简介
本文档提供了在Cisco Unified Communications Manager(CUCM)8.X及更高版本中如何重新生成证书的推荐分步过程。此过程不使用回退到8.0功能之前的版本,并按功能更新证书。默认情况下,安全功能是身份信任列表(ITL),而混合模式功能是证书信任列表(CTL),以避免注册问题。
作者:思科TAC工程师Ken Ryder。
先决条件
要求
Cisco 建议您了解以下主题:
使用的组件
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
安装RTMT
- 从Call Manager下载并安装RTMT工具
- 导航至Call Manager(CM)管理
- 应用程序>插件>查找> 思科统一实时监控工具 — Windows >下载
使用RTMT监控终端
- 启动RTMT并输入IP地址或完全限定域名(FQDN),然后输入用户名和密码以访问该工具
- 选择语音/视频选项卡
- 选择设备摘要
- 本节确定注册终端的总数以及每个节点的数量
- 终端重置时监控,以确保在重新生成下一个证书之前注册
提示:某些证书的重新生成过程可能会影响终端。由于需要重新启动服务和重新启动电话,因此请考虑在正常工作时间后采取的行动计划。强烈建议通过RTMT监控电话注册。
警告:当前ITL不匹配的终端在此过程后可能会出现注册问题。 在终端上删除ITL是重新生成过程完成后,所有其他电话都已注册后的典型最佳实践解决方案。

确定集群是处于混合模式还是非安全模式
- 导航至CM管理
- System > Enterprise Parameters > Security Parameters > Cluster Security Mode


证书存储的影响
在整个 CUCM 集群中更新所有证书对于确保系统的出色功能非常重要。如果证书已过期或无效,则可能会严重影响系统的正常功能。此处显示无效或过期的特定证书的服务列表。受到的影响可能因系统设置而不同。
CallManager.pem
- 加密/身份验证电话不注册
- 不信任简单文件传输协议(TFTP)(电话不接受签名的配置文件和/或ITL文件)
- 电话服务可能受到影响
- 安全会话发起协议(SIP)中继或媒体资源(会议网桥、媒体终端点(MTP)、编码器等)不会注册或工作。
- AXL 请求失败。
Tomcat.pem
- 电话无法访问CUCM节点上托管的HTTP服务,例如公司目录
- CUCM可能存在各种Web问题,例如无法从集群中的其他节点访问服务页面
- 跨群集分机移动(EM)或分机移动问题
- 单点登录(SSO)
- 如果UCCX(统一联系中心快捷版)已集成,由于CCX 12.5的安全更改,需要在UCCX tomcat信任库中上传CUCM Tomcat证书(自签名)或Tomcat根和中间证书(用于CA签名),因为它会影响Finesse桌面登录
CAPF.pem
- 电话不对电话VPN、802.1x或电话代理进行身份验证
- 无法为电话颁发本地有效证书(LSC)证书。
- 加密的配置文件不起作用
IPSec.pem
- 灾难恢复系统(DRS)/灾难恢复框架(DRF)可能无法正常运行
- 到网关(GW)到其他CUCM集群的IPsec隧道不起作用
TVS(信任验证服务)
默认情况下,信任验证服务(TVS)是安全的主要组件。TVS使思科统一IP电话能够在HTTPS建立时对应用服务器(如EM服务、目录和MIDlet)进行身份验证。
TVS提供以下功能:
- 可扩展性 — 思科统一IP电话资源不受信任证书数量的影响
- 灵活性 — 信任证书的添加或删除会自动反映在系统中
- 默认安全 — 非介质和信号安全功能是默认安装的一部分,无需用户干预
ITL和CTL
- ITL包含Call Manager TFTP的证书角色、集群中的所有TVS证书以及运行时的证书颁发机构代理功能(CAPF)
- CTL包含在同一服务器、CAPF、TFTP服务器和自适应安全设备(ASA)防火墙上运行的系统管理员安全令牌(SAST)、Cisco CallManager和Cisco TFTP服务条目。CTL中未引用TVS
证书再生过程
注意:在重新生成证书之前,所有终端都需要打开并注册。否则,未连接的电话将需要删除ITL。
Tomcat证书
确定第三方证书是否正在使用。
- 从发布者开始,然后依次导航至集群中的每台服务器(在Web浏览器的单独选项卡中)。 导航至Cisco Unified OS Administration > Security > Certificate Management > Find
- 选择Find以显示所有证书
- 选择Tomcat pem证书
- 打开后,选择“重新生成”,然后等到您看到“成功”弹出窗口,然后关闭弹出窗口或返回并选择“查找/列表”
- 继续处理每个后续订用服务器,按照步骤2中的相同步骤操作并在集群中的所有订用服务器上完成
- 在所有节点重新生成Tomcat证书后,在所有节点上重新启动tomcat服务。从发布者开始,然后是订阅者。
- 要重新启动Tomcat,您需要为每个节点打开CLI会话并执行命令utils service重新启动Cisco Tomcat

5.如果适用,请执行CCX环境所需的步骤,
- 如果使用自签名证书,请从CUCM集群的所有节点上传Tomcat证书到Unified CCX Tomcat信任库
