简介
本文档提供了有关如何在Unified Communications Manager IM & Presence Service 8.X及更高版本中重新生成证书的推荐分步过程。
先决条件
要求
Cisco 建议您了解以下主题:
· IM/P(IM和在线状态)证书
使用的组件
· IM/P版本8.X及更高版本
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
证书存储利用率
CUP(Cisco Unified Presence)证书
·用于SIP联合的安全SIP连接、用于Lync/OCS/LCS的Microsoft远程呼叫控制、CUCM和IM/P之间的安全连接等。
CUP-XMPP(Cisco Unified Presence — 可扩展消息传送和在线状态协议)证书
·用于在创建XMPP会话时验证XMPP客户端的安全连接。
CUP-XMPP-S2S(Cisco Unified Presence — 可扩展消息传送和在线状态协议 — 服务器到服务器)证书
·用于验证与外部联合XMPP系统的XMPP域间联合的安全连接。
IPSec(IP安全)证书
·用于验证DRS(灾难恢复系统)/DRF(灾难恢复框架)的安全连接。
·用于验证到集群中的CUCM(思科统一通信管理器)和IM/P节点的IPsec隧道的安全连接。
Tomcat证书
·用于验证各种Web访问,例如从集群中的其他节点访问服务页面和Jabber访问。
·用于验证SSO的安全连接(SAML单点登录)
·用于验证集群间对等体的安全连接
证书再生过程
CUP证书
步骤1.为集群中的每台服务器打开GUI。从IM/P发布者开始,然后依次打开每个IM/P用户服务器的GUI(图形用户界面),并导航到Cisco Unified OS Administration > Security > Certificate Management
步骤2.从发布服务器GUI开始,选择查找以显示所有证书。
· 选择cup.pem证书。
·打开后,选择Regenerate并等待,直到您看到Success,然后关闭弹出窗口。
步骤3.继续后续用户;按照步骤2中的相同步骤操作并在集群中的所有用户上完成。
第四步: 在所有节点上重新生成CUP证书后,需要按以下顺序重新启动这些服务:
注意:如果在线状态冗余组配置已选中Enable High Availability,请在重新启动以下服务之前取消选中Uncheck。可以在CUCM Pub Administration > System > Presence Redundancy Group中访问在线状态冗余组配置。重新启动服务(如下所示)会导致IM/P暂时中断,必须在生产时间之外完成。
·登录Publisher的Cisco Unified Serviceability
a.Cisco Unified Serviceability > Tools > Control Center - Feature Services
b.重新启动Cisco SIP代理服务。
c.服务重新启动完成后,继续用户并重新启动Cisco SIP代理服务
d.从发布服务器开始,然后继续订阅服务器,重新启动Cisco SIP代理服务(也可以从Cisco Unified Serviceability > Tools > Control Center - Feature Services)。
·登录Publisher的Cisco Unified Serviceability
a.Cisco Unified Serviceability > Tools > Control Center - Feature Services
b.重新启动Cisco Presence Engine服务。
c.服务重新启动完成后,在用户上继续重新启动Cisco Presence Engine服务。
注意:如果配置了SIP联合,请重新启动Cisco XCP SIP联合连接管理器服务(位于Cisco Unified Serviceability > Tools > Control Center - Feature Services);从发布服务器开始,然后继续订阅服务器。
CUP-XMPP证书
注意:由于Jabber使用CUCM tomcat和IM/P tomcat和cup-xmpp服务器证书来验证tomcat和cup-xmpp服务的连接,因此这些CUCM和IM/P证书在大多数情况下都是CA签名的。如果jabber设备没有根证书和任何中间证书(属于CUP-XMPP证书的一部分)安装在其证书信任库中,则jabber客户端将显示不可信证书的安全警告弹出窗口。如果尚未安装在jabber设备的证书信任库中,则根证书和任何中间证书需要通过组策略、mdm、电子邮件等推送到jabber设备,具体取决于jabber客户端。
注意:如果CUP-XMMP证书是自签名证书,如果CUP-XMPP证书未安装在jabber设备的证书信任库中,则jabber客户端将显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备的证书信任库中,则需要通过组策略、mdm、邮件等将自签名CUP-XMPP证书推送到Jabber设备,具体取决于Jabber客户端。
步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航到Cisco Unified OS Administration > Security > Certificate Management
步骤2.从发布服务器GUI开始,选择查找以显示所有证书。
·从cup-xmpp.pem证书的“类型”列中,确定证书是自签名证书还是CA签名证书。
·如果cup-xmpp.pem证书是第三方签名的(类型CA签名)分发多SAN,请查看以下有关生成多SAN cup-xmpp CSR和向CA提交用于CA签名的cup-xmpp证书的链接,Unified Communication Cluster Setup with CA-Signed Multi-Server Subject Alternate Name配置示例
·如果cup-xmpp.pem证书是第三方签名的(键入CA签名)分发单节点(分发名称等于证书的公用名称),请查看以下链接,了解如何生成单节点cup-xmpp CSR并提交给CA以获取CA签名的cup-xmpp证书,Jabber完成证书验证操作指南
·如果cup-xmpp.pem证书为Self-signed,请继续步骤3。
步骤3.选择查找以显示所有证书
· 选择cup-xmpp.pem证书。
·打开后,选择Regenerate并等待,直到您看到Success,然后关闭弹出窗口.
步骤4.继续后续用户;按照步骤2中的相同步骤操作并在集群中的所有用户上完成。
步骤5.在所有节点上重新生成CUP-XMPP证书后,需要在IM/P节点上重新启动Cisco XCP路由器服务:
注意:如果在线状态冗余组配置选中了“启用高可用性”(Enable High Availability),则在服务重新启动之前取消选中Uncheck。可以在CUCM Pub Administration > System > Presence Redundancy Group中访问在线状态冗余组配置。重新启动服务(如下所示)会导致IM/P临时中断,必须在生产时间之外完成。
·登录Publisher的Cisco Unified Serviceability
a.Cisco Unified Serviceability > Tools > Control Center - Network Services
b.重新启动Cisco XCP路由器服务。
c.服务重新启动完成后,在用户上继续重启Cisco XCP路由器服务。
CUP-XMPP-S2S证书
步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航到Cisco Unified OS Administration > Security > Certificate Management
步骤2.从发布服务器GUI开始,选择查找以显示所有证书。
· 选择cup-xmpp-s2s.pem证书。
·打开后,选择Regenerate并等待,直到您看到Success,然后关闭弹出窗口。
步骤3.继续后续用户;按照步骤2中的相同步骤操作并在集群中的所有用户上完成。
步骤4.在所有节点上重新生成CUP-XMPP-S2S证书后,需要按以下顺序重新启动这些服务:
注意:如果在线状态冗余组配置选中了“启用高可用性”(Enable High Availability),则在重新启动这些服务之前取消选中Uncheck。可以在CUCM Pub Administration > System > Presence Redundancy Group上访问在线状态冗余组配置。重新启动服务(如下所示)会导致IM/P临时中断,必须在生产时间之外完成。
·登录Publisher的Cisco Unified Serviceability
a.Cisco Unified Serviceability > Tools > Control Center - Network Services
b.重新启动Cisco XCP路由器服务。
c.服务重新启动完成后,在订用服务器上继续重新启动Cisco XCP路由器服务。
·登录Publisher的Cisco Unified Serviceability
a.Cisco Unified Serviceability > Tools > Control Center - Feature Services
b.重新启动Cisco XCP XMPP联合连接管理器服务。
c.服务重新启动完成后,在订阅服务器上继续执行重新启动Cisco XCP XMPP联合连接管理器服务。
IPSEC证书
注意:CUCM发布器中的ipsec.pem证书必须有效且必须存在于IPSEC信任库中的所有用户(CUCM和IM/P节点)中。在标准部署中,用户IPSEC.pem证书在发布服务器中不会作为IPSEC信任库存在。为了验证有效性,请将CUCM-PUB的ipsec.pem证书中的序列号与用户中的IPSEC-trust进行比较。它们必须匹配。
注意:灾难恢复系统在主代理和本地代理之间使用基于SSL(安全套接字层)的通信,对CUCM集群节点(CUCM和IM/P节点)之间的数据进行身份验证和加密。DRS将IPSec证书用于其公钥/私钥加密。请注意,如果从Certificate Management页面删除IPSEC truststore(hostname.pem)文件,则DRS将无法按预期工作。如果手动删除IPSEC信任文件,则必须确保将IPSEC证书上传到IPSEC信任库。有关详细信息,请参阅《Cisco Unified Communications Manager安全指南》中的证书管理帮助页面。
步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航到Cisco Unified OS Administration > Security > Certificate Management
步骤2.从发布服务器GUI开始,选择查找以显示所有证书。
· 选择ipsec.pem证书。
·打开后,选择Regenerate并等待,直到您看到Success,然后关闭弹出窗口。
步骤3.继续后续用户;按照步骤2中的相同步骤操作并在集群中的所有用户上完成。
步骤4.所有节点重新生成IPSEC证书后,重新启动以下服务:
·导航到发布服务器的Cisco Unified Serviceability Cisco Unified Serviceability > Tools > Control Center - Network Services
a.选择Restart on Cisco DRF Master service
b.服务重新启动完成后,请在发布服务器上选择Restart of Cisco DRF Local service,然后继续在每个用户上执行Restart操作。
TOMCAT证书
注意:由于Jabber使用CUCM tomcat和IM/P tomcat和cup-xmpp服务器证书来验证tomcat和cup-xmpp服务的连接,因此这些CUCM和IM/P证书在大多数情况下都是CA签名的。如果jabber设备没有在其证书信任存储中安装Tomcat证书的根证书和任何中间证书,则jabber客户端将显示不可信证书的安全警告弹出窗口。如果尚未安装在jabber设备的证书信任库中,则根证书和任何中间证书需要通过组策略、mdm、电子邮件等推送到jabber设备,具体取决于jabber客户端。
注意:如果Tomcat证书是自签名证书,如果Tomcat证书未安装在jabber设备的证书信任库中,则jabber客户端将显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备的证书信任库中,则需要通过组策略、mdm、邮件等将自签名CUP-XMPP证书推送到Jabber设备,具体取决于Jabber客户端。
步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航到Cisco Unified OS Administration > Security > Certificate Management
步骤2.从发布服务器GUI开始,选择查找以显示所有证书。
·从tomcat.pem证书的“类型”列中,确定证书是自签名证书还是CA签名证书。
·如果tomcat.pem证书是第三方签名的(类型CA签名)分发多SAN,请查看以下有关如何生成多SAN tomcat CSR的链接,并向CA提交用于CA签名的tomcat证书,Unified Communication Cluster Setup with CA-Signed Multi-Server Subject Alternate Name Configuration Example
注意:多SAN tomcat CSR将在CUCM发布服务器上生成,并将分发到集群中的所有CUCM和IM/P节点。
·如果tomcat.pem证书是第三方签名的(键入CA签名)分发单节点(分发名称等于证书的公用名称),请查看以下链接:生成单节点cup-xmpp CSR并向CA提交CA签名的cup-xmpp证书,Jabber完成证书验证操作指南
·如果tomcat.pem证书为Self-signed,请继续执行步骤3。
步骤3.选择查找以显示所有证书
·选择tomcat.pem证书
·打开后,选择Regenerate并等待,直到您看到Success弹出窗口,然后关闭该弹出窗口。
步骤4.继续处理每个后续订阅服务器,按照步骤2中的相同步骤操作,并在集群中的所有订阅服务器上完成。
步骤4.所有节点重新生成Tomcat证书后,在所有节点上重新启动Tomcat服务。从发布者开始,然后是订阅者。
·要重启Tomcat服务,您需要为每个节点打开CLI会话并运行命令utils service restart Cisco Tomcat,如图所示:

删除过期的信任证书
注意:在适当时,可以删除信任证书(以 — trust结尾)。可以删除的信任证书是那些不再需要、已过期或已废弃的证书。请勿删除五个身份证书:cup.pem、cup-xmpp.pem、cup-xmpp-s2s.pem、ipsec.pem和tomcat.pem证书。 以下服务重新启动旨在清除这些服务中的这些旧证书的任何内存信息。
注意:如果在线状态冗余组配置已选中启用高可用性(Enable High Availability),则在停止/启动或重新启动服务之前取消选中此项。可以在CUCM Pub Administration > System > Presence Redundancy Group中访问在线状态冗余组配置。重新启动下面的一些服务会导致IM/P暂时中断,必须在生产时间之外完成。
步骤1.导航到Cisco Unified Serviceability > Tools > Control Center - Network Services
·从下拉菜单中选择您的IM/P发布者,依次选择Stop of Cisco Certificate Expiry Monitor和Stop of Cisco Intercluster Sync Agent
·对集群中的每个IM/P节点重复这些服务的Stop
注意:如果要删除Tomcat-trust证书,请导航到Cisco Unified Serviceability > Tools > Control Center - Network Services of the CUCM Publisher
·从下拉列表中选择CUCM Publisher
·选择Stop of Cisco Certificate Expiry Monitor,然后选择Stop of Cisco Certificate Change Notification
·对集群中的每个CUCM节点重复此操作
步骤2.导航到Cisco Unified OS Administration > Security > Certificate Management > Find
·查找过期的信任证书。(对于版本10.X及更高版本,您可以按到期进行过滤。从10.0以下的版本,您需要手动识别特定证书,或者通过RTMT警报(如果收到)识别特定证书。
·同一信任证书可以出现在多个节点中。必须从每个节点单独删除它。
·选择要删除的信任证书(取决于您将获得弹出窗口或导航到同一页面上的证书的版本)
·选择Delete(您将看到一个弹出窗口,以您将要永久删除此证书开头……)
·选择确定
步骤3.对每个要删除的信任证书重复此过程
步骤4.完成后,需要重新启动与删除的证书直接相关的服务。
· CUP-trust:Cisco SIP代理、Cisco Presence Engine,如果针对SIP联盟进行了配置,则为Cisco XCP SIP联盟连接管理器(请参阅CUP证书部分)
· CUP-XMPP-trust:Cisco XCP路由器(请参阅CUP-XMPP证书部分)
· CUP-XMPP-S2S-trust:Cisco XCP路由器和Cisco XCP XMPP联合连接管理器
· IPSEC信任:DRF主/DRF本地(请参阅IPSEC证书部分)
· Tomcat-trust:通过命令行重新启动Tomcat服务(请参阅Tomcat证书部分)
步骤5.重新启动先前在步骤1中停止的服务
验证
当前没有可用于此配置的验证过程。
故障排除
目前没有针对此配置的故障排除信息。