本文档介绍在Unified Communications Manager中重新生成证书的过程。
Cisco 建议您了解以下主题:
思科建议您安装以下工具:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
本文档介绍如何在Cisco Unified Communications Manager(CUCM)版本8.X及更高版本中重新生成证书的分步过程。请参考特定版本的安全指南。
Communications Manager(CUCM)版本8.X - 11.5.X ITL由Call Manager证书签署。
通信管理器(CUCM)12.0+版ITL通过ITR恢复证书签署。
ITL和CTL文件交互
思科IP电话依赖CTL文件来了解集群安全模式(非安全或混合模式)。 CTL文件通过在Unified Communications Manager记录中包含Unified Communications Manager证书来跟踪集群安全模式。ITL文件还包含集群安全模式指示。
ITL签名者比较



对于成功的系统功能而言,跨CUCM集群更新所有证书至关重要。如果证书过期或无效,可能会严重影响系统的正常功能。影响可能因系统设置而异。以下显示的是无效或过期的特定证书的服务列表:
默认情况下,信任验证服务(TVS)是安全的主要组件。TVS使思科统一IP电话能够在建立HTTPS时对应用服务器(例如EM服务、目录和MIDlet)进行身份验证。
TVS提供以下功能:
ITLRecovery(信任验证服务)
证书管理器ECDSA支持
在Unified Communications Manager版本11.0中,证书管理器支持生成自签名ECDSA证书和ECDSA证书签名请求(CSR)。 Unified Communications Manager的早期版本仅支持RSA证书。但是,从Unified Communications Manager版本11.0开始,CallManager-ECDSA证书已随现有RSA证书一起添加。
CallManager和CallManager-ECDSA证书共享通用证书信任库 — CallManager-Trust。Unified Communications Manager将这些证书上传到此信任库。
第三方CA签名身份证书
重新生成Tomcat和Tomcat-ECDSA的过程相同,包括服务重新启动。
识别是否正在使用第三方证书:

5.在CCX环境中使用以下步骤(如果适用):
其他参考:
IPSEC PEM发布器中的IPSEC.pem证书必须有效,且必须作为IPSEC信任库存在于所有订阅者中。在标准部署中,用户的IPSEC.pem证书在发布方中不作为IPSEC信任存在。为了验证有效性,请将PUB的IPSEC.pem证书中的序列号与SUB中的IPSEC-trust进行比较。它们必须匹配。
CAPF PEM电话现在已重置。通过RTMT工具监控其操作,以确保重置成功且设备重新注册到CUCM。 等待电话注册完成,然后继续下一个证书。此电话注册过程可能需要一些时间。请注意,在重新生成过程之前具有不良ITL的设备在删除之前不会注册回集群。
重新生成CallManager和CallManager-ECDSA的过程相同,包括服务重新启动。
电话现在已重置。通过RTMT工具监控其操作,以确保重置成功且设备重新注册到CUCM。 等待电话注册完成,然后继续下一个证书。此电话注册过程可能需要一些时间。请注意,在再生过程之前存在不良ITL的设备在ITL删除之前不会注册回集群。
导航到集群中的每台服务器(在Web浏览器的单独选项卡中),从发布者开始,然后是每个订用者。 导航到Cisco Unified OS Administration > Security > Certificate Management > Find。
电话现在已重置。通过RTMT工具监控其操作,以确保重置成功且设备重新注册到CUCM。 等待电话注册完成,然后继续下一个证书。此电话注册过程可能需要一些时间。请注意,在再生过程之前存在不良ITL的设备在ITL删除之前不会注册回集群。
Cisco Unified Serviceability.
MasterDRF本地(请参阅IPSEC部分)。要从CLI列出CUCM上存在的证书,请使用以下命令输出:
运行sql select c.servername、tcs.name、dist.moniker、c.ipv4address、c.certificate from certificate as c inner join certificatesservicecertificatemap as cscm on c.pkid = cscm.fkcerinal join typecertificatesservice as tcs on cscm.tkcertificatesertservice = tcs.enum inner join typecertificatedistribution as dist on c.tkcertificatedistribution = dist.enum
此配置不支持故障排除过程。
| 版本 | 发布日期 | 备注 |
|---|---|---|
6.0 |
01-Jul-2026
|
重新认证 |
4.0 |
30-Oct-2024
|
已更新机器翻译、样式要求和格式。 |
3.0 |
28-Sep-2022
|
已更新 |
2.0 |
16-Sep-2022
|
已重新发布。 |
1.0 |
03-Apr-2019
|
初始版本 |