重新生成CUCM證書
下載選項
無偏見用語
本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
關於此翻譯
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
目錄
簡介
本檔案介紹如何重新生成Cisco Unified Communications Manager(CUCM)版本8.x及更新版本中使用的憑證。
背景資訊
本文檔還將介紹根據預設安全(SBD)功能啟用的身份信任清單(ITL)和混合模式環境的證書信任清單(CTL),以避免任何意外停機。例如,如何避免電話註冊問題或電話不接受配置更改或韌體。
注意:始終建議在維護視窗中完成證書重新生成。
必要條件
需求
思科建議您瞭解以下主題:
- CallManager
- CAPF(證書頒發機構代理功能)
- IPsec
- Tomcat
- TVS(信任驗證服務)
- ITLRecovery(僅適用於CUCM 10.X及更高版本)
- phone-vpn-trust
- phone-sast-trust
- 電話信任
- phone-ctl-trust
- LSC(具有本地意義的證書)
- MIC(製造商安裝的證書)
採用元件
本檔案中的資訊是根據以下軟體版本:
- CUCM版本9.1(2)SU2a,
- CUCM 8.x及更高版本
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
何時重新生成證書
CUCM在全新安裝後使用的大多數證書預設情況下是自簽發的證書,有效期為五年。請注意,在CUCM上,當前無法將五年時間範圍修改為較短的時間範圍。但是,證書頒發機構(CA)可以頒發證書的時間範圍幾乎不限。
CUCM中的證書分為兩個角色:
- 服務證書:可以重新生成這些證書,並且不會使用單詞 — trust進行標籤。每個節點都有自己的服務證書,這意味著每個公共子節點都有一個CallManager、Tomcat、IPsec、TVS和CAPF證書。
- 信任證書:無法重新生成這些證書,並使用單詞 — trust進行標籤。這些證書可以是服務證書、預設安裝的證書或來自其他伺服器的證書的副本。
還有一些已預載入且有效期較長的受信任證書(例如CAPF-trust和CallManager-trust)。例如,思科製造CA證書在CUCM信任商店中針對特定功能提供,直到2029年才到期。
證書必須在到期之前重新生成。當證書即將到期時,您將在RTMT(系統日誌檢視器)中收到警告,如果進行了配置,將會傳送包含通知的電子郵件。
此處顯示了一個證書過期通知的示例,該通知詳細描述了CUCM01.der證書在信任儲存的tomcat-trust上的伺服器CUCM02上的於5月19日14:46到期的情況:
At Fri Sep 05 02:00:56 CEST 2014 on node 192.168.1.2, the following
SyslogSeverityMatchFound events generated:
SeverityMatch : Critical
MatchedEvent : Sep 5 02:00:06 CUCM02 local7 2 : 864: CUCM02.localdomain:
Sep 05 2014 00:00:06.433 UTC : %UC_CERT-2-CertValidfor7days:
%[Message=Certificate expiration Notification. Certificate name:CUCM01.der
Unit:tomcat-trust Type:own-cert Expiration:Mon May 19 14:46:]
[AppID=Cisco Certificate Monitor][ClusterID=][NodeID=CUCM02]:
Alarm to indicate that Certificate has Expired or Expires in less than seven days
AppID : Cisco Syslog Agent
ClusterID :
NodeID : CUCM02
TimeStamp : Fri Sep 05 02:00:16 CEST 2014
請記住,過期證書可能會影響您的CUCM功能,具體取決於群集的配置。下一節將討論注意事項。
證書儲存對服務的影響
對於系統的良好功能而言,在CUCM群集中更新所有證書至關重要。如果您的證書過期或無效,可能會嚴重影響系統的正常功能。此處顯示任何特定憑證無效或到期時可能出現的潛在問題清單。影響差異可能取決於您的系統設定。
CallManager.pem
- TFTP不可信(電話不接受簽名配置檔案和/或ITL檔案)。
- 電話服務可能受到影響。
- 安全作業階段啟始通訊協定(SIP)中繼或媒體資源(會議橋接器、媒體終端點(MTP)、轉碼器等)不註冊或工作。
- AXL請求失敗。
Tomcat.pem
- 電話無法訪問CUCM節點上託管的HTTPs服務,例如公司目錄。
- CUCM的Web GUI問題,例如無法從群集中的其他節點訪問服務頁。
- Extension Mobility或Extension Mobility跨群集問題。
- 如果整合了UCCX(Unified Contact Center Express),由於CCX 12.5的安全更改,因此需要在UCCX tomcat-trust儲存中上傳CUCM Tomcat證書(自簽名)或Tomcat根和中間證書(CA簽名),因為它會影響Finesse案頭登入
CAPF.pem
- 電話不對電話VPN、802.1x或電話代理進行身份驗證。
- 無法為電話頒發LSC證書。
- 加密的配置檔案無法正常工作。
IPSec.pem
- 災難恢復系統(DRS)/災難恢復框架(DRF)無法正常工作。
- 到網關(GW)到其他CUCM群集的IPsec隧道無法正常工作。
信任驗證服務(TVS)
電話無法對HTTPS服務進行身份驗證。電話無法驗證組態檔(這幾乎會影響CUCM上的所有內容)。
phone-vpn-trust
電話VPN無法正常工作,因為VPN的HTTPS URL無法進行身份驗證。
註:如果不存在此項,請不要擔心。這僅適用於特定配置。
phone-sast-trust
以前的CTL/eTokens無法更新或修改CTL。
註:如果不存在此項,請不要擔心。這僅適用於特定配置。
phone-trust和phone-ctl-trust
帶有Unity或Unity Connection的可視語音郵件無法正常工作。
註:如果不存在此項,則不必擔心。這僅適用於特定配置。
中,
LSC和MIC
電話不註冊。電話不對電話VPN、電話代理或802.1x進行身份驗證。
注意:預設情況下,MIC在大多數電話機型上。LSC由CAPF簽署,預設為5年。CIPC(Cisco IP Communicator)和Jabber等軟體客戶端未安裝MIC。
建立DRS備份
建議在執行任何此類重大更改之前建立DRS備份。CUCM DRF備份檔案備份群集中的所有證書。所有DRS備份/恢復過程均可在Cisco Unified Communications Manager的Cisco Disaster Recovery System Administration Guide中找到。
注意:請記住Cisco錯誤ID CSCtn50405,CUCM DRF Backup不會備份證書。
確定混合模式
要確定是否運行CTL/安全/混合模式群集,請選擇Cisco Unified CM管理>系統>企業引數>群集安全模式(0 == Non-Secure; 1 == Mixed Mode)。
如果群集處於混合模式
如果在混合模式下運行CUCM集群,這意味著所有證書更改後都需要更新CTL檔案。有關如何執行此操作的步驟請參閱思科安全指南檔案。但是,請確保混合模式功能的原始啟動中至少有一個eToken,並且eToken密碼是已知的。
註:CTL的更新不會自動發生(與ITL檔案的情況一樣)。它需要由管理員使用CTL客戶端或CLI命令手動完成。
在CUCM 10.X及更高版本中,可以通過兩種方式將集群置於混合模式:
- CLI命令 — 如果使用此方法,則使用發佈伺服器的CallManager.pem證書對CTL檔案進行簽名。
admin:show ctl
The checksum value of the CTL file:
0c05655de63fe2a042cf252d96c6d609(MD5)
8c92d1a569f7263cf4485812366e66e3b503a2f5(SHA1)
Length of CTL file: 4947
The CTL File was last modified on Fri Mar 06 19:45:13 CET 2015
[...]
CTL Record #:1
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1156
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D 21
A5 A3 8C 9C (SHA1 Hash HEX)
10 IPADDRESS 4
This etoken was used to sign the CTL file. - CTL客戶端 — 如果使用此方法,則使用其中一個硬體eTokens對CTL檔案進行簽名。
admin:show ctl
The checksum value of the CTL file:
256a661f4630cd86ef460db5aad4e91c(MD5)
3d56cc01476000686f007aac6c278ed9059fc124(SHA1)
Length of CTL file: 5728
The CTL File was last modified on Fri Mar 06 21:48:48 CET 2015
[...]
CTL Record #:5
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1186
2 DNSNAME 1
3 SUBJECTNAME 56 cn="SAST-ADN008580ef ";ou=IPCBU;o="Cisco Systems
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 42 cn=Cisco Manufacturing CA;o=Cisco Systems
6 SERIALNUMBER 10 83:E9:08:00:00:00:55:45:AF:31
7 PUBLICKEY 140
9 CERTIFICATE 902 85 CD 5D AD EA FC 34 B8 3E 2F F2 CB 9C 76 B0 93
3E 8B 3A 4F (SHA1 Hash HEX)
10 IPADDRESS 4
This etoken was used to sign the CTL file.