- 如果使用CA签名或专用CA签名证书,请将CUCM的根CA证书上传到Unified CCX Tomcat信任库
- 按照CCX的证书再生文档中所述重新启动服务器
https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/118855-configure-uccx-00.html#anc12
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/crs/express_12_5/release/guide/uccx_b_uccx-solution-release-notes-125/uccx_b_uccx-solution-release-notes-125_chapter_01.html#reference_2D9122E01C43B6E0AA06AB2A3248B797
IPSEC证书
注意:CUCM/即时消息和在线状态(IM&P)(版本10.X之前),DRF主代理在CUCM发布服务器和IM&P发布服务器上运行。 DRF本地服务分别在用户上运行。 版本10.X及更高版本,DRF主代理仅在CUCM发布服务器上运行,DRF本地服务将在CUCM订阅服务器、IM&P发布服务器和订阅服务器上运行。
注意:灾难恢复系统在主代理和本地代理之间使用基于安全套接字层(SSL)的通信,对CUCM群集节点之间的数据进行身份验证和加密。DRS使用IPSec证书进行公钥/私钥加密。请注意,如果从Certificate Management页面删除IPSEC信任库(hostname.pem)文件,则DRS将无法按预期工作。如果手动删除IPSEC信任文件,则必须确保将IPSEC证书上传到IPSEC信任库。有关详细信息,请参阅《思科统一通信管理器安全指南》中的证书管理帮助页。
- 从发布者开始,然后依次导航至集群中的每台服务器(在Web浏览器的单独选项卡中)。 导航至Cisco Unified OS Administration > Security > Certificate Management > Find
- 选择IPSEC pem Certificate。
- 打开后,选择“重新生成”,然后等到您看到“成功”弹出窗口,然后关闭弹出窗口或返回并选择“查找/列表”
- 继续使用后续订用者;按照步骤1中的相同步骤操作,在集群中的所有用户上完成
- 在所有节点重新生成IPSEC证书后,重新启动服务。
- 导航至发布方的思科统一适用性
- 思科统一可维护性>工具>控制中心 — 网络服务
- 在Cisco DRF主服务上选择“重新启动”
- 服务重新启动完成后,在发布方的Cisco DRF本地服务上选择重新启动,然后继续向订用方提供服务,并在Cisco DRF本地服务上选择重新启动
发布方中的IPSEC.pem证书必须有效,并且必须作为IPSEC信任库存在于所有用户中。在标准部署中,发布者中的订用者IPSEC.pem证书将不作为IPSEC信任库存在。为了验证有效性,将PUB的IPSEC.pem证书中的序列号与SUB中的IPSEC -trust进行比较。它们必须匹配。
CAPF证书
警告:在继续之前,请确保已确定您的集群是否处于混合模式。 请参阅确定集群是处于混合模式还是非安全模式。
- 导航至Cisco Unified CM管理>系统>企业参数。
- 检查安全参数部分并验证集群安全模式是否设置为0或1。如果值为0,则集群处于非安全模式。如果为1,则集群处于混合模式,您需要在重新启动服务之前更新CTL文件。 请参阅下面的令牌和无令牌链接。
- 导航至集群中的每台服务器(在Web浏览器的单独选项卡中),从发布者开始,然后是每个订用者。 导航至Cisco Unified OS Administration > Security > Certificate Management > Find
- 选择CAPF pem Certificate。
- 打开后,选择“重新生成”,然后等到您看到“成功”弹出窗口,然后关闭弹出窗口或返回并选择“查找/列表”
- 继续使用后续用户;按照步骤2中的相同步骤操作,在集群中的所有用户上完成
- 如果集群仅处于混合模式且CAPF已重新生成 — 在继续执行进一步的令牌 — 令牌之前更新CTL - Tokenless
- 如果集群处于混合模式,则还需要在重新启动其他服务之前重新启动Call Manager服务
- 在所有节点重新生成CAPF证书后,重新启动服务
- 导航至发布方的思科统一适用性
- 思科统一可维护性>工具>控制中心 — 功能服务
- 从发布者开始,仅在运行时在Cisco证书颁发机构代理功能服务上选择Restart
- 导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
- 从发布者开始,然后继续订用者,选择“在思科信任验证服务上重新启动”。
- 导航至Cisco Unified Serviceability > Tools > Control Center - Feature Services
- 从发布者开始,然后继续订用者,仅在运行时重新启动Cisco TFTP Service。
- 重新启动所有电话
