簡介
本檔案將說明Expressway/Video Communication Server(VCS)證書續訂流程。
背景資訊
本文檔中的資訊適用於Expressway和VCS。本文檔引用Expressway,但可以與VCS進行互換。
註意:雖然本文檔旨在幫助您執行證書續訂流程,但最好還要檢查適用於您版本的Cisco Expressway證書建立和使用部署指南。
每當更新證書時,必須考慮兩個要點,以驗證安裝新證書後系統是否繼續正常工作:
1.新證書的屬性必須與舊證書的屬性相匹配(主要為「使用者替代名稱」和「擴展金鑰用法」)。
2.簽署新證書的CA(證書頒發機構)必須受到與Expressway直接通訊的其他伺服器的信任(例如CUCM、Expressway-C、Expressway-E..)。
流程
A)從當前證書獲取資訊
1.開啟Expressway網頁維護>安全>伺服器證書> Show decoded。
2.在開啟的新視窗中,將Subject Alternative name和Authority Key Identifier X509v3 extensions複製到記事本文檔。
「Show decoded」證書視窗
B)生成CSR(證書簽名請求)並將其傳送到CA(證書頒發機構)進行簽名。
1.從Expressway網頁維護>安全>伺服器證書>生成CSR。
2.在「生成CSR」視窗的其他替代名稱(逗號分隔)欄位中,輸入在A部分中儲存的主題替代名稱的所有值,然後刪除DNS:並使用逗號分隔清單。在此映像中,Alternative name(備用名稱)旁,有一個列出要在證書中使用的所有SAN的清單):
產生CSR SAN專案
3.在「附加資訊」部分(如國家/地區、公司、州/省……)下輸入其餘資訊,然後按一下生成CSR。
4.產生CSR後,Maintenance > Security > Server Certificate頁面會顯示Discard CSR 和Download選項。 選擇「Download」,將CSR傳送到CA進行簽名。
注意:在安裝新證書之前,不要丟棄CSR。如果完成丟棄CSR,然後嘗試安裝使用被丟棄的CSR簽名的證書,則證書安裝失敗。
C)檢查新證書中的SAN清單和擴展/增強型金鑰使用屬性
在Windows證書管理器中開啟新簽名的證書並驗證:
1. SAN清單與我們在生成CSR時使用的A部分中儲存的SAN清單相匹配。
2. 「Extended/Enhanced key usage」屬性必須包括Client Authentication和Server Authentication。
注意:如果證書具有.pem副檔名,請將其重新命名為.cer或.crt,以便能夠使用Windows證書管理器開啟該證書。使用Windows證書管理器開啟證書後,您可以轉到Details頁籤> Copy to File,並將其匯出為Base64編碼檔案,在文本編輯器中開啟時,base64編碼檔案通常頂部有「-----BEGIN CERTIFICATE-----」,底部有「-----END CERTIFICATE-----」
D)檢查簽署新憑證的CA是否與簽署舊憑證的CA相同
在Windows證書管理器中開啟新簽名的證書,複製「授權金鑰識別符號」值,並將其與我們在A部分中儲存的「授權金鑰識別符號」值進行比較。
使用Windows證書管理器開啟的新證書
如果兩個值相同,則意味著使用相同的CA來簽署新證書,而使用相同的CA來簽署舊證書,您可以繼續前往E部分以上傳新證書。
如果這些值不同,則意味著用於簽署新證書的CA不同於用於簽署舊證書的CA,在繼續前往E部分之前應採取的步驟如下:
1.獲取所有中間CA證書(如果有)和根CA證書。
2.轉到維護>安全>受信任CA證書,按一下瀏覽,然後在電腦上搜尋中間CA證書並上傳。對任何其他中間CA證書和根CA證書執行相同操作。
3.對連線到此伺服器的任何Expressway-E(如果要續訂的證書是Expressway-C證書)或連線到此伺服器的任何Expressway-C(如果要續訂的證書是Expressway-E證書)執行相同操作。
4.如果要續訂的證書是Expressway-C證書,並且您具有MRA或對CUCM具有安全區域
- 驗證CUCM信任新的根和中間CA。
- 將根和中間CA證書上傳到CUCM tomcat-trust和callmanager-trust儲存。
- 在CUCM上重新啟動相關服務。
E)安裝新證書
在檢查所有先前點後,您可以從維護>安全>伺服器證書在Expressway上安裝新證書。
按一下Browse,從電腦中選擇新的證書檔案並上傳。
安裝新證書後,必須重新啟動Expressway。
註意:驗證要從維護>安全>伺服器證書上傳到Expressway的證書是否僅包含Expressway伺服器證書,而不是完整的證書鏈鏈,並驗證它是Base64證書。
向多個Expressway新增單個證書:
- 為整個expressway-e群集建立單個證書。基於此,您需要做的工作如下:
- 建立CSR,其中包含所有FQDN以及在您的expressway上使用的額外功能(如果CMS webrtc、加入url和域、如果MRA、您的註冊/登入域)
範例:
Exwycluster.domain
Exwy1.domain
Exwy2.domain
Exwy3.domain
Exwy4.domain
額外功能(域或CMS URL)
- 完成CSR後,您可以使用SFTP程式擷取此CSR的私密金鑰(我建議您WinSCP,我們會經常使用)
- 開啟WinSCP並連線到建立CSR的expressway-e
- 導航到tandberg/persistent/certs/ CSR或證書簽名請求(可能顯示以及掛起)
- 將私鑰從expressway-e複製到您的案頭,
- 完成後,我們就可以對所有4個節點使用相同的證書。