重新生成CUCM IM/P服务自签名证书

简介

本文档介绍如何在CUCM IM/P 8.x及更高版本中重新生成证书的推荐分步过程。

先决条件

要求

思科建议您了解即时消息和在线状态(IM/P)服务证书。

使用的组件

本文档中的信息基于IM/P版本8.x及更高版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

证书存储利用率

Cisco Unified Presence(CUP)证书

用于SIP联合的安全SIP连接、用于Lync/OCS/LCS的Microsoft远程呼叫控制、Cisco Unified Certificate Manager(CUCM)和IM/P之间的安全连接等。

可扩展消息传送和在线状态协议(CUP-XMPP)证书

Cisco Unified Presence(CUP)用于在创建XMPP会话时验证XMPP客户端的安全连接。

可扩展消息传送和在线状态协议服务器到服务器(CUP-XMPP-S2S)证书

Cisco Unified Presence用于验证与外部联合XMPP系统的XMPP域间联盟的安全连接。

IP安全(IPSec)证书

用于：

·验证灾难恢复系统(DRS)/灾难恢复框架(DRF)的安全连接。
·验证到集群中的Cisco Unified Communications Manager(CUCM)和IM/P节点的IPsec隧道的安全连接。

Tomcat证书

用于：

·验证各种Web访问，例如从集群中的其他节点访问服务页面和Jabber访问。
·验证SAML单点登录(SSO)的安全连接。

·验证集群间对等体的安全连接。

警告：如果在统一通信服务器上使用SSO功能，并且重新生成Cisco Tomcat证书，则必须使用新证书重新配置SSO。在CUCM和ADFS 2.0上配置SSO的链接为：https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html。

注意：CUCM证书再生/续订流程的链接为：https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-tech-notes-list.html。

证书再生过程

CUP证书

步骤1.为集群中的每台服务器打开图形用户界面(GUI)。从IM/P发布服务器开始，然后依次打开每个IM/P用户服务器的GUI，并导航至  Cisco Unified OS Administration > Security > Certificate Management.

步骤2.从发布器GUI开始，选择Find显示所有证书。选择证书cup.pem。打开后，选择Regenerate，然后等到您看到成功后再关闭弹出窗口。

步骤3.继续后续用户，参阅步骤2中的相同步骤。并完成集群中的所有用户。

第 4 步：  在所有节点上重新生成CUP证书后，必须重新启动服务。

注意：如果在线状态冗余组配置已选中Enable High Availabilityncheck，请在重新启动服务之前执行此操作。可以访问在线状态冗余组配置CUCM Pub Administration > System > Presence Redundancy Group。服务重新启动会导致IM/P临时中断，必须在生产时间之外完成。

按以下顺序重新启动服务：

1.登录发布服务器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

b.思Restart科SIP代理服务。

c.服务重新启动完成后，继续使用用户和RestartCisco SIP代理服务。

d.从发布方开始，然后继续订阅服务器。Restart思科SIP代理服务(也从Cisco Unified Serviceability > Tools > Control Center - Feature Services)。

2.登录发布服务器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

b. Restart Cisco Presence Engine服务。

c.服务重新启动完成后，继Restart续在用户上使用Cisco Presence EngineService。

注意：如果为SIP联合配置，RestartCisco XCP SIP联合连接管理器服务(位于Cisco Unified Serviceability > Tools > Control Center - Feature Services)。 从发布服务器开始，然后继续订阅服务器。

CUP-XMPP证书

注意：由于Jabber使用CUCM和IM/P Tomcat以及CUP-XMPP服务器证书来验证Tomcat和CUP-XMPP服务的连接，因此这些CUCM和IM/P证书在大多数情况下都是CA签名的。假设Jabber设备没有根证书和中间证书（该证书是CUP-XMPP证书的一部分）安装在其证书信任库中，在这种情况下，Jabber客户端显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备信任存储的证书中，则必须通过组策略、MDM、邮件等将根证书和任何中间证书推送到Jabber设备，具体取决于Jabber客户端。

注意：如果CUP-XMMP证书是自签名证书，如果CUP-XMPP证书未安装在Jabber设备证书的信任库中，则Jabber客户端会显示一个针对不受信任证书的安全警告弹出窗口。如果尚未安装自签名CUP-XMPP证书，则必须通过组策略、MDM、电子邮件等推送到Jabber设备，具体取决于Jabber客户端。

步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始，然后依次打开每个IM/P用户服务器的GUI并导航至Cisco Unified OS Administration > Security > Certificate Management此。

