简介
本文档介绍如何管理Cisco Unified Communications Manager(CUCM)集群之间的批量认证以进行电话迁移。
先决条件
要求
Cisco 建议您了解以下主题:
·安全文件传输协议(SFTP)服务器
· CUCM证书
使用的组件
本文档中的信息基于CUCM 10.X。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
注意:CUCM版本12.5(1)管理指南的Manage Bulk Certificates部分也概述了此过程
批量证书管理允许在CUCM集群之间共享一组证书。此步骤要求各个集群的系统功能需要在它们之间建立信任,例如跨集群分机移动(EMCC),以及集群之间的电话迁移。
作为过程的一部分,将创建包含来自集群中所有节点的证书的公钥加密标准#12(PKCS12)文件。每个集群都必须将其证书导出到同一SFTP服务器上的同一SFTP目录。必须在源集群和目标集群的CUCM发布服务器上手动完成批量证书管理配置。源集群和目的集群必须启用且运行正常,以便要迁移的电话可以同时连接到这两个集群。源群集电话会迁移到目标群集。
批量证书管理过程
导出目标群集证书
步骤1.在目标集群的CUCM发布服务器上配置SFTP服务器进行批量证书管理。
在本示例中,目标集群CUCM版本为11.5.1。
导航到Cisco Unified OS Administration > Security > Bulk Certificate Management。输入SFTP服务器详细信息,然后单击导出。
输入SFTP Server Details(SFTP服务器详细信息)并点击Export(导出)。
步骤2.将所有证书从目标集群中的所有节点导出到SFTP服务器。
在Bulk Certificate Export弹出窗口中,为Certificate Type选择All,然后单击Export。
选择All作为Certificate Type,然后单击Export
关闭窗口,使用为目标群集中的每个节点创建的PKCS12文件进行Bulk Certificate Management更新,网页将使用此信息刷新,如图所示。
使用PKCS12文件执行批量证书管理更新
导出源群集证书
步骤1.在源群集的CUCM发布服务器上配置SFTP服务器进行批量证书管理。
在本示例中,源集群CUCM版本为10.5.2。
导航到Cisco Unified OS Administration > Security > Bulk Certificate Management,输入SFTP 服务器详细信息,然后单击Export。
注意:从目标集群导出到SFTP服务器的PKCS12文件在访问时显示在源集群CUCM发布者Bulk Certificate Management网页上。
输入SFTP服务器详细信息,然后点击导出
步骤2.将所有证书从源群集中的所有节点导出到SFTP服务器。
在Bulk Certificate Export弹出窗口中,为Certificate Type选择All,然后单击Export:
全部导出证书类型
单击关闭关闭此窗口。批量证书管理使用为源群集中的每个节点创建的PKCS12文件进行更新,网页将使用此信息刷新。现在,源群集的批量证书管理网页显示导出到SFTP的源和目标PKCS12文件。
PKCS12文件导出到SFTP。
合并源和目标PKCS12文件
注意:批量证书管理导出在源集群和目标集群上完成,而整合仅通过其中一个集群上的CUCM发布方完成。
步骤1.返回到源群集的CUCM 发布器的Bulk Certificate Management页,然后单击Consolidate:
点击Consolidate
在“批量证书合并”弹出窗口中,为证书类型选择All,然后单击合并。单击关闭关闭此窗口。
合并所有证书类型
您可以随时检查SFTP目录,以验证源群集和目标群集所包含的PKCS 12文件。从目标集群和源集群导出所有证书后,SFTP目录的内容已完成。这将在下一幅图像中显示。
导出所有证书后SFTP目录的内容
SFTP目录的内容
将证书导入到目标和源群集
步骤1.将证书导入目标集群。
在目标集群的CUCM发布服务器上,导航到Cisco Unified OS Administration > Security > Bulk Certificate Management,然后刷新页面,然后单击Import:

在Bulk Certificate Import弹出窗口中,为Certificate Type选择All,然后单击Import。单击关闭关闭此窗口。
选择全部(All),然后选择导入(Import)
Step 2. 对源群集重复步骤1。
注意:当执行批量证书导入时,证书以以下方式上传到远程群集:
— 证书颁发机构代理功能(CAPF)证书作为CallManager-trust上传。
- Tomcat证书作为tomcat-trust上传。
- CallManager证书作为Phone-SAST-trust和CallManager-trust上传。
— 身份信任列表恢复(ITLRecovery)证书作为Phone-SAST-trust和CallManager-trust上传。
使用目标集群TFTP服务器信息配置源集群电话
使用简单文件传输协议(TFTP)选项150配置源集群电话的DHCP作用域,以指向目标集群CUCM TFTP服务器。
重置源集群电话以获取目标集群ITL/CTL文件以完成迁移过程
作为迁移过程的一部分,源集群电话尝试建立到源集群思科信任验证服务(TVS)的安全连接,以验证目标集群CallManager或ITLRecovery证书。
注意:来自运行TFTP服务的CUCM服务器的源集群CallManager证书(也称为TFTP证书)或其ITLRecovery证书签署源集群CUCM节点证书信任列表(CTL)和/或身份信任列表(ITL)文件。同样,来自运行TFTP服务的CUCM服务器的目标集群CallManager证书或其ITLRecovery证书会签署目标集群CUCM节点CTL和/或ITL文件。CTL和ITL文件在运行TFTP服务的CUCM节点上创建。如果目标集群CTL和/或ITL文件未通过源集群TVS验证,则到目标集群的电话迁移失败。
注意:在开始源群集电话迁移过程之前,请确认这些电话安装了有效的CTL和/或ITL文件。此外,请确保对于源集群,将Prepare Cluster for Rollback to Pre 8.0企业功能设置为False。此外,验证运行TFTP服务的目标集群CUCM节点是否安装了有效的CTL和/或ITL文件。
这是源电话没有安全集群的情况下获取目标集群ITL文件以完成电话迁移的过程:
步骤1.在重置时提供给源集群电话的目标集群ITL文件中包含的CallManager和ITLRecovery证书均不能用于验证当前安装的ITL文件。这会导致源集群电话建立到源集群的TVS的连接,以验证目标集群ITL文件。
步骤2.电话在tcp端口2445上建立到源集群TVS的连接。
步骤3.源集群TVS向电话显示其证书。电话验证连接并请求源集群TVS验证目标集群CallManager或ITLRecovery证书,以允许电话下载目标集群ITL文件。
步骤4.在验证和安装目标集群ITL文件后,源集群电话现在可以从目标集群验证和下载已签名的配置文件。
这是使用安全群集为源电话获取目标群集CTL文件以完成电话迁移的过程:
步骤1.电话启动并尝试从目标集群下载CTL文件。
步骤2. CTL文件由目标集群CallManager或ITLRecovery证书签名,该证书不在电话当前CTL或ITL文件中。
步骤3.因此,电话会连接到源群集上的TVS以验证CallManager或ITLRecovery证书。
注意:此时,电话仍旧有包含源集群TVS服务的IP地址的旧配置。电话配置中指定的TVS服务器与电话CallManager组相同。
步骤4.电话建立到源群集上TVS的传输层安全(TLS)连接。
步骤5.当源集群TVS向电话显示其证书时,电话根据其当前ITL文件中的证书验证此TVS证书。
步骤6.如果相同,握手成功完成。
步骤7.源电话请求源集群TVS从目标集群CTL文件验证CallManager或ITLRecovery证书。
第8步:源TVS服务在其证书存储中找到目标集群CallManager或ITLRecovery,对其进行验证,源集群电话继续使用目标集群CTL文件进行更新。
步骤9.源电话下载目标集群ITL文件,该文件根据它现在包含的目标集群CTL文件进行验证。由于源电话CTL文件现在包含目标集群CallManager或ITLRecovery证书,因此源电话现在可以验证CallManager或ITLRecovery证书,而无需联系源集群TVS。
验证
当前没有可用于此配置的验证过程。
故障排除
目前没有针对此配置的故障排除信息。
配置视频
此链接提供对通过CUCM集群之间的批量证书管理的视频的访问:
CUCM集群之间的批量证书管理
相关信息