思科统一通信管理器(CUCM)的证书再生流程

简介

本文档提供了在Cisco Unified Communications Manager(CUCM)8.X及更高版本中如何重新生成证书的推荐分步过程。此过程不使用回退到8.0功能之前的版本，并按功能更新证书。默认情况下，安全功能是身份信任列表(ITL)，而混合模式功能是证书信任列表(CTL)，以避免注册问题。

作者：思科TAC工程师Ken Ryder。

先决条件

要求 

Cisco 建议您了解以下主题：

• 实时监控工具(RTMT)
• CUCM证书 

使用的组件

• CUCM版本8.X及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

安装RTMT

• 从Call Manager下载并安装RTMT工具
  • 导航至Call Manager(CM)管理
  • 应用程序>插件>查找> 思科统一实时监控工具 — Windows >下载
    • 安装并启动 

使用RTMT监控终端

• 启动RTMT并输入IP地址或完全限定域名(FQDN)，然后输入用户名和密码以访问该工具
  • 选择语音/视频选项卡
  • 选择设备摘要
    • 本节确定注册终端的总数以及每个节点的数量
    • 终端重置时监控，以确保在重新生成下一个证书之前注册 

提示：某些证书的重新生成过程可能会影响终端。由于需要重新启动服务和重新启动电话，因此请考虑在正常工作时间后采取的行动计划。强烈建议通过RTMT监控电话注册。

警告：当前ITL不匹配的终端在此过程后可能会出现注册问题。  在终端上删除ITL是重新生成过程完成后，所有其他电话都已注册后的典型最佳实践解决方案。

确定集群是处于混合模式还是非安全模式

• 导航至CM管理
  • System > Enterprise Parameters > Security Parameters > Cluster Security Mode

证书存储的影响

在整个 CUCM 集群中更新所有证书对于确保系统的出色功能非常重要。如果证书已过期或无效，则可能会严重影响系统的正常功能。此处显示无效或过期的特定证书的服务列表。受到的影响可能因系统设置而不同。

CallManager.pem

• 加密/身份验证电话不注册
• 不信任简单文件传输协议(TFTP)（电话不接受签名的配置文件和/或ITL文件）
• 电话服务可能受到影响
• 安全会话发起协议(SIP)中继或媒体资源(会议网桥、媒体终端点(MTP)、编码器等)不会注册或工作。
• AXL 请求失败。

Tomcat.pem

• 电话无法访问CUCM节点上托管的HTTP服务，例如公司目录
• CUCM可能存在各种Web问题，例如无法从集群中的其他节点访问服务页面
• 跨群集分机移动(EM)或分机移动问题
• 单点登录(SSO)
• 如果UCCX（统一联系中心快捷版）已集成，由于CCX 12.5的安全更改，需要在UCCX tomcat信任库中上传CUCM Tomcat证书（自签名）或Tomcat根和中间证书（用于CA签名），因为它会影响Finesse桌面登录

CAPF.pem

• 电话不对电话VPN、802.1x或电话代理进行身份验证
• 无法为电话颁发本地有效证书(LSC)证书。
• 加密的配置文件不起作用

IPSec.pem

• 灾难恢复系统(DRS)/灾难恢复框架(DRF)可能无法正常运行
• 到网关(GW)到其他CUCM集群的IPsec隧道不起作用

TVS（信任验证服务）

默认情况下，信任验证服务(TVS)是安全的主要组件。TVS使思科统一IP电话能够在HTTPS建立时对应用服务器（如EM服务、目录和MIDlet）进行身份验证。

TVS提供以下功能：

• 可扩展性 — 思科统一IP电话资源不受信任证书数量的影响
• 灵活性 — 信任证书的添加或删除会自动反映在系统中
• 默认安全 — 非介质和信号安全功能是默认安装的一部分，无需用户干预

ITL和CTL

• ITL包含Call Manager TFTP的证书角色、集群中的所有TVS证书以及运行时的证书颁发机构代理功能(CAPF)
• CTL包含在同一服务器、CAPF、TFTP服务器和自适应安全设备(ASA)防火墙上运行的系统管理员安全令牌(SAST)、Cisco CallManager和Cisco TFTP服务条目。CTL中未引用TVS

证书再生过程

注意：在重新生成证书之前，所有终端都需要打开并注册。否则，未连接的电话将需要删除ITL。

Tomcat证书

确定第三方证书是否正在使用。

1. 从发布者开始，然后依次导航至集群中的每台服务器（在Web浏览器的单独选项卡中）。  导航至Cisco Unified OS Administration > Security > Certificate Management > Find
   
   • 如果Tomcat状态系统生成的自签名证书，请从“说明”(Description)列观察。如果Tomcat是第三方签名，请遵循提供的链接，并在Tomcat重新生成后执行这些步骤
   • 第三方签名证书 — https://supportforums.Cisco.com/docs/DOC-6119
2. 选择Find以显示所有证书
   • 选择Tomcat pem证书
   • 打开后，选择“重新生成”，然后等到您看到“成功”弹出窗口，然后关闭弹出窗口或返回并选择“查找/列表”
3. 继续处理每个后续订用服务器，按照步骤2中的相同步骤操作并在集群中的所有订用服务器上完成
4. 在所有节点重新生成Tomcat证书后，在所有节点上重新启动tomcat服务。从发布者开始，然后是订阅者。
   • 要重新启动Tomcat，您需要为每个节点打开CLI会话并执行命令utils service重新启动Cisco Tomcat

5.如果适用，请执行CCX环境所需的步骤， 

• 如果使用自签名证书，请从CUCM集群的所有节点上传Tomcat证书到Unified CCX Tomcat信任库
• 如果使用CA签名或专用CA签名证书，请将CUCM的根CA证书上传到Unified CCX Tomcat信任库
• 按照CCX的证书再生文档中所述重新启动服务器

https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/118855-configure-uccx-00.html#anc12

https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/crs/express_12_5/release/guide/uccx_b_uccx-solution-release-notes-125/uccx_b_uccx-solution-release-notes-125_chapter_01.html#reference_2D9122E01C43B6E0AA06AB2A3248B797

 IPSEC证书

注意：CUCM/即时消息和在线状态(IM&P)（版本10.X之前），DRF主代理在CUCM发布服务器和IM&P发布服务器上运行。  DRF本地服务分别在用户上运行。  版本10.X及更高版本，DRF主代理仅在CUCM发布服务器上运行，DRF本地服务将在CUCM订阅服务器、IM&P发布服务器和订阅服务器上运行。

注意：灾难恢复系统在主代理和本地代理之间使用基于安全套接字层(SSL)的通信，对CUCM群集节点之间的数据进行身份验证和加密。DRS使用IPSec证书进行公钥/私钥加密。请注意，如果从Certificate Management页面删除IPSEC信任库(hostname.pem)文件，则DRS将无法按预期工作。如果手动删除IPSEC信任文件，则必须确保将IPSEC证书上传到IPSEC信任库。有关详细信息，请参阅《思科统一通信管理器安全指南》中的证书管理帮助页。

1. 从发布者开始，然后依次导航至集群中的每台服务器（在Web浏览器的单独选项卡中）。  导航至Cisco Unified OS Administration > Security > Certificate Management > Find
   
   • 选择IPSEC pem Certificate。
   • 打开后，选择“重新生成”，然后等到您看到“成功”弹出窗口，然后关闭弹出窗口或返回并选择“查找/列表”
2. 继续使用后续订用者；按照步骤1中的相同步骤操作，在集群中的所有用户上完成
3. 在所有节点重新生成IPSEC证书后，重新启动服务。
   
   • 导航至发布方的思科统一适用性
     1. 思科统一可维护性>工具>控制中心 — 网络服务
     2. 在Cisco DRF主服务上选择“重新启动”
     3. 服务重新启动完成后，在发布方的Cisco DRF本地服务上选择重新启动，然后继续向订用方提供服务，并在Cisco DRF本地服务上选择重新启动

发布方中的IPSEC.pem证书必须有效，并且必须作为IPSEC信任库存在于所有用户中。在标准部署中，发布者中的订用者IPSEC.pem证书将不作为IPSEC信任库存在。为了验证有效性，将PUB的IPSEC.pem证书中的序列号与SUB中的IPSEC -trust进行比较。它们必须匹配。

CAPF证书

警告：在继续之前，请确保已确定您的集群是否处于混合模式。  请参阅确定集群是处于混合模式还是非安全模式。

1. 导航至Cisco Unified CM管理>系统>企业参数。
   
   • 检查安全参数部分并验证集群安全模式是否设置为0或1。如果值为0，则集群处于非安全模式。如果为1，则集群处于混合模式，您需要在重新启动服务之前更新CTL文件。  请参阅下面的令牌和无令牌链接。
2. 导航至集群中的每台服务器（在Web浏览器的单独选项卡中），从发布者开始，然后是每个订用者。  导航至Cisco Unified OS Administration > Security > Certificate Management > Find
   
   • 选择CAPF pem Certificate。
   • 打开后，选择“重新生成”，然后等到您看到“成功”弹出窗口，然后关闭弹出窗口或返回并选择“查找/列表”
3. 继续使用后续用户；按照步骤2中的相同步骤操作，在集群中的所有用户上完成
   • 如果集群仅处于混合模式且CAPF已重新生成 — 在继续执行进一步的令牌 — 令牌之前更新CTL - Tokenless
   • 如果集群处于混合模式，则还需要在重新启动其他服务之前重新启动Call Manager服务
4. 在所有节点重新生成CAPF证书后，重新启动服务
   
   • 导航至发布方的思科统一适用性
     1. 思科统一可维护性>工具>控制中心 — 功能服务
     2. 从发布者开始，仅在运行时在Cisco证书颁发机构代理功能服务上选择Restart
5. 导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
   • 从发布者开始，然后继续订用者，选择“在思科信任验证服务上重新启动”。
   • 导航至Cisco Unified Serviceability > Tools > Control Center - Feature Services
   • 从发布者开始，然后继续订用者，仅在运行时重新启动Cisco TFTP Service。
6. 重新启动所有电话
   • Cisco Unified CM管理> System >企业参数
   • 选择Reset，您将看到一个弹出窗口，其中包含“You are arout to reset all devices in the system”语句。此操作无法撤消。继续？,选择确定，然后选择重置

电话现在将重置。通过RTMT工具监控其操作，以确保重置成功并且设备重新注册到CUCM。  请等待电话注册完成，然后继续下一个证书。此电话注册过程可能需要一些时间。请注意，在重新生成过程之前ITL不良的设备可能不会注册回集群。

CallManager证书

警告：在继续之前，请确保已确定您的集群是否处于混合模式。请参阅确定集群是处于混合模式还是非安全模式。

警告：请勿同时重新生成CallManager.PEM和TVS.PEM证书。  这将导致终端上安装的ITL不匹配，这将要求从集群中的所有终端删除ITL。完成CallManager.PEM的整个流程，并在电话重新注册后，开始TVS.PEM的流程

1. 导航至Cisco Unified CM管理>系统>企业参数。
   • 检查安全参数部分并验证集群安全模式是否设置为0或1。如果值为0，则集群处于非安全模式。如果为1，则集群处于混合模式，您需要在重新启动服务之前更新CTL文件。  请参阅下面的令牌和无令牌链接。
2. 导航至集群中的每台服务器（在Web浏览器的单独选项卡中），从发布者开始，然后是每个订用者。  导航至Cisco Unified OS Administration > Security > Certificate Management > Find
   
   • 选择CallManager PEM证书。
   • 打开后，选择“重新生成”，然后等到您看到“成功”弹出窗口，然后关闭弹出窗口或返回并选择“查找/列表”
3. 继续使用后续用户；按照步骤2中的相同步骤操作，在集群中的所有用户上完成。
   • 如果集群仅处于混合模式且CallManager证书已重新生成 — 请在继续执行进一步的令牌 — 无令牌之前更新CTL - Tokenless
4. 登录Publisher的思科统一适用性
   • 导航至Cisco Unified Serviceability > Tools > Control Center - Feature Services
   • 从发布者开始，然后继续订用者，重新启动Cisco CallManager服务（运行）。
5. 导航至Cisco Unified Serviceability > Tools > Control Center - Feature Services
   
   • 从发布服务器开始，然后继续订用服务器，仅在运行时重新启动Cisco CTIManager服务
6. 导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
   
   • 从发布者开始，然后继续订用者，重新启动思科信任验证服务
7. 导航至Cisco Unified Serviceability > Tools > Control Center - Feature Services
   
   • 从发布服务器开始，然后继续订用服务器，仅在运行时重新启动Cisco TFTP服务
8. 重新启动所有电话
   • Cisco Unified CM管理> System >企业参数
   • 选择Reset，您将看到一个弹出窗口，其中包含“You are arout to reset all devices in the system”语句。此操作无法撤消。继续？,选择确定，然后选择重置

电话现在将重置。通过RTMT工具监控其操作，以确保重置成功并且设备重新注册到CUCM。  请等待电话注册完成，然后继续下一个证书。此电话注册过程可能需要一些时间。请注意，在重新生成过程之前ITL不良的设备可能不会注册回集群。

TVS证书

警告： 请勿同时重新生成CallManager.PEM和TVS.PEM证书。  这将导致终端上安装的ITL不匹配，这将要求从集群中的所有终端删除ITL。

  注意：TVS代表Call Manager对证书进行身份验证。最后重新生成此证书。

1. 从发布者开始，然后从每个订阅者开始，导航至集群中的每台服务器（在Web浏览器的单独选项卡中）。  导航至Cisco Unified OS Administration > Security > Certificate Management > Find
   
   • 选择TVS PEM证书。
   • 打开后，选择“重新生成”，然后等到您看到“成功”弹出窗口，然后关闭弹出窗口或返回并选择“查找/列表”
2. 继续使用后续用户；按照步骤1中的相同步骤操作，在集群中的所有用户上完成
   • 在所有节点重新生成TVS证书后，重新启动服务：
     • 登录Publisher的思科统一可维护性
       • 导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
       • 在发布者上，选择Restart on Cisco Trust Verification Service。
     • 服务重新启动完成后，继续向订用者发送消息并重新启动思科信任验证服务
3. 从发布服务器开始，然后继续订用服务器，仅在运行时重新启动Cisco TFTP Service。
4. 重新启动所有电话
   • Cisco Unified CM管理> System >企业参数
   • 选择Reset，您将看到一个弹出窗口，其中包含“You are arout to reset all devices in the system”语句。此操作无法撤消。继续？,选择确定，然后选择重置

电话现在将重置。通过RTMT工具监控其操作，以确保重置成功并且设备重新注册到CUCM。  请等待电话注册完成，然后继续下一个证书。此电话注册过程可能需要一些时间。请注意，在重新生成过程之前ITL不良的设备可能不会注册回集群。

ITLR恢复证书

注意：当设备失去其受信任状态时，会使用ITLRecovery证书。证书同时显示在ITL和CTL中（当CTL提供程序处于活动状态时）。
如果设备失去其信任状态，则可以对非安全集群使用utils itl reset localkey命令，对混合模式集群使用utils ctl reset localkey命令。请阅读Call Manager版本的安全指南，了解如何使用ITLRecovery证书以及恢复受信任状态所需的过程。
如果集群已升级到支持密钥长度为2048的版本，且集群服务器证书已重新生成为2048，且ITLRecovery尚未重新生成，且当前为1024密钥长度，则ITL recovery命令将失败，ITLRecovery方法将无法使用。

1. 导航至集群中的每台服务器（在Web浏览器的单独选项卡中），从发布者开始，然后是每个订用者。  导航至Cisco Unified OS Administration > Security > Certificate Management > Find
   
   • 选择ITLRecovery pem Certificate。
   • 打开后，选择“重新生成”，然后等到您看到“成功”弹出窗口，然后关闭弹出窗口或返回并选择“查找/列表”
2. 继续使用后续订用者；按照步骤2中的相同步骤操作，在集群中的所有用户上完成
3. 在所有节点重新生成ITLRecovery证书后，服务需要按如下顺序重新启动：
   • 如果处于混合模式 — 在继续前更新CTL令牌 — 无令牌
   • 登录Publisher的思科统一适用性
     • 导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
     • 在发布者上，选择Restart on Cisco Trust Verification Service。
   •  服务重新启动完成后，继续向订用者发送消息并重新启动思科信任验证服务
4. 从发布服务器开始，然后继续订用服务器，仅在运行时重新启动Cisco TFTP Service。
5. 重新启动所有电话
   • Cisco Unified CM管理> System >企业参数
   • 选择Reset，您将看到一个弹出窗口，其中包含“You are arout to reset all devices in the system”语句。此操作无法撤消。继续？,选择确定，然后选择重置
6. 电话将在重置时上传新的ITL/CTL。

删除过期的信任证书

注意：确定需要删除、不再需要或已过期的信任证书。  请勿删除五个基本证书，包括CallManager.pem、tomcat.pem、ipsec.pem、CAPF.pem和TVS.pem。可以在适当时删除信任证书。  以下服务重新启动旨在清除这些服务中旧证书的任何内存信息。

1. 导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
   • 从下拉列表中选择CUCM发布者
   • 选择停止证书更改通知
   • 对集群中的每个Call Manager节点重复此步骤
   • 如果您有IMP服务器
     • 从下拉菜单中选择IMP服务器，并选择“停止平台管理Web服务和Cisco群集间同步代理”(Stop Platform Administration Web Services and Cisco Intercluster Sync Agent)
2. 导航至Cisco Unified OS Administration > Security > Certificate Management > Find
   
   • 查找过期的信任证书。(对于版本10.X及更高版本，您可以按过期进行过滤。对于低于10.0的版本，您需要手动识别特定证书，或通过RTMT警报（如果收到）
   • 同一信任证书可以出现在多个节点中。必须从每个节点单独删除。
   • 选择要删除的信任证书（取决于您的版本，您将收到弹出窗口或您将导航到同一页面上的证书）
     • 选择删除(您将看到一个以您开头的弹出窗口，即将永久删除此证书……)
     • 选择OK
3. 对要删除的每个信任证书重复该过程
4. 完成后，需要重新启动与删除的证书直接相关的服务。您无需重新启动本部分中的电话。  Call Manager和CAPF将影响终端。
   • Tomcat-trust:通过命令行重新启动Tomcat服务（请参阅Tomcat部分）
   • CAPF信任：重新启动思科证书颁发机构代理功能（请参阅CAPF部分）请勿重新启动终端
   • CallManager-trust:CallManager服务/CTI管理器（请参阅CallManager部分）不重新启动终端
     • 影响终端并导致重新启动
   • IPSEC-trust:DRF主/DRF本地（请参阅IPSEC部分）
   • TVS（自签名）没有信任证书
5. 重新启动之前在步骤1中停止的服务

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。