再生统一通信管理器IM &在线状态服务自签名证书

简介

本文在统一通信管理器IM &在线状态服务8.X中提供一个推荐的逐步程序关于怎样重新生成证书和更加高。

先决条件

要求

Cisco 建议您了解以下主题：
•IM/P (IM和在线状态)证书

使用的组件

•IM/P版本8.X和更加高

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

证书存储利用率

CUP (Cisco Unified Presence)证书

•使用SIP联邦、Microsoft远程呼叫控制Lync/OCS/LCS的，安全连接CUCM和IM/P之间等等的安全SIP连接。

CUP-XMPP (Cisco Unified Presence -可扩展消息传送和在线状态协议)证书

•当XMPP会话创建时，用于验证XMPP客户端的安全连接。

CUP-XMPP-S2S (Cisco Unified Presence -对服务器)证书的可扩展消息传送和在线状态协议服务器

•用于验证XMPP领域间联邦的安全连接用外部联盟的XMPP系统。

IPSec (IP安全)证书

•用于验证DR的(灾难恢复系统) /DRF (灾难恢复框架)安全连接。
•用于验证IPSec隧道的安全连接对在集群的CUCM (Cisco Unified Communications Manager)和IM/P节点。

Tomcat证书

•用于验证多种Web访问，例如访问服务页从在集群的其他节点和闲聊访问。
•用于验证SSO的(SAML单一登录)安全连接

•用于验证簇之间对等体的安全连接

证书重新生成进程

CUP证书

步骤1.打开每个服务器的GUI在您的集群。从IM/P发行商开始，然后打开GUI (图形用户界面)到每个IM/P用户服务器反之并且导航对Cisco Unified OS管理> Security > Certificate Management

步骤2.开始与发行商GUI，选择查找显示所有证书。

•选择cup.pem证书。

•一旦开放，请选择重新生成并且等待，直到您看到成功，在上推关闭前。

步骤3.继续随后的用户;遵从在步骤2的同一个步骤并且完成在您的集群的所有用户。

第 4 步： 在CUP证书在所有节点后被重新生成了，这些服务在下列顺序需要被重新启动：

Note:如果在线状态冗余组配置有被检查的Enable (event)高可用性，请不选定此，在以下服务被重新启动前。在线状态冗余组配置可以访问在CUCM客栈管理>System >在线状态冗余组。服务的重新启动，下面，将导致临时中断IM/P，并且必须是完成外部制作小时。

•登录发行商的Cisco Unified维护性

   a. Cisco Unified维护性> Tools > Control Center -功能服务

   b. 重新启动Cisco SIP Proxyservice。

   c. 一旦服务重新启动完成，请继续用户并且重新启动Cisco SIP代理服务

   d. 开始与发行商然后继续用户，重新启动Cisco SIP代理服务(也，从Cisco Unified维护性> Tools > Control Center -以服务为特色)。

•登录发行商的Cisco Unified维护性

   a. Cisco Unified维护性> Tools > Control Center -功能服务

   b. 重新启动Cisco在线状态引擎服务。

   c. 一旦服务重新启动完成，请继续Cisco在线状态在用户的引擎服务重新启动。

Note:若被设定为SIP联邦，重新启动Cisco XCP SIP联邦连接管理器服务(查找在Cisco Unified维护性> Tools > Control Center -以服务为特色);开始与发行商然后继续用户。

CUP-XMPP证书

注意：因为Jabber使用CUCM Tomcat和IM/P Tomcat和CUPxmpp服务器证书验证Tomcat和CUPxmpp服务的连接，这些CUCM和IM/P证书是CA签名的在大多数情况下。如果Jabber设备没有是在其证书信任存储安装的CUP-XMPP证书的一部分的根和任何中间证书， Jabber客户端将显示不信任证书的一安全警告弹出式。如果不已经安装在Jabber设备的证书信任存储、根和所有中间证书将需要推送到Jabber设备hrough组策略、mdm、电子邮件等等依靠Jabber客户端。

注意：如果CUP-XMMP证书自已签署的， Jabber客户端将显示不信任证书的一安全警告弹出式，如果CUP-XMPP证书没有在Jabber设备的证书信任存储安装。如果不已经安装在Jabber设备的证书信任存储，自已签署的CUP-XMPP证书将需要推送到Jabber设备通过组策略、mdm、电子邮件等等依靠Jabber客户端。

步骤1.打开每个服务器的GUI在您的集群。从IM/P发行商开始，然后打开GUI到每个IM/P用户服务器反之并且导航对Cisco Unified OS管理> Security > Certificate Management

步骤2.开始与发行商GUI，选择查找显示所有证书。

•从CUPxmpp.pem证书的类型列，请确定是否自已签署的或CA签名的。

•如果CUPxmpp.pem证书是第三方签字的(CA签名的类型)分配多SAN，请查看在生成多SAN CUPxmpp CSR和提交的以下链接对CA签名的CUPxmpp证书的CA， UnifiedCommunication与CA签名的多服务器主题替代名称配置示例的集群设置

•如果CUPxmpp.pem证书是第三方签字的(CA签名的类型)分配单个节点(分配名称等于证书的公用名称)，请查看在生成单个节点CUPxmpp CSR和提交的以下链接对CA签名的CUPxmpp证书的CA，证书确认的JabberComplete入门指南

•如果CUPxmpp.pem证书自已签署的请继续对步骤3。

步骤3.选择查找为了显示所有证书
•选择CUPxmpp.pem证书。
•一旦开放请选择重新生成并且等待，直到您看到成功，在上推关闭前。

步骤4.继续随后的用户;遵从在步骤2的同一个步骤并且完成在您的集群的所有用户。

第 5 步：在CUP-XMPP证书在所有节点后被重新生成了， Cisco XCP路由器服务在IM/P节点需要被重新启动：

Note:如果在线状态冗余组配置有被检查的Enable (event)高可用性，请不选定此，在服务被重新启动前。在线状态冗余组配置可以访问在CUCM客栈管理>System >在线状态冗余组。服务的重新启动，下面，将导致一临时中断IM/P，并且必须是完成外部制作小时。

•登录发行商的Cisco Unified维护性
  a. Cisco Unified维护性> Tools > Control Center -网络服务
  b.重新启动Cisco XCP路由器服务。
  c.一旦服务重新启动完成，请继续重新启动在用户的Cisco XCP路由器服务。

CUP-XMPP-S2S证书

步骤1.打开每个服务器的GUI在您的集群。从IM/P发行商开始，然后打开GUI到每个IM/P用户服务器反之并且导航对Cisco Unified OS管理> Security > Certificate Management

步骤2.开始与发行商GUI，选择查找显示所有证书。
•选择cup-xmpp-s2s.pem证书。
•一旦开放，请选择重新生成并且等待，直到您看到成功，在上推关闭前。

步骤3.继续随后的用户;遵从在步骤2的同一个步骤并且完成在您的集群的所有用户。

第 4 步：在CUP-XMPP-S2S证书在所有节点后被重新生成了，这些服务在下列顺序将需要被重新启动：

Note:如果在线状态冗余组配置有被检查的Enable (event)高可用性，请不选定此，在这些服务被重新启动前。在线状态冗余组配置在CUCM客栈管理>System >在线状态冗余组可以访问。服务的重新启动，下面，将导致一临时中断IM/P，并且必须是完成外部制作小时。

•登录发行商的Cisco Unified维护性
  a. Cisco Unified维护性> Tools > Control Center -网络服务
  b.重新启动Cisco XCP路由器服务。
  c.一旦服务重新启动完成，请继续Cisco XCP路由器服务重新启动在用户的。

•登录发行商的Cisco Unified维护性

   a. Cisco Unified维护性> Tools > Control Center -功能服务

   b. 重新启动Cisco XCP XMPP联邦连接管理器服务。

   c. 一旦服务重新启动完成，请继续Cisco XCP XMPP联邦在用户的连接管理器服务重新启动。

IPSEC证书

Note:在CUCM发行商的ipsec.pem证书一定有效，并且一定是存在所有用户(CUCM和IM/P节点) IPSEC truststore的。用户IPSEC.pem证书不会是存在发行商作为在一标准的部署的IPSEC truststore。为了验证正确性比较在ipsec.pem证书的序列号从与IPSEC信任的CUCM-PUB在用户。他们必须配比。

Note:灾难恢复系统使用主代理和数据的本地座席验证的和加密的之间一SSL (安全套接层)基于通信在CUCM簇结之间的(CUCM和IM/P节点)。DR利用其公共/Private密钥加密的IPSec证书。注意，如果删除从证书管理页的IPSEC truststore (hostname.pem)文件，然后DR不会运转正如所料。如果手工删除IPSEC信任文件，则您必须保证您上传IPSEC证书对IPSEC truststore。欲了解更详细的信息，参考证书管理Help页在Cisco Unified Communications Manager安全指南。

步骤1.打开每个服务器的GUI在您的集群。从IM/P发行商开始，然后打开GUI到每个IM/P用户服务器反之并且导航对Cisco Unified OS管理> Security > Certificate Management

步骤2.开始与发行商GUI，选择查找显示所有证书。
•选择ipsec.pem证书。
•一旦开放请选择重新生成并且等待，直到您看到成功，在上推关闭前。

步骤3.继续随后的用户;遵从在步骤2的同一个步骤并且完成在您的集群的所有用户。

第 4 步：在所有节点重新生成了IPSEC证书然后后重新启动以下服务：
•导航对发行商的Cisco Unified维护性Cisco Unified维护性> Tools > Control Center -网络服务
  a.选择在Cisco DRF主服务的重新启动
  b.一旦服务重新启动完成，请选择Cisco DRF本地服务重新启动在发行商的然后继续Cisco DRF本地服务的重新启动在每个用户的。

TOMCAT证书

注意：因为Jabber使用CUCM Tomcat和IM/P Tomcat和CUPxmpp服务器证书验证Tomcat和CUPxmpp服务的连接，这些CUCM和IM/P证书是CA签名的在大多数情况下。如果Jabber设备没有是在其证书信任存储安装的Tomcat证书的一部分的根和任何中间证书， Jabber客户端将显示不信任证书的一安全警告弹出式。如果不已经安装在Jabber设备的证书信任存储、根和所有中间证书将需要推送到Jabber设备hrough组策略、mdm、电子邮件等等依靠Jabber客户端。

注意：如果Tomcat证书自已签署的， Jabber客户端将显示不信任证书的一安全警告弹出式，如果Tomcat证书没有在Jabber设备的证书信任存储安装。如果不已经安装在Jabber设备的证书信任存储，自已签署的CUP-XMPP证书将需要推送到Jabber设备通过组策略、mdm、电子邮件等等依靠Jabber客户端。

步骤1.打开每个服务器的GUI在您的集群。从IM/P发行商开始，然后打开GUI到每个IM/P用户服务器反之并且导航对Cisco Unified OS管理> Security > Certificate Management

步骤2.开始与发行商GUI，选择查找显示所有证书。
•从tomcat.pem证书的类型列，请确定是否自已签署的或CA签名的。

•如果tomcat.pem证书是第三方签字的(CA签名的类型)分配多SAN，请查看关于怎样的以下链接生成多SAN Tomcat CSR和提交到CA签名的Tomcat证书的CA， UnifiedCommunication与CA签名的多服务器主题替代名称配置示例的集群设置

注意：多SAN Tomcat CSR在CUCM发行商将生成，并且被分配对在集群的所有CUCM和IM/P节点。

•如果tomcat.pem证书是第三方签字的(CA签名的类型)分配单个节点(分配名称等于证书的公用名称)，请查看在生成单个节点CUPxmpp CSR和提交的以下链接对CA签名的CUPxmpp证书的CA，证书确认的JabberComplete入门指南

•如果tomcat.pem证书自已签署的请继续对步骤3。

步骤3.选择查找为了显示所有证书
•选择tomcat.pem证书
•一旦开放请选择重新生成并且等待，直到您看到成功上推，在上推关闭前。

步骤4.继续每个随后的用户，遵从在步骤2的同一个步骤并且完成在您的集群的所有用户。

第 4 步：在所有节点重新生成了Tomcat证书后，请重新启动在所有节点的Tomcat服务。开始与发行商，跟随由用户。
•如镜像所显示，为了重新启动您需要开始每个节点的一CLI会话和运行命令使用情况服务重新启动Cisco Tomcat的Tomcat服务， ：

删除已到期信任认证

Note:信任认证(结束-信任)可以删除，若适合。可能删除的信任认证是不再要求，超时或者是已废弃的那些。请勿删除五身份证书：cup.pem、CUPxmpp.pem、cup-xmpp-s2s.pem、ipsec.pem和tomcat.pem证书。 服务重新启动在这些传统证书内存信息在那些服务内，下面，设计清除其中任一。

Note:如果在线状态冗余组配置有被检查的Enable (event)高可用性，请不选定此，在服务被终止/开始或者被重新启动前。在线状态冗余组配置可以访问在CUCM客栈管理>System >在线状态冗余组。某些的重新启动服务，下面，将导致一临时中断IM/P，并且必须是完成外部制作小时。

步骤1.导航对Cisco Unified维护性> Tools > Control Center -网络服务

•从下拉菜单请选择您的IM/P发行商，选择Cisco证书终止监视器终止，跟随由Cisco簇之间同步代理程序终止

•重复这些服务终止每个IM/P节点的在您的集群

注意：如果Tomcat信任证书将删除，请导航对Cisco Unified维护性> Tools > Control Center - CUCM发行商的网络服务

•从丢弃下来请选择CUCM发行商
•选择Cisco证书终止监视器终止，跟随由Cisco证书修改提示终止
•为在您的集群的每个CUCM节点重复

步骤2.导航对Cisco Unified OS管理> Security > Certificate Management >查找
•查找已到期信任认证。(您能在有效期之前过滤的版本10.X和以上。从版本在10.0以下您需要识别特定证书手工或通过RTMT警报，如果接收。
•同一个信任认证在多个节点能出现。必须从每个节点单个删除它。
•选择将删除的信任认证(从属于您的版本您或者将获得上推或您将导航对在同样页的证书)
  •选择删除(您将获得开始与您将永久删除此证书…)的上推
  •选择好

步骤3.重复能将删除的每个信任认证的进程

步骤4.在完成，与删除的证书直接地涉及的服务需要被重新启动。

•CUP信任：若被设定Cisco SIP代理， Cisco在线状态引擎和SIP联邦的， Cisco XCP SIP联邦连接管理器(请参阅CUP证书部分)
•CUP XMPP信任：Cisco XCP路由器(请参阅CUP-XMPP证书部分)
•CUP-XMPP-S2S-trust ：Cisco XCP路由器和Cisco XCP XMPP联邦连接管理器
•IPSEC信任：DRF Master/DRF本地(请参阅IPSEC证书部分)
•Tomcat信任：重新启动Tomcat服务通过line命令(请参阅Tomcat证书部分)

步骤5.在step1以前终止的重新启动服务

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。