O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento fornece um procedimento passo a passo recomendado sobre como gerar novamente certificados no Cisco Unified Communications Manager (CUCM) versão 12.X e posterior. Esse processo não usa o fallback para versões anteriores à funcionalidade 8.0 e atualiza certificados por função. O recurso de segurança por padrão é a Lista de Confiança de Identidade (ITL - Identity Trust List) e o recurso Modo Misto é a Lista de Confiança de Certificados (CTL - Certificate Trust List) que é abordada para evitar problemas de registro.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas no CUCM versão 12.X e posterior.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Etapa 1. Abra a página de administração do Call Manager (CM).
Etapa 2. Navegue até Application > Plugins > Find > Cisco Unified Real-Time Monitoring Tool - Windows > Download.
Etapa 3. Inicie o software de instalação RTMT baixado e siga o assistente de instalação.
Etapa 1. Inicie a RTMT e insira o endereço IP ou o FQDN (Fully Qualified Domain Name, nome de domínio totalmente qualificado), depois o nome de usuário e a senha para acessar a ferramenta.
Etapa 2. Esta seção identifica o número total de terminais registrados e quantos estão registrados em cada nó. Monitore enquanto o endpoint é redefinido para garantir o registro antes da regeneração do próximo certificado.
a. Selecione a guia Voz/vídeo.
b. Selecione Resumo do dispositivo.
Tip: O processo de regeneração de alguns certificados pode afetar endpoints. Considere um plano de ação após o horário comercial normal devido à necessidade de reiniciar serviços e reinicializar telefones. É altamente recomendável monitorar o registro do telefone via RTMT.
aviso: Endpoints com incompatibilidade de ITL atual podem ter problemas de registro após esse processo. A exclusão do ITL no endpoint é uma solução de práticas recomendadas típicas após a conclusão do processo de regeneração e todos os outros telefones terem registrado.
Etapa 1. Abra a página CM Administration.
Etapa 2. Navegue até System > Enterprise Parameters > Security Parameters > Cluster Security Mode.
É essencial para uma boa funcionalidade do sistema ter todos os certificados atualizados no cluster CUCM. Se os certificados expirarem ou forem inválidos, eles podem afetar significativamente a funcionalidade normal do sistema. Uma lista de serviços para os certificados específicos inválidos ou expirados é mostrada aqui. O impacto pode diferir dependendo da configuração do sistema.
Note: O certificado de recuperação ITLR é usado quando os dispositivos perdem seu status confiável. O certificado aparece no ITL e no CTL (quando o provedor CTL está ativo). Se os dispositivos perderem seu status de confiança, você poderá usar o comando utils itl reset localkey para clusters não seguros e o comando utils ctl reset localkey para clusters de modo misto. Leia o Guia de segurança para sua versão do Call Manager para se familiarizar com o modo como o certificado de recuperação ITLR é usado e o processo necessário para recuperar o status confiável.
Se o cluster tiver sido atualizado para uma versão que suporte um comprimento de chave de 2048 e os certificados do servidor de clusters tiverem sido regenerados para 2048 e o ITLRecovery não tiver sido regenerado e tiver atualmente um comprimento de chave de 1024, o comando ITL recovery falhará e o método ITLRecovery não poderá ser usado.
Etapa 1. Verifique se o arquivo ITL é válido (comando show itl) e se todos os telefones confiam no arquivo ITL atual.
Etapa 2. Regenerar o certificado de recuperação ITLR. Navegue até Cisco Unified OS Administration > Security > Certificate Management > Find.
Etapa 3. Assinar o arquivo ITL usando o certificado do CallManager (até redefinir a chave local).
Etapa 4. Reinicie todos os telefones.
Etapa 5. Reinicie o serviço TFTP (Todos os nós em execução) para que o arquivo ITL seja reassinado pelo novo certificado de recuperação ITLR.
Etapa 6. Reinicie todos os telefones uma segunda vez para pegar o novo arquivo ITL.
Etapa 1. Verifique o arquivo CTL com o comando show ctl.
Etapa 2. Regenerar o certificado de recuperação ITLR. Navegue até Cisco Unified OS Administration > Security > Certificate Management > Find.
Etapa 3. Assine o CTLFile com o certificado do CallManager (utils ctl reset localkey). Isso também atualizará o CTLFile com o novo certificado de recuperação ITLR.
Etapa 4. Redefina os telefones para pegar o novo arquivo CTLF com o novo certificado de recuperação ITLR.
Etapa 5. Atualize o arquivo CTLF para que ele seja assinado novamente pelo novo Certificado de Recuperação ITLR (utils ctl update CTLFile).
Etapa 6. Reinicie o CallManager e os serviços TFTP.
Passo 7. Redefina os telefones para pegar o novo arquivo CTLF assinado pelo novo Certificado de Recuperação ITLR.
No momento, não há procedimento de verificação disponível para esta configuração.
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.