证书概述
证书用于保护身份并在 IM and Presence Service 和另一个系统之间建立信任关系。您可以使用证书将 IM and Presence Service 连接到 Cisco Unified Communications Manager、Cisco Jabber 客户端或任何外部服务器。没有证书,就无法知道是否使用了流氓 DNS 服务器,或者您是否被路由到了另一台服务器。
IM and Presence Service 可以使用的证书主要有两类:
-
自签名证书 — 自签名证书由颁发证书的同一服务器签名。在企业内部,您可以使用自签名证书与另一个内部系统连接,不过有一个前提条件:这些连接都不通过不安全的网络传输。例如,IM and Presence Service 可能会为到 Cisco Unified Communications Manager 的内部连接生成自签名证书。
-
CA 签名证书 — 这些是由第三方证书颁发机构 (CA) 签名的证书。它们可以由控制服务器/服务证书有效性的公共 CA(例如 Verisign、Entrust 或 Digicert)或服务器(例如 Windows 2003、Linux、Unix、IOS)签名。CA 签名证书比自签名证书更安全,通常用于 WAN 连接。例如,与另一个企业的联合连接或使用 WAN 连接的群集间对等配置将要求 CA 签名证书与外部系统建立信任关系。
CA 签名证书比自签名证书更安全。通常,自签名证书被认为适用于内部连接,但对于任何 WAN 连接或通过公共 Internet 的连接,您应使用 CA 签名证书。
多服务器证书
IM and Presence Service 还支持某些系统服务的多服务器 SAN 证书。为多服务器证书生成证书签名请求 (CSR) 时,一旦将证书上传到任何群集节点,生成的多服务器证书及其关联的签名证书链将自动分发到所有群集节点。
IM and Presence Service 中的证书类型
在 IM and Presence Service 中,不同的系统组件需要不同类型的证书。下表介绍 IM and Presence Service 上的客户端和服务需要的不同证书。
注 |
如果证书名称以 -ECDSA 结尾,证书/密钥类型是椭圆曲线 (EC)。否则,为 RSA。 |
证书类型 |
服务 |
证书信任存储库 |
多服务器支持 |
备注 |
---|---|---|---|---|
tomcat、 tomcat-ECDSA |
Cisco 客户端配置文件代理、 Cisco AXL Web 服务、 Cisco Tomcat |
tomcat- trust |
是 |
在 IM and Presence Service 的客户端验证过程中显示给 Cisco Jabber 客户端。 导航 Cisco Unified CM IM and Presence 管理用户界面时显示给 Web 浏览器。 关联的信任存储在使用配置的 LDAP 服务器验证用户凭证时用于验证 IM and Presence Service 建立的连接。 |
ipsec |
ipsec-trust |
否 |
在 IPSec 策略启用时使用。 |
|
cup、 cup-ECDSA |
Cisco SIP Proxy、 Cisco Presence Engine |
cup-trust |
否 |
向 Expressway-C 颁发证书,以获取 SIP 联合用户的 IM and Presence。IM and Presence 代理可用作客户端和服务器。 Presence Engine 会将这些证书用于 Exchange/Office 365 通信以获取日历在线状态。Presence Engine 只能用作客户端。 |
cup-xmpp、 cup-xmpp-ECDSA |
Cisco XCP 连接管理器、 Cisco XCP Web 连接管理器、 Cisco XCP 目录服务、 Cisco XCP 路由器服务 |
cup-xmpp-trust |
是 |
创建 XMPP 会话时显示给 Cisco Jabber 客户端、第三方 XMPP 客户端或基于 CAXL 的应用程序。 关联的信任存储在对第三方 XMPP 客户端执行 LDAP 搜索操作时用于验证 Cisco XCP 目录服务建立的连接。 如果“路由通信类型”设置为“路由器-路由器”,Cisco XCP 路由器服务在 IM and Presence Service 服务器之间建立安全连接时将使用关联的信任存储。 |
cup-xmpp-s2s、 cup-xmpp-s2s-ECDSA |
Cisco XCP XMPP 联合连接管理器 |
cup-xmpp-trust |
是 |
连接外部联合的 XMPP 系统时显示给 XMPP 域间联合。 |