从已签名的CA证书创建新证书

简介

本文档介绍如何在Cisco Unified Communications Manager(CUCM)中重新生成证书颁发机构(CA)签名的证书。

先决条件

要求

Cisco 建议您了解以下主题：

• 实时监控工具(RTMT)
• CUCM证书

使用的组件

• CUCM版本14.x和15.x

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

业务影响

此表显示您的操作中每次证书续订对业务的影响。仔细阅读此信息。根据每个证书的风险级别，在下班后或静默期续订所需的证书。

预检查信息

注意：有关自签名证书再生的信息，请参阅证书再生指南。有关CA签名的多SAN证书再生的信息，请参阅多SAN证书再生指南

每种证书签名请求(CSR)类型具有不同的密钥用途，签名证书中需要这些用途。安全指南包括一个表，其中包含每种证书类型所需的密钥用法。

要更改主题设置（Locality、State、Organization Unit等），请运行此命令：

• set web-security orgunit orgname locality state [country] [alternatehostname] 

运行set web-security命令后，将自动重新生成Tomcat证书。除非重新启动Tomcat服务，否则不会应用新的自签名证书。有关此命令的详细信息，请参阅以下指南：

• 命令行参考指南
• 思科社区步骤链接
• 视频

配置和重新生成证书

针对每种类型的证书，列出了在由CA签名的CUCM集群中重新生成单节点证书的步骤。如果集群中的所有证书尚未过期，则无需重新生成这些证书。 

Tomcat证书 

警告：Tomcat证书到期或续订过程中的错误过程可能导致：SSO登录失败，电话无法访问CUCM节点上托管的HTTP服务，例如企业目录。CUCM可能遇到各种Web问题，例如无法从集群中的其他节点访问服务页面。Extension Mobility(EM)或Extension Mobility Cross Cluster。Expressway遍历区域关闭（启用TLS验证）。 如果集成了Unified Contact Center Express(UCCX)，由于CCX的安全更改，则需要在UCCX tomcat-trust存储中上传CUCM Tomcat证书（自签名）或Tomcat根证书和中间证书（用于CA签名），因为它会影响Finesse桌面登录。

注意：验证是否已在集群中禁用SSO(CM Administration > System > SAML Single Sign-On)。 如果SSO已启用，则必须先将其禁用，然后在Tomcat证书重新生成过程完成后将其启用。

在集群的所有节点（CallManager和IM&P）上：

步骤1.导航到Cisco Unified OS Administration > Security > Certificate Management > Find并验证Tomcat证书的到期日期。

步骤2.点击生成CSR(Generate CSR)>证书用途(Certificate Purpose):tomcat.为证书选择所需的设置，然后点击Generate。等待显示成功消息，然后点击Close。

步骤3.下载CSR。点击Download CSR，选择Certificate Purpose:tomcat，然后点击Download。

步骤4.将CSR发送到证书颁发机构。

步骤5.证书颁发机构为已签名的证书链返回两个或多个文件。按以下顺序上传证书：

• 根CA证书作为tomcat-trust。导航到Certificate Management > Upload certificate > Certificate Purpose:tomcat-trust。设置证书的说明并浏览根证书文件。
• 中间证书作为tomcat-trust（可选）。 导航到Certificate Management > Upload certificate > Certificate Purpose:tomcat-trust。设置证书的说明并浏览中间证书文件。

注意：某些CA不提供中间证书。如果仅提供根证书，则可省略此步骤。

• CA签名证书作为tomcat。导航到Certificate Management > Upload certificate > Certificate Purpose:tomcat。设置证书的说明并浏览当前CUCM节点的CA签名证书文件。

注意：此时，CUCM会比较CSR和上传的CA签名证书。如果信息匹配，则CSR消失，并且上传新的CA签名证书。如果在证书上传后收到错误消息，请参阅上传证书常见错误消息部分。

步骤6.要获取应用到服务器的新证书，需要通过CLI重新启动Cisco Tomcat服务（先从Publisher启动，然后逐一启动），请使用命令utils service restart Cisco Tomcat。

要验证CUCM现在使用的Tomcat证书，请导航到节点的网页并在浏览器中选择Site Information(Lock Icon)。点击证书选项，并验证新证书的日期。

IPSec证书 

警告：IPsec证书到期或续订过程中的错误过程可能导致：灾难恢复系统(DRS)/灾难恢复框架(DRF)无法正常工作。到网关(GW)或其他CUCM集群的IPsec隧道不起作用。

警告：重新生成IPSec证书时，备份或还原任务不能处于活动状态。

对于集群的所有节点（CallManager和IM&P）：

步骤1.导航到Cisco Unified OS Administration > Security > Certificate Management > Find并验证ipsec证书的到期日期。

步骤2.点击生成CSR(Generate CSR)>证书用途(Certificate Purpose):ipsec.为证书选择所需的设置，然后点击Generate。等待显示成功消息，然后单击“关闭”。

步骤3.下载CSR。点击下载CSR。选择Certificate Purpose ipsec并单击Download。

步骤4.将CSR发送到证书颁发机构。

步骤5.证书颁发机构为已签名的证书链返回两个或多个文件。按以下顺序上传证书：

• 根CA证书作为ipsec-trust。导航到Certificate Management > Upload certificate > Certificate Purpose:ipsec-trust。设置证书的说明并浏览根证书文件。
• 中间证书作为ipsec-trust（可选）。 导航到Certificate Management > Upload certificate > Certificate Purpose:tomcat-trust。设置证书的说明并浏览中间证书文件。

注意：某些CA不提供中间证书。如果仅提供根证书，则可省略此步骤。

• CA签名的证书作为ipsec。导航到Certificate Management > Upload certificate > Certificate Purpose:ipsec.设置证书的说明并浏览当前CUCM节点的CA签名证书文件。

注意：此时，CUCM会比较CSR和上传的CA签名证书。如果信息匹配，则CSR消失，并且上传了新的CA签名证书。如果在证书上传后收到错误消息，请参阅上传证书常见错误消息< /strong>部分。

步骤6.要将新证书应用到服务器，必须重新启动所需的服务（仅当服务运行且处于活动状态时）。 导航至：

• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco DRF Master(Publisher)
• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco DRF Local（发布服务器和订用服务器）

CAPF证书

警告：CAPF证书到期或续订过程中的错误过程可能导致：终端（在线和离线CAPF模式除外）、电话VPN、802.1x和电话代理的身份验证和加密设置问题。CTI、JTAPI和TAPI。

注意：要确定集群是否处于混合模式，请导航到Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode(0 == Non-Secure;1 == 混合模式）。

注意：CAPF服务仅在发布服务器上运行，这是唯一使用的证书。不需要获取由CA签名的用户节点，因为它们未被使用。如果证书在订阅服务器中过期，并且您希望避免过期证书的警报，您可以将订阅服务器CAPF证书重新生成为自签名。有关详细信息，请参阅CAPF证书作为自签名。

在发布服务器中：

步骤1.导航到Cisco Unified OS Administration > Security > Certificate Management > Find并验证CAPF证书的到期日期。

步骤2.点击生成CSR(Generate CSR)>证书用途(Certificate Purpose):CAPF.为证书选择所需的设置，然后点击Generate。等待显示成功消息，然后点击Close。

步骤3.下载CSR。点击下载CSR。选择Certificate Purpose CAPF（证书用途CAPF），然后单击Download（下载）。

步骤4.将CSR发送到证书颁发机构。

步骤5.证书颁发机构为已签名的证书链返回两个或多个文件。按以下顺序上传证书：

• 根CA证书作为CAPF-trust。导航到Certificate Management > Upload certificate > Certificate Purpose:CAPF-trust。设置证书的说明并浏览根证书文件。
• 中间证书作为CAPF-trust（可选）。 导航到Certificate Management > Upload certificate > Certificate Purpose:CAPF-trust。设置证书的说明并浏览中间证书文件。

注意：某些CA不提供中间证书。如果仅提供根证书，则可省略此步骤。

• CA签名证书作为CAPF。导航到Certificate Management > Upload certificate > Certificate Purpose:CAPF.设置证书的说明并浏览当前CUCM节点的CA签名证书文件。

注意：此时，CUCM会比较CSR和上传的CA签名证书。如果信息匹配，则CSR消失，并且上传了新的CA签名证书。如果在证书上传后收到错误消息，请参阅上传证书常见错误消息部分。

步骤6.如果集群处于混合模式，请在服务重新启动之前更新CTL:令牌或无令牌的。如果集群处于非安全模式，请跳过此步骤并继续服务重新启动。

步骤7.要使新证书应用到服务器，必须重新启动所需的服务（仅当服务运行且处于活动状态时）。 导航至：

• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service（运行服务的所有节点。）
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP（运行服务的所有节点。）
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco Certificate Authority Proxy Function(Publisher)

步骤8.重置所有电话：

• 导航到Cisco Unified CM管理>System >企业参数>重置。系统将显示一个弹出窗口，其中显示语句“You are about to reset all devices in the system.此操作无法撤消。Continue?选择OK（确定），然后单击Reset（重置）。

注意：通过RTMT监控设备注册。所有电话重新注册后，您可以继续下一个证书类型。

CallManager证书 

警告：Call manager证书到期或续订过程中的错误进程可能导致：电话注册问题。经过加密/身份验证的电话无法注册。简单文件传输协议(TFTP)不可信（电话不接受签名配置文件和/或ITL文件）。 安全会话发起协议(SIP)中继或媒体资源(会议网桥、媒体终端点(MTP)、转码器等)不注册或工作。AXL 请求失败。

警告：请勿同时重新生成CallManager和TVS证书。这会导致终端上已安装的ITL出现不可恢复的不匹配，这需要从集群中的所有终端删除ITL。完成CallManager的整个过程，并在电话重新注册后，启动TVS的流程。

注意：要确定集群是否处于混合模式，请导航到Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode(0 == Non-Secure;1 == 混合模式）。

对于集群的所有CallManager节点：

步骤1.导航到Cisco Unified OS Administration > Security > Certificate Management > Find并验证CallManager证书的到期日期。

步骤2.点击生成CSR(Generate CSR)>证书用途(Certificate Purpose):CallManager.为证书选择所需的设置，然后点击Generate。等待显示成功消息，然后点击Close。

步骤3.下载CSR。点击下载CSR。选择证书用途：CallManager并点击Download。 

步骤4.将CSR发送到证书颁发机构。

步骤5.证书颁发机构为已签名的证书链返回两个或多个文件。按以下顺序上传证书：

• 根CA证书作为CallManager-trust。导航到Certificate Management > Upload certificate > Certificate Purpose:CallManager信任。设置证书的说明并浏览根证书文件。
• 中间证书作为CallManager-trust（可选）。 导航到Certificate Management > Upload certificate > Certificate Purpose:CallManager信任。设置证书的说明并浏览中间证书文件。

注意：某些CA不提供中间证书。如果仅提供根证书，则可省略此步骤。

• CA签名证书作为CallManager。导航到Certificate Management > Upload certificate > Certificate Purpose:CallManager.设置证书的说明并浏览当前CUCM节点的CA签名证书文件。

注意：此时，CUCM会比较CSR和上传的CA签名证书。如果信息匹配，则CSR消失，并且上传新的CA签名证书。如果在证书上传后收到错误消息，请参阅上传证书常见错误消息部分。

步骤6.如果集群处于混合模式，请在服务重新启动之前更新CTL:令牌或无令牌的。如果集群处于非安全模式，请跳过此步骤并继续服务重新启动。

步骤7.要将新证书应用到服务器，必须重新启动所需的服务（仅当服务运行且处于活动状态时）。 导航至：

• Cisco Unified Serviceability > Tools > Control Center — 网络服务> Cisco Trust Verification Service
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTIManager 

步骤8.重置所有电话：

• 导航到Cisco Unified CM管理>System >企业参数>重置。系统将显示一个弹出窗口，其中显示语句“You are about to reset all devices in the system.此操作无法撤消。Continue?选择OK（确定），然后点击Reset（重置）。

注意：通过RTMT监控设备注册。所有电话重新注册后，您可以继续下一个证书类型。

TVS证书  

警告：TVS证书到期或流程错误导致电话注册问题；新电话无法注册到Cisco UCM。使用HTTPS时，注册到CUCM的设备无法访问EM服务、目录和MIDlet等应用。TL和配置(cfg)文件的身份验证也失败。

警告：请勿同时重新生成CallManager和TVS证书。这会导致终端上已安装的ITL出现不可恢复的不匹配，这需要从集群中的所有终端删除ITL。完成CallManager的整个过程，并在电话重新注册后，启动TVS的流程。

对于集群的所有TVS节点：

步骤1.导航到Cisco Unified OS Administration > Security > Certificate Management > Find并验证TVS证书的到期日期。

步骤2.点击生成CSR(Generate CSR)>证书用途(Certificate Purpose):TVS.为证书选择所需的设置，然后点击Generate。等待显示成功消息，然后点击Close。

步骤3.下载CSR。点击下载CSR。选择Certificate Purpose TVS（证书用途TVS），然后单击Download（下载）。

步骤4.将CSR发送到证书颁发机构。

步骤5.证书颁发机构为已签名的证书链返回两个或多个文件。按以下顺序上传证书：

• 根CA证书作为TVS-trust。导航到Certificate Management > Upload certificate > Certificate Purpose:TVS信任。设置证书的说明并浏览根证书文件。
• 中间证书作为TVS-trust（可选）。 导航到Certificate Management > Upload certificate > Certificate Purpose:TVS信任。设置证书的说明并浏览中间证书文件。

注意：某些CA不提供中间证书。如果仅提供根证书，则可省略此步骤。

• CA签名的证书作为TVS。导航到Certificate Management > Upload certificate > Certificate Purpose:TVS.设置证书的说明并浏览当前CUCM节点的CA签名证书文件。

注意：此时，CUCM会比较CSR和上传的CA签名证书。如果信息匹配，则CSR消失，并且上传新的CA签名证书。如果在证书上传后收到错误消息，请参阅上传证书常见错误消息部分。

步骤6.要将新证书应用到服务器，必须重新启动所需的服务（仅当服务运行且处于活动状态时）。 导航至：

• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP（运行服务的所有节点。）
• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service（运行服务的所有节点。）

步骤7.重置所有电话：

• 导航到Cisco Unified CM管理>System >企业参数>重置。系统将显示一个弹出窗口，其中显示语句“You are about to reset all devices in the system.此操作无法撤消。Continue?选择OK（确定），然后单击Reset（重置）。

注意：通过RTMT监控设备注册。所有电话重新注册后，您可以继续下一个证书类型。

常见上传的证书错误消息故障排除

本节列出了上传CA签名证书时最常见的一些错误消息。

CA证书在信任存储中不可用

此错误表示根证书或中间证书未上传到CUCM。在上传服务证书之前，验证这两个证书是否已作为信任存储上传。

文件/usr/local/platform/.security/tomcat/keys/tomcat.csr不存在

当证书（tomcat、callmanager、ipsec、capf和tvs）的CSR不存在时，会出现此错误。 验证之前是否创建了CSR以及是否基于该CSR创建了证书。要牢记的要点：

• 每个服务器和证书类型只能存在1个CSR。这意味着如果创建了新的CSR，旧的CSR将被替换。
• CUCM不支持通配符证书。
• 如果没有新的CSR，则无法替换当前已存在的服务证书。
• 同一问题的另一个可能的错误是“无法上传/usr/local/platform/upload/certs//tomcat.der文件”。 这取决于CUCM版本。

CSR公钥和证书公钥不匹配

当CA提供的证书的公钥与CSR文件中发送的公钥不同时，会出现此错误。可能的原因包括：

• 上传了不正确的证书（可能来自其他节点）。
• CA证书是使用不同的CSR生成的。
• CSR已重新生成，它取代了用于获取签名证书的旧CSR。

要验证CSR和证书公钥是否匹配，有多个在线工具(如SSL)。 

同一问题的另一个可能的错误是“无法上传/usr/local/platform/upload/certs//tomcat.der文件”。 这取决于CUCM版本。

CSR使用者备用名称(SAN)和证书SAN不匹配

CSR和证书之间的SAN必须相同。这会阻止对不允许的域进行认证。要验证SAN不匹配，请执行以下步骤：

1.解码CSR和证书（以64为基数）。 在线提供不同的解码器，例如Decoder。 

2.比较SAN条目并检验所有条目是否匹配。顺序并不重要，但CSR中的所有条目在证书中必须相同。 

例如，CA签名的证书添加了两个额外的SAN条目，即证书的公用名和一个额外的IP地址。

3.一旦您确定SAN不匹配，有两种方法可以解决此问题：

1. 请求您的CA管理员颁发一个证书，该证书与CSR中发送的SAN条目完全相同。
2. 在CUCM中创建符合CA要求的CSR。

修改CUCM创建的CSR的步骤：

1. 如果CA删除域，则可以在CUCM中创建没有域的CSR。创建CSR时，删除默认填充的域。
2. 如果创建多SAN证书，则有些CA不接受公用名中的 — ms。创建CSR时，可以将 — ms从CSR中删除。 

3.要添加除CUCM自动完成的名称之外的其他名称，请执行以下操作：

1. 如果使用多SAN证书，则可以添加更多FQDN。（不接受IP地址。）

b.如果证书是单节点，请使用set web-security命令。此命令甚至适用于多SAN证书。（可以添加任何类型的域，也允许IP地址。）

有关详细信息，请参阅《命令行参考指南》。

不会替换具有相同CN的信任证书

CUCM设计为仅存储一个具有相同公用名称和相同证书类型的证书。这意味着，如果数据库中已经存在tomcat-trust证书，并且需要用具有相同CN的最新证书替换，则CUCM会删除旧证书并用新证书替换。

在某些情况下，CUCM不会替换旧证书：

1. 上传的证书已过期：CUCM不允许上传过期的证书。
2. 旧证书的FROM日期比新证书的FROM日期更新。CUCM保留最近的证书，而较早的FROM日期被编录为较早的日期。对于此情况，需要删除不需要的证书，然后上传新证书。