificado tomcat-trust chamado CUCMSUB1.pem foi excluído do editor, exibindo isso no syslog do assinante.

    Aug  6 20:20:47 CUCMSUB1 user 6 ilog_impl: Received request for platform-event (--no-wait platform-event-clusterwide-certificate-delete HOSTNAME=CUCM-PUB UNIT=tomcat-trust NAME=CUCMSUB1.pem)

    Logs do IPT Platform CertMgr

    Nos registros do CertMgr, os registros confirmam que o certificado está na fila para eliminação das entradas da base de dados.

    2016-08-06 21:22:06,151 INFO [main] - IN -- CertDBAction.java - deleteCertificateInDB(certInfo) -

    2016-08-06 21:22:06,151 INFO [main] -

    DBParameters ...

    PKID :                   null

    CN :                      L=BGL,ST=Karnataka,CN=CUCMSUB1,OU=TAC,O=Cisco,C=IN

    serialNo :             4d6dc0cb7bc73e70c3ded20690d15fa8

    hostName :         CUCMSUB1

    issuerName :      L=BGL,ST=Karnataka,CN=CUCMSUB1,OU=TAC,O=Cisco,C=IN

    Certificate :         Not Printing huge Certificate String..

    IPV4Address :     10.106.99.196

    IPV6Address :    

    TimeToLive :       NULL

    TkCertificateDistribution :1

    UNIT :                  tomcat-trust

    TYPE :                   trust-certs

    ROLE :                  null

    RoleMoniker :    null

    RoleEnum :null

    SERVICE :                            null

    ServiceMoniker :               null

    ServiceEnum :0

    2016-08-06 21:22:06,151 INFO [main] - DB - Certifciate Store Plugin Handler is :com.cisco.ccm.certmgmt.db.CertDBImpl

    2016-08-06 21:22:06,156 INFO [main] - IN -- CertDBImpl.java - deleteCertificate(certInfo) –

    O comando SQL disparado para exclusão do certificado pode ser visto nos logs do CertMgr.

    2016-08-06 21:22:08,980 DEBUG [main] - Delete query of CERTIFICATEPROCESSNODEMAP :DELETE FROM CERTIFICATEPROCESSNODEMAP WHERE FKCERTIFICATE="cdd0365a-2d17-3483-4d00-1bf08f942cf5" AND SERVERNAME = "CUCMSUB1"

    2016-08-06 21:22:08,980 DEBUG [main] - execute(DELETE FROM CERTIFICATEPROCESSNODEMAP WHERE FKCERTIFICATE="cdd0365a-2d17-3483-4d00-1bf08f942cf5" AND SERVERNAME = "CUCMSUB1")

    Nos registros do CertMgr, as entradas confirmam que o certificado é eliminado do FILE-SYSTEM (certificado com extensões pem ou der).

    2016-08-06 21:22:09,009 DEBUG [main] - deleteDERandPEM: sCertDir = /usr/local/platform/.security/tomcat/trust-certs --- sAlias = CUCMSUB1

    2016-08-06 21:22:09,009 INFO [main] - IN -- TomcatCertMgr.java - removeFromKeyStore(..) -

    2016-08-06 21:22:09,010 INFO [main] - IN -- RSACryptoEngine.java - removeFromKeyStore(keystoreFile, keystorePass, alias) -

    2016-08-06 21:22:09,010 INFO [main] - IN -- RSACryptoEngine.java - loadKeyStore(keystoreFile, keystorePass) -

    2016-08-06 21:22:09,086 INFO [main] - OUT -- RSACryptoEngine.java - loadKeyStore -

    2016-08-06 21:22:09,103 DEBUG [main] - Removing certificate from keystore : CUCMSUB1

    Se a exclusão do certificado ainda não for refletida para o restante dos nós em um cluster ou os registros mostrarem erros, abra um caso de TAC com a equipe do CUCM.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Amit Singh
      Technical Leader
    • Ramesh Balakrishnan
      Cisco TAC Engineer
    • Ricardo Garcia Duarte
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos