Processo da regeneração do certificado para ITLRecovery em CUCM 12.x e mais tarde

Opções de download

PDF (108.5 KB)
Ver no Adobe Reader em vários dispositivos
ePub (104.9 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (89.6 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:22 de Abril de 2020

ID do documento:215402

Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Índice

Introdução

Pré-requisitos

Requisitos

Componentes Utilizados

Informações de Apoio

Transfira e instale RTMT

Monitore valores-limite com RTMT

Identifique conjuntos no Misturado-MODE ou no modo NON-seguro

Impacte pela loja do certificado

Certificate o processo da regeneração

Explicação ITL e CTL

Conjunto NON-seguro

Seguro-conjunto (modo misturado)

Verificar

Troubleshooting

Introdução

Este original fornece um procedimento passo a passo recomendado em como regenerar Certificados na liberação 12.X do gerente das comunicações unificadas de Cisco (CUCM) e mais altamente. Este processo não usa a reserva às versões antes da funcionalidade 8.0 e atualiza Certificados pela função. A Segurança caracteriza à revelia é a lista da confiança da identidade (ITL) e a característica Misturado-MODE é o certificate trust list (CTL) é endereçada a fim evitar edições do registro.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Ferramenta do monitoramento em tempo real (RTMT).
Certificados do gerente das comunicações unificadas de Cisco (CUCM).

Componentes Utilizados

A informação neste documento é baseada na liberação 12.X CUCM e mais tarde.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Transfira e instale RTMT

Etapa 1. Abra a página de administração do gerente de atendimento (CM).

Etapa 2. Navegue ao aplicativo > aos encaixes > ao achado > ao monitoramento em tempo real unificado Cisco utilizam ferramentas - Windows > a transferência.

Etapa 3. Lance o software da instalação RTMT transferido e siga o wizzard do instalation.

Monitore valores-limite com RTMT

Etapa 1. Lance RTMT e incorpore o IP address ou o nome de domínio totalmente qualificado (FQDN), nome de usuário e senha para alcançar então a ferramenta.

Etapa 2. Esta seção identifica o número total de valores-limite registrados e quanto são registradas a cada nó. Monitore quando restauração do valor-limite para assegurar o registro antes da regeneração do certificado seguinte.

a. Selecione a Voz/aba video.

b. Selecione o sumário do dispositivo.

Dica: O processo da regeneração de alguns Certificados pode impactar valores-limite. Considere um plano de ação após as horas de negócio regulares devido à exigência reiniciar serviços e recarregar telefones. Monitorar o registro do telefone através de RTMT é altamente recomendado.

aviso: Os valores-limite com má combinação atual ITL podem ter edições do registro após este processo. O supressão da ITL no valor-limite é uma solução típica do melhor prática após o processo da regeneração é terminado e todos telefones restantes registraram-se.

Identifique conjuntos no Misturado-MODE ou no modo NON-seguro

Etapa 1. Abra a página de administração CM.

Etapa 2. Navegue parâmetros ao > segurança do sistema > dos parâmetros empresariais > modo de segurança do conjunto.

Impacte pela loja do certificado

É essencial para uma boa funcionalidade do sistema ter todos os certificados atualizados no cluster CUCM. Se os Certificados são expirados ou inválidos, puderam significativamente afetar a funcionalidade normal do sistema. Uma lista de serviços para os Certificados específicos que são inválidos ou expirados é mostrada aqui. O impacto pode diferir dependendo da configuração do sistema.

Processo da regeneração do certificado

Explicação ITL e CTL

A ITL contém o papel do certificado para gerente de atendimento TFTP, todos os Certificados TV no conjunto, e função do proxy do Certificate Authority (CAPF) quando foi executado
O CTL contém entradas para o token de segurança do administrador de sistema (SAST), Cisco Call Manager e os serviços TFTP de Cisco que são foram executado no mesmo server, em server CAPF, TFTP, e no Firewall adaptável da ferramenta de segurança (ASA). Os TV não são providos no CTL.

Nota: O certificado de ITLRecovery é usado quando os dispositivos perdem seu estado confiado. O certificado aparece na ITL e no CTL (quando o fornecedor CTL é ativo). Se os dispositivos perdem seu estado da confiança, você pode usar o localkey da restauração ITL dos utils do comando para conjuntos NON-seguros e o localkey da restauração do ctl dos utils do comando para os conjuntos mistura-MODE. Leia o guia da Segurança para que sua versão de gerenciador do atendimento torne-se familiar com como o certificado de ITLRecovery é usado e o processo exigido para recuperar o estado confiado.
Se o conjunto esteve promovido a uma versão que apoie um comprimento chave de 2048 e os certificados de servidor dos conjuntos esteve regenerado a 2048 e o ITLRecovery não tem sido regenerado e está atualmente a uns 1024 comprimentos chaves, o comando de recuperação ITL falha e o método de ITLRecovery não é poder ser usado.

Conjunto NON-seguro

Etapa 1. Verifique que o arquivo ITL é válido (comando ITL da mostra) e todos os telefones confiam o arquivo atual ITL.

Etapa 2. Regenere o certificado de ITLRecovery. Navegue a Cisco unificou o > segurança > o gerenciamento certificado > o achado da administração ósmio.

Selecione o certificado PEM de ITLRecovery.
Uma vez abra, regenerado seleto e espere até que você ver o PNF-acima do sucesso a seguir o PNF-acima próximo ou vá para trás e selecione o achado/lista.

Etapa 3. Arquivo ITL do sinal usando o certificado de CallManager (localkey da restauração ITL dos utils).

Etapa 4. Recarregue todos os telefones.

Navegue a Cisco unificou a administração > o sistema > os parâmetros empresariais CM.
Restauração seleta então você verá um PNF-acima com a indicação que você está a ponto de restaurar todos os dispositivos no sistema. Esta ação não pode ser desabotoada. Continue? , selecione ESTÁ BEM e selecione então a restauração.

Etapa 5. Serviço TFTP do reinício (todos os Nós onde sendo executado) para ter o arquivo ITL re-assinado pelo certificado novo de ITLRecovery.

Etapa 6. Restaure todos os telefones um a segunda vez pegarar o arquivo novo ITL.

Navegue a Cisco unificou a administração > o sistema > os parâmetros empresariais CM.
Restauração seleta então você verá um PNF-acima com a indicação que você está a ponto de restaurar todos os dispositivos no sistema. Esta ação não pode ser desabotoada. Continue? , selecione ESTÁ BEM e selecione então a restauração.

Seguro-conjunto (modo misturado)

Etapa 1. Verifique o arquivo CTL com comando do ctl da mostra.

Etapa 2. Regenere o certificado de ITLRecovery. Navegue a Cisco unificou o > segurança > o gerenciamento certificado > o achado da administração ósmio.

Selecione o certificado PEM de ITLRecovery.
Uma vez abra regenerado seleto e espere até que você ver o PNF-acima do sucesso a seguir o PNF-acima próximo ou vá para trás e selecione o achado/lista.

Etapa 3. Assine o CTLFile com certificado de CallManager (localkey da restauração do ctl dos utils). Isto igualmente atualizará o CTLFile com o certificado novo de ITLRecovery.

Etapa 4. Restaure os telefones para pegarar o CTLFile novo com o certificado novo de ITLRecovery.

Cisco unificou a administração > o sistema > os parâmetros empresariais CM.
Restauração seleta então você verá um PNF-acima com a indicação que você está a ponto de restaurar todos os dispositivos no sistema. Esta ação não pode ser desabotoada. Continue? , selecione ESTÁ BEM e selecione então a restauração.

Etapa 5. Atualize CTLFile para tê-lo re-assinado pelo certificado novo de ITLRecovery (atualização CTLFile do ctl dos utils).

Etapa 6. Reinício CallManager e serviços TFTP.

O início de uma sessão a Cisco do editor unificou a página da utilidade.
Navegue a Cisco unificou a utilidade > as ferramentas > o Control Center - serviços da característica.
Comece com o editor a seguir continue com os assinantes, serviço do CallManager da Cisco do reinício onde sendo executado.
Navegue a Cisco unificou a utilidade > as ferramentas > o Control Center - serviços da característica.
Comece com o editor a seguir continue com os assinantes, serviço TFTP de Cisco do reinício somente onde sendo executado.

Etapa 7. Restaure os telefones para pegarar o CTLFile novo assinado pelo certificado novo de ITLRecovery.

Cisco unificou a administração > o sistema > os parâmetros empresariais CM.
Restauração seleta então você verá um PNF-acima com a indicação que você está a ponto de restaurar todos os dispositivos no sistema. Esta ação não pode ser desabotoada. Continue? , selecione ESTÁ BEM e selecione então a restauração.