- Cisco Unified CM管理> System >企业参数
- 选择Reset,您将看到一个弹出窗口,其中包含“You are arout to reset all devices in the system”语句。此操作无法撤消。继续?,选择确定,然后选择重置
电话现在将重置。通过RTMT工具监控其操作,以确保重置成功并且设备重新注册到CUCM。 请等待电话注册完成,然后继续下一个证书。此电话注册过程可能需要一些时间。请注意,在重新生成过程之前ITL不良的设备可能不会注册回集群。
CallManager证书
警告:在继续之前,请确保已确定您的集群是否处于混合模式。请参阅确定集群是处于混合模式还是非安全模式。
警告:请勿同时重新生成CallManager.PEM和TVS.PEM证书。 这将导致终端上安装的ITL不匹配,这将要求从集群中的所有终端删除ITL。完成CallManager.PEM的整个流程,并在电话重新注册后,开始TVS.PEM的流程
- 导航至Cisco Unified CM管理>系统>企业参数。
- 检查安全参数部分并验证集群安全模式是否设置为0或1。如果值为0,则集群处于非安全模式。如果为1,则集群处于混合模式,您需要在重新启动服务之前更新CTL文件。 请参阅下面的令牌和无令牌链接。
- 导航至集群中的每台服务器(在Web浏览器的单独选项卡中),从发布者开始,然后是每个订用者。 导航至Cisco Unified OS Administration > Security > Certificate Management > Find
- 选择CallManager PEM证书。
- 打开后,选择“重新生成”,然后等到您看到“成功”弹出窗口,然后关闭弹出窗口或返回并选择“查找/列表”
- 继续使用后续用户;按照步骤2中的相同步骤操作,在集群中的所有用户上完成。
- 如果集群仅处于混合模式且CallManager证书已重新生成 — 请在继续执行进一步的令牌 — 无令牌之前更新CTL - Tokenless
- 登录Publisher的思科统一适用性
- 导航至Cisco Unified Serviceability > Tools > Control Center - Feature Services
- 从发布者开始,然后继续订用者,重新启动Cisco CallManager服务(运行)。
- 导航至Cisco Unified Serviceability > Tools > Control Center - Feature Services
- 从发布服务器开始,然后继续订用服务器,仅在运行时重新启动Cisco CTIManager服务
- 导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
- 从发布者开始,然后继续订用者,重新启动思科信任验证服务
- 导航至Cisco Unified Serviceability > Tools > Control Center - Feature Services
- 从发布服务器开始,然后继续订用服务器,仅在运行时重新启动Cisco TFTP服务
- 重新启动所有电话
- Cisco Unified CM管理> System >企业参数
- 选择Reset,您将看到一个弹出窗口,其中包含“You are arout to reset all devices in the system”语句。此操作无法撤消。继续?,选择确定,然后选择重置
电话现在将重置。通过RTMT工具监控其操作,以确保重置成功并且设备重新注册到CUCM。 请等待电话注册完成,然后继续下一个证书。此电话注册过程可能需要一些时间。请注意,在重新生成过程之前ITL不良的设备可能不会注册回集群。
TVS证书
警告: 请勿同时重新生成CallManager.PEM和TVS.PEM证书。 这将导致终端上安装的ITL不匹配,这将要求从集群中的所有终端删除ITL。
注意:TVS代表Call Manager对证书进行身份验证。最后重新生成此证书。
- 从发布者开始,然后从每个订阅者开始,导航至集群中的每台服务器(在Web浏览器的单独选项卡中)。 导航至Cisco Unified OS Administration > Security > Certificate Management > Find
- 选择TVS PEM证书。
- 打开后,选择“重新生成”,然后等到您看到“成功”弹出窗口,然后关闭弹出窗口或返回并选择“查找/列表”
- 继续使用后续用户;按照步骤1中的相同步骤操作,在集群中的所有用户上完成
- 在所有节点重新生成TVS证书后,重新启动服务:
- 登录Publisher的思科统一可维护性
- 导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
- 在发布者上,选择Restart on Cisco Trust Verification Service。
- 服务重新启动完成后,继续向订用者发送消息并重新启动思科信任验证服务
- 从发布服务器开始,然后继续订用服务器,仅在运行时重新启动Cisco TFTP Service。
- 重新启动所有电话
- Cisco Unified CM管理> System >企业参数
