简介
本文档介绍如何在CUCM IM/P 8.x及更高版本中重新生成证书的推荐分步过程。
先决条件
要求
思科建议您了解即时消息和在线状态(IM/P)服务证书。
使用的组件
本文档中的信息基于IM/P版本8.x及更高版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
证书存储利用率
Cisco Unified Presence(CUP)证书
用于SIP联合的安全SIP连接、用于Lync/OCS/LCS的Microsoft远程呼叫控制、Cisco Unified Certificate Manager(CUCM)和IM/P之间的安全连接等。
可扩展消息传送和在线状态协议(CUP-XMPP)证书
Cisco Unified Presence(CUP)用于在创建XMPP会话时验证XMPP客户端的安全连接。
可扩展消息传送和在线状态协议服务器到服务器(CUP-XMPP-S2S)证书
Cisco Unified Presence用于验证与外部联合XMPP系统的XMPP域间联盟的安全连接。
IP安全(IPSec)证书
用于:
·验证灾难恢复系统(DRS)/灾难恢复框架(DRF)的安全连接。
·验证到集群中的Cisco Unified Communications Manager(CUCM)和IM/P节点的IPsec隧道的安全连接。
Tomcat证书
用于:
·验证各种Web访问,例如从集群中的其他节点访问服务页面和Jabber访问。
·验证SAML单点登录(SSO)的安全连接。
·验证集群间对等体的安全连接。
警告:如果在统一通信服务器上使用SSO功能,并且重新生成Cisco Tomcat证书,则必须使用新证书重新配置SSO。在CUCM和ADFS 2.0上配置SSO的链接为:https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html。
注意:CUCM证书再生/续订流程的链接为:https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-tech-notes-list.html。
证书再生过程
CUP证书
步骤1.为集群中的每台服务器打开图形用户界面(GUI)。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航至 Cisco Unified OS Administration > Security > Certificate Management
.
步骤2.从发布器GUI开始,选择Find
显示所有证书。选择证书cup.pem
。打开后,选择Regenerate
,然后等到您看到成功后再关闭弹出窗口。
步骤3.继续后续用户,参阅步骤2中的相同步骤。并完成集群中的所有用户。
第 4 步: 在所有节点上重新生成CUP证书后,必须重新启动服务。
注意:如果在线状态冗余组配置已选中Enable High Availabilityncheck
,请在重新启动服务之前执行此操作。可以访问在线状态冗余组配置CUCM Pub Administration > System > Presence Redundancy Group
。服务重新启动会导致IM/P临时中断,必须在生产时间之外完成。
按以下顺序重新启动服务:
1.登录发布服务器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b.思Restart
科SIP代理服务。
c.服务重新启动完成后,继续使用用户和Restart
Cisco SIP代理服务。
d.从发布方开始,然后继续订阅服务器。Restart
思科SIP代理服务(也从Cisco Unified Serviceability > Tools > Control Center - Feature Services
)。
2.登录发布服务器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b. Restart
Cisco Presence Engine服务。
c.服务重新启动完成后,继Restart
续在用户上使用Cisco Presence EngineService。
注意:如果为SIP联合配置,Restart
Cisco XCP SIP联合连接管理器服务(位于Cisco Unified Serviceability > Tools > Control Center - Feature Services
)。 从发布服务器开始,然后继续订阅服务器。
CUP-XMPP证书
注意:由于Jabber使用CUCM和IM/P Tomcat以及CUP-XMPP服务器证书来验证Tomcat和CUP-XMPP服务的连接,因此这些CUCM和IM/P证书在大多数情况下都是CA签名的。假设Jabber设备没有根证书和中间证书(该证书是CUP-XMPP证书的一部分)安装在其证书信任库中,在这种情况下,Jabber客户端显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备信任存储的证书中,则必须通过组策略、MDM、邮件等将根证书和任何中间证书推送到Jabber设备,具体取决于Jabber客户端。
注意:如果CUP-XMMP证书是自签名证书,如果CUP-XMPP证书未安装在Jabber设备证书的信任库中,则Jabber客户端会显示一个针对不受信任证书的安全警告弹出窗口。如果尚未安装自签名CUP-XMPP证书,则必须通过组策略、MDM、电子邮件等推送到Jabber设备,具体取决于Jabber客户端。
步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI并导航至Cisco Unified OS Administration > Security > Certificate Management
此。
步骤2.从发布器GUI开始,然后选择Find
以显示所有证书。从证书的type列cup-xmpp.pem
中,确定证书是自签名还是CA签名。如果cup-xmpp.pem证书是第三方签名的(类型CA签名的)分发多SAN,请在生成多SAN CUP-XMPP CSR并提交给CA以获取CA签名的CUP-XMPP证书时查看此链接;使用CA签名的多服务器主体备用名配置示例的统一通信集群设置。
cup-xmpp.pem
如果证书是第三方签名的(键入CA签名)分发单节点(分发名称等于证书的公用名称),请在生成单节点CUP-XMPP
CSR并提交给CA以获取CA签名的CUP-XMPP证书时查看此链接;Jabber完成证书验证操作指南。如果证cup-xmpp.pem
书是自签名证书,请继续执行步骤3。
步骤3.选择Find
,以显示所有证书,然后选择证书cup-xmpp.pem
。打开后,选择Regenerate并等待,直到在关闭弹出窗口之前看到成功。
步骤4.继续后续用户;请参考步骤2中的相同过程,并为集群中的所有用户完成该过程。
步骤5.在所有节点上重新生成CUP-XMPP证书后,必须在IM/P节点上重新启动Cisco XCP路由器服务。
注意:如果在线状态冗余组配置已选中启用高可用性(Enable High Availability)Uncheck
,则在服务重新启动之前执行此操作。可以在访问在线状态冗余组配置CUCM Pub Administration > System > Presence Redundancy Group
。重新启动服务会导致IM/P临时中断,必须在生产时间之外完成。
3.登录发布服务器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Network Services
.
b.Restart
cisco XCP路由器服务。
c.服务重新启动完成后,在用户Restart
上继续使用Cisco XCP路由器服务。
CUP-XMPP-S2S证书
步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航至Cisco Unified OS Administration > Security > Certificate Management
。
步骤2.从发布者GUI开始,选择Find
,以显示所有证书,然后选择证书cup-xmpp-s2s.pem
。打开后,选择Regenerate
,然后等到您看到成功后再关闭弹出窗口。
步骤3.继续后续用户,并参考步骤2中的相同过程,完成集群中所有用户的操作。
步骤4.在所有节点上重新生成CUP-XMPP-S2S证书后,必须按上述顺序重新启动服务。
注意:如果在线状态冗余组配置已选中启用高可用性(Enable High Availability),Uncheck
则会在重新启动这些服务之前执行此操作。可以访问在线状态冗余组配置CUCM Pub Administration > System > Presence Redundancy Group
。服务重新启动会导致IM/P临时中断,必须在生产时间之外完成。
4.登录发布服务器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Network Services
.
b.Restart
Cisco XCP路由器服务。
c.服务重新启动完成后,继续Restart
用户上的Cisco XCP路由器服务。
5.登录发布服务器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b.Restart
cisco XCP XMPP联合连接管理器服务。
c.服务重新启动完成后,继续Restart
用户上的Cisco XCP XMPP联合连接管理器服务。
IPSec证书
注意:CUCM发ipsec.pem
布方中的证书必须有效且存在于IPSec信任存储中的所有订用服务器(CUCM和IM/P节点)中。在标ipsec.pem
准部署中,发布方中不存在用户的证书,因为IPSec信任存储区。为了验证有效性,请将CUCM-PUB证书中的序列号与用户中的IPSec-trust进行比较ipsec.pem
。它们必须匹配。
注意:DRS在源代理和本地代理之间使用基于安全套接字层(SSL)的通信对CUCM集群节点(CUCM和IM/P节点)之间的数据进行身份验证和加密。DRS将IPSec证书用于其公钥/私钥加密。请注意,如果从Certificate Management页面删除IPSEC信任存储(hostname.pem
)文件,则DRS不会按预期工作。如果手动删除IPSEC信任文件,则必须确保将IPSEC证书上传到IPSEC信任存储。有关详细信息,请参阅《CUCM安全指南》中的证书管理帮助页面。
步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航至Cisco Unified OS Administration > Security > Certificate Management
。
步骤2.从发布者GUI开始,选择Find
,以显示所有证书Choose
。证ipsec.pem
。打开后,选择Regenerate
,然后等到您看到成功后再关闭弹出窗口。
步骤3.继续后续用户,并参考步骤2中的相同过程,完成集群中所有用户的操作。
步骤4.所有节点重新生成IPSEC证书后,再生成这些服务Restart
。导航到发布服务器的Cisco Unified ServiceabilityCisco Unified Serviceability > Tools > Control Center - Network Services
。
a.选择Restart
Cisco DRF主要服务。
b.Restart
服务重新启动完成后,请在发布服务器上选择Cisco DRF Local服务,然后继续在每个用户上使用Restart
Cisco DRF Local服务。
Tomcat证书
注意:由于Jabber使用CUCM Tomcat和IM/P Tomcat和CUP-XMPP服务器证书来验证Tomcat和CUP-XMPP服务的连接,因此这些CUCM和IM/P证书在大多数情况下都是CA签名的。假设Jabber设备没有在其证书信任存储中安装Tomcat证书的根证书和任何中间证书。在这种情况下,Jabber客户端会显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备的证书信任库中,则根证书和任何中间证书必须通过组策略、MDM、邮件等推送到Jabber设备,具体取决于Jabber客户端。
注意:如果Tomcat证书是自签名证书,如果Tomcat证书未安装在Jabber设备的证书信任库中,则Jabber客户端会显示不可信证书的安全警告弹出窗口。如果尚未安装在Jabber设备的证书信任库中,则必须通过组策略、MDM、邮件等将自签名CUP-XMPP证书推送到Jabber设备,具体取决于Jabber客户端。
步骤1.为集群中的每台服务器打开GUI。从IM/P发布服务器开始,然后依次打开每个IM/P用户服务器的GUI,并导航至Cisco Unified OS Administration > Security > Certificate Management
。
步骤2.从发布器GUI开始,选择Find
显示所有证书。
·从证书的Type列tomcat.pem
,确定证书是自签名还是CA签名。
·如果证书是第三方签名的分发tomcat.pem
(类型CA签名)多SAN,请查看此链接了解如何生成多SAN Tomcat CSR并提交给CA以获取CA签名的Tomcat证书,Unified Communication Cluster Setup with CA-Signed Multi-Server Subject Alternate Name配置示例
注意:多SAN Tomcat CSR在CUCM发布服务器上生成,并分配到集群中的所有CUCM和IM/P节点。
tomcat.pem
·如果证书是第三方签名的(键入CA签名)分发单节点(分发名称等于证书的公用名称),请查看此链接以生成单节点CUP-XMPP CSR,并将其提交给CA以获取CA签名的CUP-XMPP证书,Jabber完成证书验证操作指南
·如果证tomcat.pem
书是自签名的,请继续执行步骤3
步骤3.选择Find
,以显示所有证书:
·选择证书tomcat.pem
。
·打开后,选择Regenerate
,然后等到您看到成功弹出窗口后关闭该弹出窗口。
步骤4.继续处理每个后续用户,参阅步骤2中的过程,并完成集群中的所有用户。
步骤5.所有节点重新生成Tomcat证书后Restart
,所有节点上的Tomcat服务。从发布者开始,然后是订阅者。
·要使用Tomcat服务Restart
,您必须为每个节点打开CLI会话并运行命令,直到服务重新启动Cisco Tomcat,如图所示:

删除过期的信任证书
注意:在适当时,可以删除信任证书(以 — trust结尾)。可以删除的信任证书是那些不再需要、已过期或已过时的证书。请勿删除五个身份证书:、cup.pem
、cup-xmpp.pem
、cup-xmpp-s2s.pem
、ipsec.pem
和证tomcat.pem
书。 如图所示,服务重新启动旨在清除这些服务中这些旧证书的任何内存信息。
注意:如果在线状态冗余组配置已选中Enable High AvailabilityUncheck
,则在服务为/或Stopped
之Started
前Restarted
。可以访问在线状态冗余组配置CUCM Pub Administration > System > Presence Redundancy Group
。如图所示,重新启动某些服务会导致IM/P暂时中断,必须在生产时间之外完成。
步骤1.导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
:
·从下拉菜单中,选择您的IM/P发布者,从Cisco Certificate Expiry Monitor中选择,然后在Cisco Intercluster Sync Agent中选择Stop
Stop
。
·对群集中的每个IM/P节点重复这些服务Stop
。
注意:如果必须删除Tomcat-trust证书,请导航至Cisco Unified Serviceability > Tools > Control Center - Network Services
CUCM发布者的。
·从下拉列表中选择CUCM发布器。
Stop
·从Cisco Certificate Expiry Monitor中选择,然后在Cisco CertificateStop
Change Notification中选择。
·对集群中的每个CUCM节点重复此操作。
步骤2.导航至Cisco Unified OS Administration > Security > Certificate Management > Find
。
·查找过期的信任证书(对于版本10.x及更高版本,您可以按到期进行过滤。从10.0之前的版本,您必须手动识别特定证书,或者通过RTMT警报(如果已收到)。
·同一信任证书可以出现在多个节点中,必须从每个节点单独删除。
·选择要删除的信任证书(根据版本,您会弹出一个窗口,或者导航到同一页面上的证书)。
·选择Delete
(您将看到以“您将要永久删除此证书……”开头的弹出窗口)。
•点击 OK
.
步骤3.对每个要删除的信任证书重复此过程。
步骤4.完成后,必须重新启动与删除的证书直接相关的服务。
· CUP-trust:Cisco SIP代理、Cisco Presence Engine,如果针对SIP联盟进行了配置,则为Cisco XCP SIP联盟连接管理器(请参阅CUP证书部分)
· CUP-XMPP-trust:Cisco XCP路由器(参见CUP-XMPP证书部分)
· CUP-XMPP-S2S-trust:Cisco XCP路由器和Cisco XCP XMPP联合连接管理器
· IPSec-trust:DRF源/DRF本地(请参阅IPSec证书部分)
· Tomcat-trust:通过命令行重新启动Tomcat服务(请参阅Tomcat certificate部分)
步骤5.重新启动服务已在步骤1中停止。
验证
当前没有可用于此配置的验证过程。
故障排除
目前没有针对此配置的故障排除信息。