簡介
本文檔介紹如何使用證書頒發機構(CA)簽名的多伺服器SAN證書來設定統一通訊群集。
必要條件
需求
思科建議您瞭解以下主題:
- 思科整合通訊管理員(CUCM)
- CUCM IM和狀態版本10.5
嘗試此組態之前,請確保這些服務已啟動且功能正常:
- Cisco平台管理Web服務
- Cisco Tomcat服務
要在Web介面上驗證這些服務,請導航至Cisco Unified Serviceability Page Services > Network Service > Select a server。若要在CLI上驗證它們,請輸入utils service list命令。
如果在CUCM群集中啟用了SSO,則需要禁用並再次啟用SSO。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
在CUCM版本10.5及更高版本中,此信任儲存證書簽名請求(CSR)可以包括使用者備用名稱(SAN)和備用域。
- Tomcat - CUCM和IM&P
- Cisco CallManager — 僅CUCM
- Cisco Unified Presence — 可擴充訊息和狀態通訊協定(CUP-XMPP) — 僅限IM&P
- CUP-XMPP伺服器到伺服器(S2S) — 僅限IM&P
在此版本中獲取CA簽名的證書更簡單。只需一個CSR由CA簽署,而不是要求從每個伺服器節點取得CSR,然後為每個CSR取得一個CA簽署的憑證並個別管理。
設定
步驟 1.
登入到Publisher的作業系統(OS)管理,然後導航到安全>證書管理>生成CSR。

步驟 2.
選擇Multi-Server SAN in Distribution。

它會自動填充SAN域和父域。
驗證Tomcat是否已列出集群的所有節點:適用於CallManager的所有CUCM和IM&P節點:僅列出了CUCM節點。

步驟 3.
按一下「generate」,一旦CSR產生,請確認CSR中列出的所有節點也會顯示在「Successful CSR exported」清單中。

在證書管理中,生成SAN請求:

步驟 4.
按一下「Download CSR」,然後選擇憑證用途,然後按一下「Download CSR」。


可以使用本地CA或外部CA(例如VeriSign)來簽署CSR(在上一步中下載的檔案)。
此示例顯示基於Microsoft Windows Server的CA的配置步驟。如果您使用不同的CA或外部CA,請前往步驟5。
登入https://<windowsserveripaddress>/certsrv/
選擇Request a Certificate > Advanced Certificate Request。
將CSR檔案的內容複製到Base-64編碼憑證要求欄位,然後按一下Submit。

按此處所示提交CSR請求。


步驟 5.
附註:上傳Tomcat證書之前,請驗證SSO是否已禁用。如果已啟用SSO,則必須在所有Tomcat證書再生過程完成後禁用並重新啟用SSO。
簽署憑證後,將CA憑證上傳為tomcat-trust。首先獲取根證書,然後獲取中間證書(如果存在)。


步驟 6.
現在,將CUCM簽名的證書上傳為Tomcat,並驗證集群的所有節點是否列在「Certificate upload operation successful」中,如下圖所示:

「Certificate Management」中列出了多伺服器SAN,如下圖所示:

步驟 7.
使用命令,通過CLI在SAN清單中的所有節點(首先是發佈者,然後是訂閱者)上重新啟動Tomcat服務:utils service restart Cisco Tomcat。

驗證
登入http://<fqdnofccm>:8443/ccmadmin以確保使用新證書。

CallManager多伺服器SAN證書
對於CallManager證書,可以執行類似的過程。在這種情況下,自動填充的域僅是CallManager節點。如果Cisco CallManager服務沒有運行,您可以選擇將其保留在SAN清單中或將其刪除。
警告:此過程會影響電話註冊和呼叫處理。確保為使用CUCM/TVS/ITL/CAPF證書的任何工作安排維護視窗。
在CA簽名的CUCM SAN證書之前,請確保:
- IP電話能夠信任信任信任驗證服務(TVS)。 這可以通過從電話訪問任何HTTPS服務來驗證。例如,如果公司目錄訪問有效,則表示電話信任TVS服務。
- 驗證群集是否處於非安全模式或混合模式。
要確定它是否為混合模式集群,請選擇 Cisco Unified CM管理>系統>企業引數>集群安全模式(0 == Non-Secure;1 == Mixed Mode).
警告:如果在服務重新啟動之前處於混合模式集群,則必須更新CTL:Token或Tokenless。
安裝由CA頒發的證書後,必須在已啟用的節點中重新啟動下一個服務清單:
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTIManager
- Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service
疑難排解
這些日誌可幫助思科技術支援中心識別與多伺服器SAN CSR生成和上傳CA簽名證書相關的任何問題。
- Cisco整合OS平台API
- Cisco Tomcat
- IPT平台CertMgr日誌
- 證書續訂流程
已知警告
·思科錯誤ID CSCur97909 — 上傳多伺服器證書不會刪除資料庫中的自簽名證書
· Cisco錯誤ID CSCus47235 - CUCM 10.5.2 CN未複製到SAN中用於CSR
·思科錯誤ID CSCup28852 — 使用多伺服器證書時,由於證書更新,每7分鐘重置一次電話
如果存在現有的多伺服器證書,建議在以下情況下重新生成:
- 主機名或域更改。執行主機名或域更改時,證書將自動重新生成為自簽名。若要將其更改為CA簽名,必須遵循前面的步驟。
- 如果向群集中新增了新節點,則必須生成包含新節點的新CSR。
- 當訂閱伺服器還原且未使用備份時,節點可以擁有新的自簽名證書。可能需要整個群集的新CSR以包含訂閱伺服器。(存在增強請求思科錯誤ID CSCuv75957
新增此功能。)