- 选择Reset,您将看到一个弹出窗口,其中包含“You are arout to reset all devices in the system”语句。此操作无法撤消。继续?,选择确定,然后选择重置
电话现在将重置。通过RTMT工具监控其操作,以确保重置成功并且设备重新注册到CUCM。 请等待电话注册完成,然后继续下一个证书。此电话注册过程可能需要一些时间。请注意,在重新生成过程之前ITL不良的设备可能不会注册回集群。
ITLR恢复证书
注意:当设备失去其受信任状态时,会使用ITLRecovery证书。证书同时显示在ITL和CTL中(当CTL提供程序处于活动状态时)。
如果设备失去其信任状态,则可以对非安全集群使用utils itl reset localkey命令,对混合模式集群使用utils ctl reset localkey命令。请阅读Call Manager版本的安全指南,了解如何使用ITLRecovery证书以及恢复受信任状态所需的过程。
如果集群已升级到支持密钥长度为2048的版本,且集群服务器证书已重新生成为2048,且ITLRecovery尚未重新生成,且当前为1024密钥长度,则ITL recovery命令将失败,ITLRecovery方法将无法使用。
- 导航至集群中的每台服务器(在Web浏览器的单独选项卡中),从发布者开始,然后是每个订用者。 导航至Cisco Unified OS Administration > Security > Certificate Management > Find
- 选择ITLRecovery pem Certificate。
- 打开后,选择“重新生成”,然后等到您看到“成功”弹出窗口,然后关闭弹出窗口或返回并选择“查找/列表”
- 继续使用后续订用者;按照步骤2中的相同步骤操作,在集群中的所有用户上完成
- 在所有节点重新生成ITLRecovery证书后,服务需要按如下顺序重新启动:
- 如果处于混合模式 — 在继续前更新CTL令牌 — 无令牌
- 登录Publisher的思科统一适用性
- 导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
- 在发布者上,选择Restart on Cisco Trust Verification Service。
- 服务重新启动完成后,继续向订用者发送消息并重新启动思科信任验证服务
- 从发布服务器开始,然后继续订用服务器,仅在运行时重新启动Cisco TFTP Service。
- 重新启动所有电话
- Cisco Unified CM管理> System >企业参数
- 选择Reset,您将看到一个弹出窗口,其中包含“You are arout to reset all devices in the system”语句。此操作无法撤消。继续?,选择确定,然后选择重置
- 电话将在重置时上传新的ITL/CTL。
删除过期的信任证书
注意:确定需要删除、不再需要或已过期的信任证书。 请勿删除五个基本证书,包括CallManager.pem、tomcat.pem、ipsec.pem、CAPF.pem和TVS.pem。可以在适当时删除信任证书。 以下服务重新启动旨在清除这些服务中旧证书的任何内存信息。
- 导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
- 从下拉列表中选择CUCM发布者
- 选择停止证书更改通知
- 对集群中的每个Call Manager节点重复此步骤
- 如果您有IMP服务器
- 从下拉菜单中选择IMP服务器,并选择“停止平台管理Web服务和Cisco群集间同步代理”(Stop Platform Administration Web Services and Cisco Intercluster Sync Agent)
- 导航至Cisco Unified OS Administration > Security > Certificate Management > Find
- 查找过期的信任证书。(对于版本10.X及更高版本,您可以按过期进行过滤。对于低于10.0的版本,您需要手动识别特定证书,或通过RTMT警报(如果收到)
- 同一信任证书可以出现在多个节点中。必须从每个节点单独删除。
- 选择要删除的信任证书(取决于您的版本,您将收到弹出窗口或您将导航到同一页面上的证书)
- 选择删除(您将看到一个以您开头的弹出窗口,即将永久删除此证书……)
- 选择OK
- 对要删除的每个信任证书重复该过程
- 完成后,需要重新启动与删除的证书直接相关的服务。您无需重新启动本部分中的电话。 Call Manager和CAPF将影响终端。
- Tomcat-trust:通过命令行重新启动Tomcat服务(请参阅Tomcat部分)
- CAPF信任:重新启动思科证书颁发机构代理功能(请参阅CAPF部分)请勿重新启动终端
- CallManager-trust:CallManager服务/CTI管理器(请参阅CallManager部分)不重新启动终端
- IPSEC-trust:DRF主/DRF本地(请参阅IPSEC部分)
- TVS(自签名)没有信任证书
- 重新启动之前在步骤1中停止的服务
验证
当前没有可用于此配置的验证过程。
故障排除
目前没有针对此配置的故障排除信息。