注意:您可以在無令牌的CTL的CUCM混合模式使用的方法之間移動。
根據用於保護群集的方法,需要使用適當的CTL更新過程。重新運行CTL客戶端或從CLI輸入utils ctl update CTLfile命令。
預設情況下驗證群集的安全性
避免ITL問題非常重要,因為它可能會導致許多功能失敗或電話拒絕遵守任何配置更改。 國際交易日誌問題可以通過以下兩種方式加以避免。
利用「準備群集以便回滾到8.0之前的版本」功能
此功能會將ITL檔案中的ITL條目清空,因此電話信任任何TFTP伺服器。 當此引數設定為True時,來自/傳送到電話的任何HTTPS請求都將失敗。建議不要啟用它,因為它會限制電話功能,如分機移動、公司目錄等。 但是,您可以撥打和接聽基本電話。
註:此功能不適用於混合模式集群,因為此引數僅清除ITL條目而不是CTL條目。
註:此功能只能防止ITL問題,但無法修復。如果問題已在電話中,則不會刪除國際交易日誌,而需要手動刪除國際交易日誌。
註:更改此引數將導致所有電話重置。
設定此功能後,需要重新啟動所有TFTP伺服器(以便提供新的ITL),並且需要重置所有電話,以強制它們請求新的空白ITL。完成證書更改並重新啟動所有必要的服務後,可將此功能設回False、重新啟動TFTP服務和重置電話(以便電話獲取有效的ITL檔案)。然後,所有功能將繼續像以前一樣工作。
按特定順序重新生成證書
此過程為TFTP伺服器提供有效/更新的ITL檔案,該檔案來自可使用的受信任TFTP伺服器。
- 在主TFTP伺服器上停止TFTP服務。
- 根據需要更改主TFTP伺服器的證書。
- 重置電話(以便從輔助TFTP伺服器獲取新的ITL檔案) — 根據重新生成的證書,可以自動執行此操作。
- 電話恢復後,啟動主TFTP伺服器的TFTP服務。
- 在輔助TFTP伺服器上更改證書。
- 重置電話(以便從主TFTP伺服器獲取新的ITL檔案)。
注意:請勿同時編輯兩個TFTP伺服器上的證書。這使電話沒有可信任的TFTP伺服器,並要求本地管理員手動從所有電話上刪除ITL。
一次重新生成一種型別的證書
這是最常用的程式,也是推薦的程式,因為它可以防止電話失去信任。有關這一過程的介紹,請參見
Cisco Unified Communications Manager(CUCM)證書再生過程指南。
在CUCM中刪除和重新生成證書
只能重新生成服務證書(未使用 — trust標籤的證書儲存)。需要刪除信任儲存(標籤為 — trust的證書儲存)中的證書,因為它們無法重新生成。
注意:請注意Cisco錯誤ID CSCut58407 — 刪除CAPF/CallManager/TVS-trust時,裝置無法重新啟動。
修改完所有證書後,需要重新啟動相應的服務才能進行更改。這在重新生成/刪除證書之後一節中說明。
注意:請注意Cisco錯誤ID CSCto86463 — 已刪除的證書重新出現,無法從CUCM中刪除證書。這是一個問題,刪除後刪除的證書將繼續重新出現。遵循缺陷中的解決方法。
通過CLI重新生成證書
注意:重新生成證書會觸發集群內ITL檔案的自動更新,從而觸發集群範圍的軟體電話重置,使電話能夠觸發其本地ITL的更新。這主要是CAPF和CallManager證書的重新生成,但是可以與CUCM內的其他證書儲存區一起進行,例如Tomcat。
重新生成CAPF:重新生成時,CAPF證書會自動將其自身上傳到CAPF-trust和CallManager-trust。此外,CAPF始終具有唯一的Subject Name標頭,因此先前使用的CAPF證書將被保留並用於身份驗證。
set cert regen CAPF
註:如果CAPF證書過期,使用LSC的電話無法註冊到CUCM,因為CUCM拒絕其證書。但是,您仍然可以使用新的CAPF證書為電話生成新的LSC。重新啟動電話時,它會下載配置,然後聯絡CAPF以更新LSC。更新LSC後,電話會儘可能註冊。只要新的CAPF證書在ITL檔案中,並且電話下載並信任簽署該證書的證書(callmanager.pem),該功能即可工作。
重新生成CallManager:重新生成時,CallManager會自動將其自身上傳到CallManager-trust。
set cert regen CallManager
重新生成IPsec:重新生成時,IPsec證書會自動將自身上傳到ipsec-trust。
set cert regen ipsec
再生Tomcat:再生後,Tomcat證書會自動將其自身上傳到tomcat-trust。
set cert regen tomcat
重新生成電視:
set cert regen TVS
預期內容
當您通過CLI重新生成證書時,系統會要求您驗證此更改。輸入yes,然後選擇Enter。
admin:set cert regen CAPF
WARNING: This operation will overwrite any CA signed certificate previously imported
for CAPF
Proceed with regeneration (yes|no)? yes
Successfully Regenerated Certificate for CAPF.
