設定統一通訊群集

簡介

本文檔介紹如何使用證書頒發機構(CA)簽名的多伺服器SAN證書來設定統一通訊群集。

必要條件

需求

思科建議您瞭解以下主題：

• 思科整合通訊管理員(CUCM)
• CUCM IM和狀態版本10.5

嘗試此組態之前，請確保這些服務已啟動且功能正常：

• Cisco平台管理Web服務
• Cisco Tomcat服務

要在Web介面上驗證這些服務，請導航至Cisco Unified Serviceability Page Services > Network Service > Select a server。若要在CLI上驗證它們，請輸入utils service list命令。

如果在CUCM群集中啟用了SSO，則需要禁用並再次啟用SSO。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

在CUCM版本10.5及更高版本中，此信任儲存證書簽名請求(CSR)可以包括使用者備用名稱(SAN)和備用域。

1. Tomcat - CUCM和IM&P
2. Cisco CallManager — 僅CUCM
3. Cisco Unified Presence — 可擴充訊息和狀態通訊協定(CUP-XMPP) — 僅限IM&P
4. CUP-XMPP伺服器到伺服器(S2S) — 僅限IM&P

在此版本中獲取CA簽名的證書更簡單。只需一個CSR由CA簽署，而不是要求從每個伺服器節點取得CSR，然後為每個CSR取得一個CA簽署的憑證並個別管理。

設定

步驟1.

登入到Publisher的作業系統(OS)管理，然後導航到安全>證書管理>生成CSR。

步驟2.
選擇Multi-Server SAN in Distribution。

它會自動填充SAN域和父域。 

驗證Tomcat是否列出了集群的所有節點：CallManager的所有CUCM和IM&P節點均列出：僅列出了CUCM節點。

步驟3.
按一下「generate」，一旦CSR產生，請確認CSR中列出的所有節點也會顯示在「Successful CSR exported」清單中。

在證書管理中，生成SAN請求：

步驟4.

按一下「Download CSR」，然後選擇憑證用途，然後按一下「Download CSR」。

可以使用本地CA或外部CA（例如VeriSign）來簽署CSR（在上一步中下載的檔案）。

此示例顯示基於Microsoft Windows Server的CA的配置步驟。如果您使用不同的CA或外部CA，請前往步驟5。

登入https://<windowsserveripaddress>/certsrv/
選擇Request a Certificate > Advanced Certificate Request。
將CSR檔案的內容複製到Base-64編碼憑證要求欄位，然後按一下Submit。

按此處所示提交CSR請求。

步驟5.

注意：上傳Tomcat證書之前，請驗證SSO是否已禁用。如果已啟用SSO，則必須在所有Tomcat證書再生過程完成後禁用並重新啟用SSO。

簽署憑證後，將CA憑證上傳為tomcat-trust。首先獲取根證書，然後獲取中間證書（如果存在）。

步驟6.

現在，將CUCM簽名的證書上傳為Tomcat，並驗證集群的所有節點是否列在「Certificate upload operation successful」中，如下圖所示：

「Certificate Management」中列出了多伺服器SAN，如下圖所示：

步驟7.

使用utils service restart Cisco Tomcat 命令，通過CLI在SAN清單中的所有節點（首先是發佈伺服器，然後是訂閱伺服器）上重新啟動Tomcat服務。

驗證

登入http://<fqdnofccm>:8443/ccmadmin以確保使用新證書。

CallManager多伺服器SAN證書

對於CallManager證書，可以執行類似的過程。在這種情況下，自動填充的域僅是CallManager節點。如果Cisco CallManager服務沒有運行，您可以選擇將其保留在SAN清單中或將其刪除。

警告：此過程會影響電話註冊和呼叫處理。確保為使用CUCM/TVS/ITL/CAPF證書的任何工作安排維護視窗。

在CA簽名的CUCM SAN證書之前，請確保：

• IP電話能夠信任信任信任驗證服務(TVS)。這可以通過從電話訪問任何HTTPS服務來驗證。例如，如果公司目錄訪問有效，則表示電話信任TVS服務。
• 驗證群集是否處於非安全模式或混合模式。 

要確定它是否為混合模式集群，請選擇 Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode(0 == Non-Secure; 1 == Mixed Mode).  

警告：如果在服務重新啟動之前處於混合模式集群，則必須更新CTL:Token或Tokenless。

安裝由CA頒發的證書後，必須在已啟用的節點中重新啟動下一個服務清單：

• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTIManager
• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service

疑難排解

這些日誌可幫助思科技術支援中心識別與多伺服器SAN CSR生成和上傳CA簽名證書相關的任何問題。

• Cisco整合OS平台API
• Cisco Tomcat
• IPT平台CertMgr日誌
• 證書續訂流程

已知警告

·思科錯誤ID CSCur97909 — 上傳多伺服器證書不會刪除資料庫中的自簽名證書
· Cisco錯誤ID CSCus47235 - CUCM 10.5.2 CN未複製到SAN中用於CSR
·思科錯誤ID CSCup28852 — 使用多伺服器證書時，由於證書更新，每7分鐘重置一次電話

如果存在現有的多伺服器證書，建議在以下情況下重新生成：

• 主機名或域更改。執行主機名或域更改時，證書將自動重新生成為自簽名。若要將其更改為CA簽名，必須遵循前面的步驟。
• 如果向群集中新增了新節點，則必須生成包含新節點的新CSR。
• 當訂閱伺服器還原且未使用備份時，節點可以擁有新的自簽名證書。可能需要整個群集的新CSR以包含訂閱伺服器。(存在增強請求思科錯誤ID CSCuv75957 新增此功能。)