續訂Expressway證書

下載選項

  • PDF     (491.3 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (205.0 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (227.1 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2023 年 10 月 18 日
文件 ID:218034

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案將說明Expressway/Video Communication Server(VCS)證書續訂流程。

    背景資訊

    本文檔中的資訊適用於Expressway和VCS。本文檔引用Expressway,但可以與VCS進行互換。

    意:雖然本文檔旨在幫助您執行證書續訂流程,但最好還要檢查適用於您版本的Cisco Expressway證書建立和使用部署指南。

    每當更新證書時,必須考慮兩個要點,以驗證安裝新證書後系統是否繼續正常工作:

    1.新證書的屬性必須與舊證書的屬性相匹配(主要為「使用者替代名稱」和「擴展金鑰用法」)。

    2.簽署新證書的CA(證書頒發機構)必須受到與Expressway直接通訊的其他伺服器的信任(例如CUCM、Expressway-C、Expressway-E..)。

    流程

    A)從當前證書獲取資訊

    1.開啟Expressway網頁維護>安全>伺服器證書> Show decoded。

    2.在開啟的新視窗中,將Subject Alternative nameAuthority Key Identifier X509v3 extensions複製到記事本文檔。

    Show decoded certificate window「Show decoded」證書視窗

    B)生成CSR(證書簽名請求)並將其傳送到CA(證書頒發機構)進行簽名。

    1.從Expressway網頁維護>安全>伺服器證書>生成CSR。

    2.在「生成CSR」視窗的其他替代名稱(逗號分隔)欄位中,輸入在A部分中儲存的主題替代名稱的所有值,然後刪除DNS:並使用逗號分隔清單。在此映像中,Alternative name(備用名稱)旁,有一個列出要在證書中使用的所有SAN的清單):

    Generate CSR SAN entries產生CSR SAN專案

    3.在「附加資訊」部分(如國家/地區、公司、州/省……)下輸入其餘資訊,然後按一下生成CSR。

    4.產生CSR後,Maintenance > Security > Server Certificate頁面會顯示Discard CSRDownload選項。 選擇「Download」,將CSR傳送到CA進行簽名。

    注意:在安裝新證書之前,不要丟棄CSR。如果完成丟棄CSR,然後嘗試安裝使用被丟棄的CSR簽名的證書,則證書安裝失敗。

    C)檢查新證書中的SAN清單和擴展/增強型金鑰使用屬性

    在Windows證書管理器中開啟新簽名的證書並驗證:

    1. SAN清單與我們在生成CSR時使用的A部分中儲存的SAN清單相匹配。

    2. 「Extended/Enhanced key usage屬性必須包括Client AuthenticationServer Authentication

    注意:如果證書具有.pem副檔名,請將其重新命名為.cer或.crt,以便能夠使用Windows證書管理器開啟該證書。使用Windows證書管理器開啟證書後,您可以轉到Details頁籤> Copy to File,並將其匯出為Base64編碼檔案,在文本編輯器中開啟時,base64編碼檔案通常頂部有「-----BEGIN CERTIFICATE-----」,底部有「-----END CERTIFICATE-----」

    D)檢查簽署新憑證的CA是否與簽署舊憑證的CA相同

    在Windows證書管理器中開啟新簽名的證書,複製「授權金鑰識別符號」值,並將其與我們在A部分中儲存的「授權金鑰識別符號」值進行比較。

    New certificate opened with Windows Certificate Manager使用Windows證書管理器開啟的新證書

    如果兩個值相同,則意味著使用相同的CA來簽署新證書,而使用相同的CA來簽署舊證書,您可以繼續前往E部分以上傳新證書。

    如果這些值不同,則意味著用於簽署新證書的CA不同於用於簽署舊證書的CA,在繼續前往E部分之前應採取的步驟如下:

    1.獲取所有中間CA證書(如果有)和根CA證書。

    2.轉到維護>安全>受信任CA證書,按一下瀏覽,然後在電腦上搜尋中間CA證書並上傳。對任何其他中間CA證書和根CA證書執行相同操作。

    3.對連線到此伺服器的任何Expressway-E(如果要續訂的證書是Expressway-C證書)或連線到此伺服器的任何Expressway-C(如果要續訂的證書是Expressway-E證書)執行相同操作。

    4.如果要續訂的證書是Expressway-C證書,並且您具有MRA或對CUCM具有安全區域

    • 驗證CUCM信任新的根和中間CA。
    • 將根和中間CA證書上傳到CUCM tomcat-trust和callmanager-trust儲存。
    • 在CUCM上重新啟動相關服務。

    E)安裝新證書

    在檢查所有先前點後,您可以從維護>安全>伺服器證書在Expressway上安裝新證書。

    按一下Browse,從電腦中選擇新的證書檔案並上傳。

    安裝新證書後,必須重新啟動Expressway。

    意:驗證要從維護>安全>伺服器證書上傳到Expressway的證書是否僅包含Expressway伺服器證書,而不是完整的證書鏈鏈,並驗證它是Base64證書。

    向多個Expressway新增單個證書:

    • 為整個expressway-e群集建立單個證書。基於此,您需要做的工作如下:
    • 建立CSR,其中包含所有FQDN以及在您的expressway上使用的額外功能(如果CMS webrtc、加入url和域、如果MRA、您的註冊/登入域)

    範例:
    Exwycluster.domain
    Exwy1.domain
    Exwy2.domain
    Exwy3.domain
    Exwy4.domain
    額外功能(域或CMS URL)

    • 完成CSR後,您可以使用SFTP程式擷取此CSR的私密金鑰(我建議您WinSCP,我們會經常使用)
    • 開啟WinSCP並連線到建立CSR的expressway-e
    • 導航到tandberg/persistent/certs/ CSR或證書簽名請求(可能顯示以及掛起)
    • 將私鑰從expressway-e複製到您的案頭,
    • 完成後,我們就可以對所有4個節點使用相同的證書。

    修訂記錄

    修訂 發佈日期 意見
    2.0
    18-Oct-2023
    重新認證
    1.0
    08-Aug-2022
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Nart Omat
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您