You must restart services related to CAPF for the regenerated certificates to become active.
通過CLI刪除證書
刪除CAPF信任證書
set cert delete CAPF <name of certificate>.pem
刪除CallManager信任證書
set cert delete CallManager <name of certificate>.pem
刪除ipsec-trust證書
set cert delete ipsec <name of certificate>.pem
刪除Tomcat信任證書
set cert delete tomcat <name of certificate>.pem
刪除TVS信任證書
set cert delete TVS <name of certificate>.pem
通過Web GUI重新生成證書
重新生成CAPF:
重新生成時,CAPF證書會自動將自身上傳到CAPF-trust和CallManager-trust。此外,CAPF證書始終具有唯一的Subject Name標頭,因此先前使用的CAPF證書將被保留並用於身份驗證。
OS Admin > Security > Certificate Management > Find > Click CAPF certificate > Regenerate
重新生成CallManager:
重新生成時,CallManager證書會自動將自身上傳到CallManager-trust。
OS Admin > Security > Certificate Management > Find > Click CallManager certificate > Regenerate
重新生成IPsec:
重新生成時,IPsec證書會自動將自身上傳到ipsec-trust。
OS Admin > Security > Certificate Management > Find > Click ipsec certificate > Regenerate
重新生成Tomcat:
重新生成時,Tomcat證書會自動將自身上傳到tomcat-trust。
OS Admin > Security > Certificate Management > Find > Click tomcat certificate > Regenerate
重新生成電視:
OS Admin > Security > Certificate Management > Find > Click TVS certificate > Regenerate
通過Web GUI刪除證書
OS Admin > Security > Certificate Management > Find > Click X certificate within the
'-trust' store > Remove/Delete
重新生成/移除憑證後
從證書儲存中刪除或重新生成證書後,需要重新啟動相應的服務才能進行更改。
| 商店 | 要重新啟動的服務 | 如何 |
| Tomcat | Tomcat | CLI: utils service restart Cisco Tomcat 從CCX環境中執行所需的步驟(如果適用) |
| CallManager | CallManager;TFTP;CTI管理器 | Web Gui:導航至Cisco Unified Serviceability > Tools > Control Center - Feature Services >(選擇伺服器)。在Cisco CallManager下,按一下Restart。 Web Gui:導航至Cisco Unified Serviceability > Tools > Control Center - Feature Services >(選擇伺服器)。在Cisco Tftp下,按一下「Restart」。 Web Gui:導航至Cisco Unified Serviceability > Tools > Control Center - Feature Services >(選擇伺服器)。在Cisco CTIManager下,按一下Restart。 |
| CAPF | CAPF(僅限於Publisher) | Web Gui:導航至Cisco Unified Serviceability > Tools > Control Center - Feature Services >(選擇伺服器)。 在Cisco Certificate Authority Proxy Function下,按一下Restart。 |
| 電視 | 信任驗證服務(在相應的伺服器上) | Web Gui:導航至Cisco Unified Serviceability > Tools > Control Center - Network Services >(選擇伺服器)。在Cisco Trust Verification Service下,按一下Restart。 |