步骤2.从发布器GUI开始，然后选择Find以显示所有证书。从证书的type列cup-xmpp.pem中，确定证书是自签名还是CA签名。如果cup-xmpp.pem证书是第三方签名的（类型CA签名的）分发多SAN，请在生成多SAN CUP-XMPP CSR并提交给CA以获取CA签名的CUP-XMPP证书时查看此链接；使用CA签名的多服务器主体备用名配置示例的统一通信集群设置。

cup-xmpp.pem 如果证书是第三方签名的（键入CA签名）分发单节点（分发名称等于证书的公用名称），请在生成单节点CUP-XMPPCSR并提交给CA以获取CA签名的CUP-XMPP证书时查看此链接；Jabber完成证书验证操作指南。如果证cup-xmpp.pem书是自签名证书，请继续执行步骤3。

步骤3.选择Find，以显示所有证书，然后选择证书cup-xmpp.pem。打开后，选择Regenerate并等待，直到在关闭弹出窗口之前看到成功。

步骤4.继续后续用户；请参考步骤2中的相同过程，并为集群中的所有用户完成该过程。

步骤5.在所有节点上重新生成CUP-XMPP证书后，必须在IM/P节点上重新启动Cisco XCP路由器服务。

注意：如果在线状态冗余组配置已选中启用高可用性(Enable High Availability)Uncheck，则在服务重新启动之前执行此操作。可以在访问在线状态冗余组配置CUCM Pub Administration > System > Presence Redundancy Group。重新启动服务会导致IM/P临时中断，必须在生产时间之外完成。

3.登录发布服务器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Network Services.

b.Restart cisco XCP路由器服务。

c.服务重新启动完成后，在用户Restart上继续使用Cisco XCP路由器服务。

CUP-XMPP-S2S证书

步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始，然后依次打开每个IM/P用户服务器的GUI，并导航至Cisco Unified OS Administration > Security > Certificate Management。

步骤2.从发布者GUI开始，选择Find，以显示所有证书，然后选择证书cup-xmpp-s2s.pem。打开后，选择Regenerate，然后等到您看到成功后再关闭弹出窗口。

步骤3.继续后续用户，并参考步骤2中的相同过程，完成集群中所有用户的操作。

步骤4.在所有节点上重新生成CUP-XMPP-S2S证书后，必须按上述顺序重新启动服务。

注意：如果在线状态冗余组配置已选中启用高可用性(Enable High Availability),Uncheck则会在重新启动这些服务之前执行此操作。可以访问在线状态冗余组配置CUCM Pub Administration > System > Presence Redundancy Group。服务重新启动会导致IM/P临时中断，必须在生产时间之外完成。

4.登录发布服务器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Network Services.
b.Restart Cisco XCP路由器服务。
c.服务重新启动完成后，继续Restart用户上的Cisco XCP路由器服务。

5.登录发布服务器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

b.Restart cisco XCP XMPP联合连接管理器服务。

c.服务重新启动完成后，继续Restart用户上的Cisco XCP XMPP联合连接管理器服务。

IPSec证书

注意：CUCM发ipsec.pem布方中的证书必须有效且存在于IPSec信任存储中的所有订用服务器（CUCM和IM/P节点）中。在标ipsec.pem准部署中，发布方中不存在用户的证书，因为IPSec信任存储区。为了验证有效性，请将CUCM-PUB证书中的序列号与用户中的IPSec-trust进行比较ipsec.pem。它们必须匹配。

注意：DRS在源代理和本地代理之间使用基于安全套接字层(SSL)的通信对CUCM集群节点（CUCM和IM/P节点）之间的数据进行身份验证和加密。DRS将IPSec证书用于其公钥/私钥加密。请注意，如果从Certificate Management页面删除IPSEC信任存储(hostname.pem)文件，则DRS不会按预期工作。如果手动删除IPSEC信任文件，则必须确保将IPSEC证书上传到IPSEC信任存储。有关详细信息，请参阅《CUCM安全指南》中的证书管理帮助页面。

步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始，然后依次打开每个IM/P用户服务器的GUI，并导航至Cisco Unified OS Administration > Security > Certificate Management。

步骤2.从发布者GUI开始，选择Find，以显示所有证书Choose。证ipsec.pem。打开后，选择Regenerate，然后等到您看到成功后再关闭弹出窗口。

步骤3.继续后续用户，并参考步骤2中的相同过程，完成集群中所有用户的操作。

步骤4.所有节点重新生成IPSEC证书后，再生成这些服务Restart。导航到发布服务器的Cisco Unified ServiceabilityCisco Unified Serviceability > Tools > Control Center - Network Services。
a.选择RestartCisco DRF主要服务。
b.Restart服务重新启动完成后，请在发布服务器上选择Cisco DRF Local服务，然后继续在每个用户上使用Restart Cisco DRF Local服务。

Tomcat证书

注意：由于Jabber使用CUCM Tomcat和IM/P Tomcat和CUP-XMPP服务器证书来验证Tomcat和CUP-XMPP服务的连接，因此这些CUCM和IM/P证书在大多数情况下都是CA签名的。假设Jabber设备没有在其证书信任存储中安装Tomcat证书的根证书和任何中间证书。在这种情况下，Jabber客户端会显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备的证书信任库中，则根证书和任何中间证书必须通过组策略、MDM、邮件等推送到Jabber设备，具体取决于Jabber客户端。

注意：如果Tomcat证书是自签名证书，如果Tomcat证书未安装在Jabber设备的证书信任库中，则Jabber客户端会显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备的证书信任库中，则必须通过组策略、MDM、邮件等将自签名CUP-XMPP证书推送到Jabber设备，具体取决于Jabber客户端。

步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始，然后依次打开每个IM/P用户服务器的GUI，并导航至Cisco Unified OS Administration > Security > Certificate Management。

步骤2.从发布器GUI开始，选择Find显示所有证书。
·从证书的Type列tomcat.pem，确定证书是自签名还是CA签名。

·如果证书是第三方签名的分发tomcat.pem（类型CA签名）多SAN，请查看此链接了解如何生成多SAN Tomcat CSR并提交给CA以获取CA签名的Tomcat证书，Unified Communication Cluster Setup with CA-Signed Multi-Server Subject Alternate Name配置示例

注意：多SAN Tomcat CSR在CUCM发布服务器上生成，并分配到集群中的所有CUCM和IM/P节点。

tomcat.pem ·如果证书是第三方签名的（键入CA签名）分发单节点（分发名称等于证书的公用名称），请查看此链接以生成单节点CUP-XMPP CSR，并将其提交给CA以获取CA签名的CUP-XMPP证书，Jabber完成证书验证操作指南

·如果证tomcat.pem书是自签名的，请继续执行步骤3

步骤3.选择Find，以显示所有证书：
·选择证书tomcat.pem。
·打开后，选择Regenerate，然后等到您看到成功弹出窗口后关闭该弹出窗口。

步骤4.继续处理每个后续用户，参阅步骤2中的过程，并完成集群中的所有用户。

步骤5.所有节点重新生成Tomcat证书后Restart，所有节点上的Tomcat服务。从发布者开始，然后是订阅者。
·要使用Tomcat服务Restart，您必须为每个节点打开CLI会话并运行命令，直到服务重新启动Cisco Tomcat，如图所示：

删除过期的信任证书

注意：在适当时，可以删除信任证书（以 — trust结尾）。可以删除的信任证书是那些不再需要、已过期或已过时的证书。请勿删除五个身份证书：、cup.pem、cup-xmpp.pem、cup-xmpp-s2s.pem、ipsec.pem和证tomcat.pem书。  如图所示，服务重新启动旨在清除这些服务中这些旧证书的任何内存信息。

注意：如果在线状态冗余组配置已选中Enable High AvailabilityUncheck，则在服务为/或Stopped之Started  前Restarted。可以访问在线状态冗余组配置CUCM Pub Administration > System > Presence Redundancy Group。如图所示，重新启动某些服务会导致IM/P暂时中断，必须在生产时间之外完成。

步骤1.导航至Cisco Unified Serviceability > Tools > Control Center - Network Services:

·从下拉菜单中，选择您的IM/P发布者，从Cisco Certificate Expiry Monitor中选择，然后在Cisco Intercluster Sync Agent中选择StopStop。

·对群集中的每个IM/P节点重复这些服务Stop。

注意：如果必须删除Tomcat-trust证书，请导航至Cisco Unified Serviceability > Tools > Control Center - Network ServicesCUCM发布者的。

·从下拉列表中选择CUCM发布器。
Stop ·从Cisco Certificate Expiry Monitor中选择，然后在Cisco CertificateStop Change Notification中选择。
·对集群中的每个CUCM节点重复此操作。

步骤2.导航至Cisco Unified OS Administration > Security > Certificate Management > Find。

·查找过期的信任证书(对于版本10.x及更高版本，您可以按到期进行过滤。从10.0之前的版本，您必须手动识别特定证书，或者通过RTMT警报（如果已收到）。
·同一信任证书可以出现在多个节点中，必须从每个节点单独删除。
·选择要删除的信任证书（根据版本，您会弹出一个窗口，或者导航到同一页面上的证书）。

·选择Delete（您将看到以“您将要永久删除此证书……”开头的弹出窗口）。
•点击 OK.

步骤3.对每个要删除的信任证书重复此过程。

步骤4.完成后，必须重新启动与删除的证书直接相关的服务。

· CUP-trust:Cisco SIP代理、Cisco Presence Engine，如果针对SIP联盟进行了配置，则为Cisco XCP SIP联盟连接管理器（请参阅CUP证书部分）
· CUP-XMPP-trust:Cisco XCP路由器（参见CUP-XMPP证书部分）
· CUP-XMPP-S2S-trust:Cisco XCP路由器和Cisco XCP XMPP联合连接管理器
· IPSec-trust:DRF源/DRF本地（请参阅IPSec证书部分）
· Tomcat-trust:通过命令行重新启动Tomcat服务（请参阅Tomcat certificate部分）

步骤5.重新启动服务已在步骤1中停止。

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。