管理用于电话迁移的CUCM集群之间的批量证书

简介

本文档介绍如何管理Cisco Unified Communications Manager(CUCM)集群之间的批量认证以进行电话迁移。

先决条件

要求

Cisco 建议您了解以下主题：
·安全文件传输协议(SFTP)服务器
· CUCM证书

使用的组件

本文档中的信息基于CUCM 10.X。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

注意：CUCM版本12.5(1)管理指南的Manage Bulk Certificates部分也概述了此过程

批量证书管理允许在CUCM集群之间共享一组证书。此步骤要求各个集群的系统功能需要在它们之间建立信任，例如跨集群分机移动(EMCC)，以及集群之间的电话迁移。

作为过程的一部分，将创建包含来自集群中所有节点的证书的公钥加密标准#12(PKCS12)文件。每个集群都必须将其证书导出到同一SFTP服务器上的同一SFTP目录。必须在源集群和目标集群的CUCM发布服务器上手动完成批量证书管理配置。源集群和目的集群必须启用且运行正常，以便要迁移的电话可以同时连接到这两个集群。源群集电话会迁移到目标群集。

批量证书管理过程

导出目标群集证书

步骤1.在目标集群的CUCM发布服务器上配置SFTP服务器进行批量证书管理。

在本示例中，目标集群CUCM版本为11.5.1。

导航到Cisco Unified OS Administration > Security > Bulk Certificate Management。输入SFTP服务器详细信息，然后单击导出。

输入SFTP Server Details（SFTP服务器详细信息）并点击Export（导出）。

步骤2.将所有证书从目标集群中的所有节点导出到SFTP服务器。

在Bulk Certificate Export弹出窗口中，为Certificate Type选择All，然后单击Export。

选择All作为Certificate Type，然后单击Export

关闭窗口，使用为目标群集中的每个节点创建的PKCS12文件进行Bulk Certificate Management更新，网页将使用此信息刷新，如图所示。

使用PKCS12文件执行批量证书管理更新

导出源群集证书

步骤1.在源群集的CUCM发布服务器上配置SFTP服务器进行批量证书管理。

在本示例中，源集群CUCM版本为10.5.2。

导航到Cisco Unified OS Administration > Security > Bulk Certificate Management，输入SFTP 服务器详细信息，然后单击Export。

注意：从目标集群导出到SFTP服务器的PKCS12文件在访问时显示在源集群CUCM发布者Bulk Certificate Management网页上。

输入SFTP服务器详细信息，然后点击导出

步骤2.将所有证书从源群集中的所有节点导出到SFTP服务器。

在Bulk Certificate Export弹出窗口中，为Certificate Type选择All，然后单击Export:

全部导出证书类型

单击关闭关闭此窗口。批量证书管理使用为源群集中的每个节点创建的PKCS12文件进行更新，网页将使用此信息刷新。现在，源群集的批量证书管理网页显示导出到SFTP的源和目标PKCS12文件。

PKCS12文件导出到SFTP。

合并源和目标PKCS12文件

注意：批量证书管理导出在源集群和目标集群上完成，而整合仅通过其中一个集群上的CUCM发布方完成。

步骤1.返回到源群集的CUCM 发布器的Bulk Certificate Management页，然后单击Consolidate:

点击Consolidate

在“批量证书合并”弹出窗口中，为证书类型选择All，然后单击合并。单击关闭关闭此窗口。

合并所有证书类型

您可以随时检查SFTP目录，以验证源群集和目标群集所包含的PKCS 12文件。从目标集群和源集群导出所有证书后，SFTP目录的内容已完成。这将在下一幅图像中显示。

导出所有证书后SFTP目录的内容

SFTP目录的内容

将证书导入到目标和源群集

步骤1.将证书导入目标集群。

在目标集群的CUCM发布服务器上，导航到Cisco Unified OS Administration > Security > Bulk Certificate Management，然后刷新页面，然后单击Import:

在Bulk Certificate Import弹出窗口中，为Certificate Type选择All，然后单击Import。单击关闭关闭此窗口。

选择全部(All)，然后选择导入(Import)