| ipsec | Cisco DRF Local(在所有節點上);Cisco DRF Primary(在發佈伺服器上) | CLI: utils service restart Cisco DRF Local CLI:利用程式服務重新啟動Cisco DRF Primary |
如何識別不再使用的信任證書
刪除信任儲存中的過期證書之前,必須確定哪些證書正在使用,哪些證書沒有使用。請牢記以下要點,以選擇必須刪除的證書:
- 大多數 — trust證書是已用服務證書的副本。建議首先在所有節點中重新生成所有過期的服務證書,CUCM會自動更新 — trust副本。
- 不再使用tomcat-trust VeriSign_Class_3_Secure_Server_CA_-_G3。如果使用Smart Call Home功能,請按照下一個指南上傳新證書:https://www.cisco.com/c/en/us/support/docs/cloud-systems-management/smart-call-home/215210-troubleshooting-certficate-exipry-alert.html
- 製造信任證書在安裝期間預載入到任何CUCM,預設情況下用於CUCM信任任何思科IP電話。建議不要移除以下憑證:
CAP-RTP-001
CAP-RTP-002
思科根CA 2048
思科根CA M2
ACT2_SUDI_CA
Cisco_Manufacturing_CA
Cisco_Manufacturing_CA_SHA2
- 如果域或主機名已更改,則具有舊域或主機名的舊證書將列為「信任」。如果不再使用這些主機名和域,則這些證書將不使用,並且可以刪除。
- 如果證書的公用名來自其他伺服器(非CUCM群集),請驗證來自其他伺服器的證書是否有效。由於CUCM無法重新生成證書,因此必須在另一台伺服器上完成該操作,然後將證書作為 — trust匯入到CUCM。
在電話上安裝/更新LSC
如果已重新生成CAPF證書,則集群中所有電話的LSC證書需要更新為由新的CAPF證書簽名的LSC。
- 導航至CUCM Serviceability > Service Activation。啟用發佈伺服器上的Cisco CTL提供程式和思科證書頒發機構代理功能。
- 在CUCM CCMAdmin下,導航到Device > Phone。選擇要設定LSC的IP電話。
- 在Certificate Operation下的Device configuration頁面中,導航到Install / Upgrade > By Null String。
- 將電話配置儲存到CCMAdmin中,然後選擇Apply Config。
如果電話在安裝LSC時遇到問題,請在電話上完成以下操作:
當電話重置時,在物理電話下導航到設定>(6)安全配置>(4)LSC > **#(此操作將解除鎖定GUI並允許我們繼續執行下一步)> 更新(在執行上一步之前更新不可見)。現在,按一下Submit。
除非電話是無線電話(7921/25),否則不要將任何證書分配給電話。無線電話使用第三方憑證授權單位(CA)來驗證其自身。
其他憑證的續約程式
Cisco Unified Communications Manager(CUCM)的證書重新生成過程:本指南介紹了按型別重新生成證書的過程,這是最常用的也是推薦的流程。
CUCM 12.x及更高版本上的ITLRecovery的證書重新生成過程:本指南介紹了在12.x CUCM群集上重新生成ITLRecovery證書的過程。
CUCM CA簽名證書的再生:本指南介紹CUCM中CA簽名證書的流程以及上傳證書時顯示的最常見錯誤。
使用CA簽名的多伺服器主體替代名稱進行統一通訊群集設定配置示例:本指南提供了Tomcat多san證書再生的示例。
重新生成Unified Communications Manager IM & Presence Service自簽名證書:本指南提供了重新生成過程以及為IM&P節點重新啟動的服務。
UCCX解決方案證書管理指南:該指南提供了UCCX中證書的整合要求以及重新生成這些證書的過程。
Expressway C和E再生過程在以下影片中描述:
如何在Expressway-C和Expressway-E之間配置證書信任
結論
如果您遇到問題或需要此程式的協助,請聯絡思科技術協助中心(TAC)以取得協助。在這種情況下,請將DRF備份作為最後手段使用,以便在TAC無法通過其他方法恢復服務時保持可用。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
10-Nov-2022 |
針對有偏見的語言、標題錯誤、簡介錯誤、機器翻譯、SEO、風格要求和格式設定所做的更新。 |
2.0 |
28-Oct-2021 |
本文還包括其他證書續訂文檔。 |
1.0 |
19-Oct-2015 |
初始版本 |
由思科工程師貢獻
- Jose Pablo Villalobos UrenaCisco TAC Engineer
意見