Processo de Regeneração de Certificado para ITLRecovery no CUCM 12.x e posterior

Opções de download

  • PDF     (108.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (104.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (89.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:22 de Abril de 2020
ID do documento:215402

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento fornece um procedimento passo a passo recomendado sobre como gerar novamente certificados no Cisco Unified Communications Manager (CUCM) versão 12.X e posterior. Esse processo não usa o fallback para versões anteriores à funcionalidade 8.0 e atualiza certificados por função. O recurso de segurança por padrão é a Lista de Confiança de Identidade (ITL - Identity Trust List) e o recurso Modo Misto é a Lista de Confiança de Certificados (CTL - Certificate Trust List) que é abordada para evitar problemas de registro.

    Prerequisites

    Requirements 

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Ferramenta de monitoramento em tempo real (RTMT).
    • Certificados do Cisco Unified Communications Manager (CUCM).

    Componentes Utilizados

    As informações neste documento são baseadas no CUCM versão 12.X e posterior.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Baixe e instale o RTMT

    Etapa 1. Abra a página de administração do Call Manager (CM).

    Etapa 2. Navegue até Application > Plugins > Find > Cisco Unified Real-Time Monitoring Tool - Windows > Download.

    Etapa 3. Inicie o software de instalação RTMT baixado e siga o assistente de instalação.

    Monitorar endpoints com RTMT

    Etapa 1.  Inicie a RTMT e insira o endereço IP ou o FQDN (Fully Qualified Domain Name, nome de domínio totalmente qualificado), depois o nome de usuário e a senha para acessar a ferramenta.

    Etapa 2. Esta seção identifica o número total de terminais registrados e quantos estão registrados em cada nó. Monitore enquanto o endpoint é redefinido para garantir o registro antes da regeneração do próximo certificado.

    a. Selecione a guia Voz/vídeo.

    b. Selecione Resumo do dispositivo.

    Tip: O processo de regeneração de alguns certificados pode afetar endpoints. Considere um plano de ação após o horário comercial normal devido à necessidade de reiniciar serviços e reinicializar telefones. É altamente recomendável monitorar o registro do telefone via RTMT.

    aviso: Endpoints com incompatibilidade de ITL atual podem ter problemas de registro após esse processo.  A exclusão do ITL no endpoint é uma solução de práticas recomendadas típicas após a conclusão do processo de regeneração e todos os outros telefones terem registrado.

    Identificar clusters em modo misto ou não seguro

    Etapa 1. Abra a página CM Administration.

    Etapa 2. Navegue até System > Enterprise Parameters > Security Parameters > Cluster Security Mode.

    Impacto na loja de certificados

    É essencial para uma boa funcionalidade do sistema ter todos os certificados atualizados no cluster CUCM. Se os certificados expirarem ou forem inválidos, eles podem afetar significativamente a funcionalidade normal do sistema. Uma lista de serviços para os certificados específicos inválidos ou expirados é mostrada aqui. O impacto pode diferir dependendo da configuração do sistema.

    Processo de Regeneração de Certificados

    Explicação de ITL e CTL

        • O ITL contém a função de certificado para o TFTP do Call Manager, todos os certificados TVS no cluster e a função de proxy da autoridade de certificação (CAPF) quando executado
        • O CTL contém entradas para o SAST (System Administrator Security Token, token de segurança do administrador do sistema), o Cisco Call Manager e os serviços Cisco TFTP executados no mesmo servidor, CAPF, servidor(s) TFTP e firewall do ASA (Adaptive Security Appliance). O TVS não é mencionado no CTL.

    Note: O certificado de recuperação ITLR é usado quando os dispositivos perdem seu status confiável. O certificado aparece no ITL e no CTL (quando o provedor CTL está ativo). Se os dispositivos perderem seu status de confiança, você poderá usar o comando utils itl reset localkey para clusters não seguros e o comando utils ctl reset localkey para clusters de modo misto. Leia o Guia de segurança para sua versão do Call Manager para se familiarizar com o modo como o certificado de recuperação ITLR é usado e o processo necessário para recuperar o status confiável.
    Se o cluster tiver sido atualizado para uma versão que suporte um comprimento de chave de 2048 e os certificados do servidor de clusters tiverem sido regenerados para 2048 e o ITLRecovery não tiver sido regenerado e tiver atualmente um comprimento de chave de 1024, o comando ITL recovery falhará e o método ITLRecovery não poderá ser usado.