Step 2.  对源群集重复步骤1。

注意：当执行批量证书导入时，证书以以下方式上传到远程群集：
— 证书颁发机构代理功能(CAPF)证书作为CallManager-trust上传。
- Tomcat证书作为tomcat-trust上传。
- CallManager证书作为Phone-SAST-trust和CallManager-trust上传。
— 身份信任列表恢复(ITLRecovery)证书作为Phone-SAST-trust和CallManager-trust上传。

使用目标集群TFTP服务器信息配置源集群电话

使用简单文件传输协议(TFTP)选项150配置源集群电话的DHCP作用域，以指向目标集群CUCM TFTP服务器。

重置源集群电话以获取目标集群ITL/CTL文件以完成迁移过程

作为迁移过程的一部分，源集群电话尝试建立到源集群思科信任验证服务(TVS)的安全连接，以验证目标集群CallManager或ITLRecovery证书。

注意：来自运行TFTP服务的CUCM服务器的源集群CallManager证书（也称为TFTP证书）或其ITLRecovery证书签署源集群CUCM节点证书信任列表(CTL)和/或身份信任列表(ITL)文件。同样，来自运行TFTP服务的CUCM服务器的目标集群CallManager证书或其ITLRecovery证书会签署目标集群CUCM节点CTL和/或ITL文件。CTL和ITL文件在运行TFTP服务的CUCM节点上创建。如果目标集群CTL和/或ITL文件未通过源集群TVS验证，则到目标集群的电话迁移失败。

注意：在开始源群集电话迁移过程之前，请确认这些电话安装了有效的CTL和/或ITL文件。此外，请确保对于源集群，将Prepare Cluster for Rollback to Pre 8.0企业功能设置为False。此外，验证运行TFTP服务的目标集群CUCM节点是否安装了有效的CTL和/或ITL文件。

这是源电话没有安全集群的情况下获取目标集群ITL文件以完成电话迁移的过程：

步骤1.在重置时提供给源集群电话的目标集群ITL文件中包含的CallManager和ITLRecovery证书均不能用于验证当前安装的ITL文件。这会导致源集群电话建立到源集群的TVS的连接，以验证目标集群ITL文件。
步骤2.电话在tcp端口2445上建立到源集群TVS的连接。
步骤3.源集群TVS向电话显示其证书。电话验证连接并请求源集群TVS验证目标集群CallManager或ITLRecovery证书，以允许电话下载目标集群ITL文件。
步骤4.在验证和安装目标集群ITL文件后，源集群电话现在可以从目标集群验证和下载已签名的配置文件。

这是使用安全群集为源电话获取目标群集CTL文件以完成电话迁移的过程：

步骤1.电话启动并尝试从目标集群下载CTL文件。
步骤2. CTL文件由目标集群CallManager或ITLRecovery证书签名，该证书不在电话当前CTL或ITL文件中。
步骤3.因此，电话会连接到源群集上的TVS以验证CallManager或ITLRecovery证书。

注意：此时，电话仍旧有包含源集群TVS服务的IP地址的旧配置。电话配置中指定的TVS服务器与电话CallManager组相同。

步骤4.电话建立到源群集上TVS的传输层安全(TLS)连接。
步骤5.当源集群TVS向电话显示其证书时，电话根据其当前ITL文件中的证书验证此TVS证书。
步骤6.如果相同，握手成功完成。
步骤7.源电话请求源集群TVS从目标集群CTL文件验证CallManager或ITLRecovery证书。
第8步：源TVS服务在其证书存储中找到目标集群CallManager或ITLRecovery，对其进行验证，源集群电话继续使用目标集群CTL文件进行更新。
步骤9.源电话下载目标集群ITL文件，该文件根据它现在包含的目标集群CTL文件进行验证。由于源电话CTL文件现在包含目标集群CallManager或ITLRecovery证书，因此源电话现在可以验证CallManager或ITLRecovery证书，而无需联系源集群TVS。

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。

配置视频

此链接提供对通过CUCM集群之间的批量证书管理的视频的访问：

CUCM集群之间的批量证书管理

相关信息

• CUCM版本12.5(1)管理指南的“管理批量证书”部分
• CUCM集群之间的批量证书管理
• 思科技术支持和下载