    Cluster não seguro

    Etapa 1. Verifique se o arquivo ITL é válido (comando show itl) e se todos os telefones confiam no arquivo ITL atual.

    Etapa 2. Regenerar o certificado de recuperação ITLR. Navegue até Cisco Unified OS Administration > Security > Certificate Management > Find.

    1. Selecione o certificado ITLRecovery pem.
    2. Depois de abrir, selecione Regenerar e aguarde até ver o pop-up Êxito, feche o pop-up ou volte e selecione Localizar/Listar.

    Etapa 3. Assinar o arquivo ITL usando o certificado do CallManager (até redefinir a chave local).

    Etapa 4. Reinicie todos os telefones.

    1. Navegue até Cisco Unified CM Administration > System > Enterprise Parameters.
    2. Selecione Redefinir e, em seguida, você verá um pop-up com a instrução Você está prestes a redefinir todos os dispositivos no sistema. Esta ação não pode ser desfeita. Continuar?, selecione OK e selecione Redefinir.

    Etapa 5. Reinicie o serviço TFTP (Todos os nós em execução) para que o arquivo ITL seja reassinado pelo novo certificado de recuperação ITLR.

    Etapa 6. Reinicie todos os telefones uma segunda vez para pegar o novo arquivo ITL.

    1. Navegue até Cisco Unified CM Administration > System > Enterprise Parameters.
    2. Selecione Redefinir e, em seguida, você verá um pop-up com a instrução Você está prestes a redefinir todos os dispositivos no sistema. Esta ação não pode ser desfeita. Continuar?, selecione OK e selecione Redefinir.

    Cluster seguro (modo misto)

    Etapa 1. Verifique o arquivo CTL com o comando show ctl.

    Etapa 2. Regenerar o certificado de recuperação ITLR. Navegue até Cisco Unified OS Administration > Security > Certificate Management > Find.

      1. Selecione o certificado ITLRecovery pem.
      2. Depois de abrir, selecione Regenerar e aguarde até ver o pop-up Êxito, feche a janela pop-up ou volte e selecione Localizar/Listar.

    Etapa 3. Assine o CTLFile com o certificado do CallManager (utils ctl reset localkey). Isso também atualizará o CTLFile com o novo certificado de recuperação ITLR.

    Etapa 4. Redefina os telefones para pegar o novo arquivo CTLF com o novo certificado de recuperação ITLR.

      1. Cisco Unified CM Administration > System > Enterprise Parameters.
      2. Selecione Redefinir e, em seguida, você verá um pop-up com a instrução Você está prestes a redefinir todos os dispositivos no sistema. Esta ação não pode ser desfeita. Continuar?, selecione OK e selecione Redefinir.

    Etapa 5. Atualize o arquivo CTLF para que ele seja assinado novamente pelo novo Certificado de Recuperação ITLR (utils ctl update CTLFile).

    Etapa 6. Reinicie o CallManager e os serviços TFTP.

      1. Faça login na página do Publisher Cisco Unified Serviceability.
      2. Navegue até Cisco Unified Serviceability > Tools > Control Center - Feature Services.
      3. Comece com o editor e continue com os assinantes, reinicie o Cisco CallManager Service onde está sendo executado.
      4. Navegue até Cisco Unified Serviceability > Tools > Control Center - Feature Services.
      5. Comece com o Publicador e continue com os assinantes, reinicie o Cisco TFTP Service somente onde estiver em execução.

    Passo 7. Redefina os telefones para pegar o novo arquivo CTLF assinado pelo novo Certificado de Recuperação ITLR.

      1. Cisco Unified CM Administration > System > Enterprise Parameters.
      2. Selecione Redefinir e, em seguida, você verá um pop-up com a instrução Você está prestes a redefinir todos os dispositivos no sistema. Esta ação não pode ser desfeita. Continuar?, selecione OK e selecione Redefinir.

    Verificar 

    No momento, não há procedimento de verificação disponível para esta configuração.

    Troubleshoot

    Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Levi Thomas
      Cisco TAC Engineer
    • Richie Benjamin
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos