簡介
本文檔提供了在思科統一通訊管理器(CUCM)集群之間進行批次證書管理的操作步驟,以便進行電話遷移。
作者:思科TAC工程師Adrian Esquillo。
附註:CUCM版本12.5(1)的《管理指南》的管理批次證書一節中還介紹了此過程
必要條件
需求
思科建議您瞭解以下主題:
·安全檔案傳輸通訊協定(SFTP)伺服器
· CUCM證書
採用元件
·本文檔中的資訊基於CUCM 10.X。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
批次證書管理允許在CUCM群集之間共用一組證書。此步驟要求各個群集的系統功能需要在它們之間建立信任,例如跨群集分機移動(EMCC)以及群集之間的電話遷移。
在此過程中,會建立一個包含來自群集中所有節點的證書的公鑰加密標準#12(PKCS12)檔案。每個群集都必須將其證書匯出到同一SFTP伺服器上的同一SFTP目錄中。必須在源群集和目標群集的CUCM發佈伺服器上手動完成批次證書管理配置。源集群和目的集群必須啟動且正常運行,以便要遷移的電話可以同時連線到這兩個集群。源群集電話將遷移到目標群集。
批次證書管理過程
匯出目標群集證書
步驟1.在目標群集的CUCM發佈伺服器上配置SFTP伺服器進行批次證書管理。
在本示例中,目標群集CUCM版本為11.5.1。
·導覽至Cisco Unified OS Administration > Security > Bulk Certificate Management,輸入SFTP伺服器詳細資訊,然後按一下Export,如下圖所示。
步驟2.將所有證書從目標群集中的所有節點匯出到SFTP伺服器。
·在後續的彈出視窗中,為「Certificate Type」選擇All,然後按一下Export,如下圖所示。
·關閉彈出視窗,使用為目標群集中的每個節點建立的PKCS12檔案更新Bulk Certificate Management更新,網頁將使用此資訊刷新,如下圖所示。
匯出源群集證書
步驟1.在源群集的CUCM發佈伺服器上配置SFTP伺服器進行批次證書管理。
在本示例中,源群集CUCM版本為10.5.2。
·導覽至Cisco Unified OS Administration > Security > Bulk Certificate Management,輸入SFTP伺服器詳細資訊,然後按一下Export,如下圖所示。
附註:從目標群集匯出到SFTP伺服器的PKCS12檔案在訪問時顯示在源群集CUCM發佈伺服器的「批次證書管理」網頁上。
步驟2.將所有證書從源群集中的所有節點匯出到SFTP伺服器。
·在後續的彈出視窗中,為「Certificate Type」選擇All,然後按一下Export,如下圖所示。
·關閉彈出視窗並使用為源群集中的每個節點建立的PKCS12檔案更新Bulk Certificate Management更新,網頁將使用此資訊刷新。現在,源群集的「批次證書管理」網頁將顯示匯出到SFTP的源和目標PKCS12檔案,如下圖所示。
合併源和目標PKCS12檔案
附註:批次證書管理匯出在源群集和目標群集上完成,而整合僅通過其中一個群集上的CUCM發佈器完成。
步驟1. 返回源群集的CUCM發佈者的Bulk Certificate Management頁面,然後單擊Consolidate(合併),如下圖所示。
·在後續的彈出視窗中,為Certificate Type選擇All,然後按一下Consolidate,如下圖所示。
·您可以隨時檢查SFTP目錄,以驗證源群集和目標群集所包含的pkcs12檔案。從目標和源群集匯出所有證書後,SFTP目錄的內容已完成,如下圖所示。
將證書匯入到目標和源群集
步驟1.將證書匯入目標群集
·在目標群集的CUCM發佈伺服器上,導航到Cisco Unified OS Administration > Security > Bulk Certificate Management,然後刷新頁面,然後按一下Import,如下圖所示。
·在後續彈出視窗中,為Certificate Type選擇All,然後按一下Import,如下圖所示。
步驟2. 對源群集重複步驟1。
附註:執行批次證書匯入時,證書將按以下方式上傳到遠端群集:
·證書頒發機構代理函式(CAPF)證書以CallManager-trust形式上傳
·以tomcat-trust身份上傳Tomcat證書
·將CallManager證書上傳為Phone-SAST-trust和CallManager-trust
·身份信任清單恢復(ITLRecovery)證書作為Phone-SAST-trust和CallManager-trust上傳
使用目標群集TFTP伺服器資訊配置源群集電話
使用簡單檔案傳輸協定(TFTP)選項150配置源群集電話的DHCP作用域,以指向目標群集CUCM TFTP伺服器。
重置源群集電話以獲取目標群集ITL/CTL檔案以完成遷移過程
作為遷移過程的一部分,源群集電話嘗試建立與源群集的Cisco信任驗證服務(TVS)的安全連線,以驗證目標群集的CallManager或ITLRecovery證書。
附註:來自運行TFTP服務的CUCM伺服器的源群集的CallManager證書(也稱為TFTP證書)或其ITLRecovery證書在源群集CUCM節點的證書信任清單(CTL)和/或身份信任清單(ITL)檔案中簽名。同樣,來自運行TFTP服務的CUCM伺服器的目標群集的CallManager證書或其ITLRecovery證書將簽署目標群集CUCM節點的CTL和/或ITL檔案。CTL和ITL檔案是在運行TFTP服務的CUCM節點上建立的。如果目標集群的CTL和/或ITL檔案未被源集群TVS驗證,則到目標集群的電話遷移將失敗。
附註:在開始源群集電話遷移過程之前,請確認這些電話已安裝有效的CTL和/或ITL檔案。此外,請確保將源群集的企業功能「準備群集以回滾到8.0之前的版本」設定為False。此外,驗證運行TFTP服務的目標群集CUCM節點是否安裝了有效的CTL和/或ITL檔案。
在非安全集群中處理源電話獲取目標集群ITL檔案以完成電話遷移:
步驟1.在重置時提供給源集群電話的目標集群ITL檔案中包含的CallManager和ITLRecovery證書均不能用於驗證當前安裝的ITL檔案。這會導致源群集電話建立到源群集的TVS的連線,以驗證目標群集的ITL檔案。
步驟2.電話在TCP埠2445上建立到源群集TVS的連線。
步驟3.源群集的TVS向電話顯示其證書。電話驗證連線並請求源集群TVS驗證目標集群的CallManager或ITLRecovery證書以允許電話下載目標集群的ITL檔案。
步驟4.在驗證和安裝目標集群ITL檔案之後,源集群電話現在可以驗證和下載目標集群中已簽名的配置檔案。
在安全群集中為源電話獲取目標群集CTL檔案以完成電話遷移的過程:
步驟1.電話啟動並嘗試從目標群集下載CTL檔案。
步驟2. CTL檔案由目標集群的CallManager或ITLRecovery證書簽名,該證書不在電話的當前CTL或ITL檔案中。
步驟3.因此,電話會連線到源群集上的TVS以驗證CallManager或ITLRecovery證書。
附註:此時,電話仍舊有包含源群集TVS服務的IP地址的舊配置。電話配置中指定的TVS伺服器與電話Callmanager組相同。
步驟4.電話建立到源群集上TVS的傳輸層安全(TLS)連線。
步驟5.當源群集TVS向電話顯示其證書時,電話根據其當前ITL檔案中的證書驗證此TVS證書。
步驟6.如果相同,則握手成功完成。
步驟7.源電話請求源群集TVS驗證目標群集CTL檔案中的CallManager或ITLRecovery證書。
步驟8.源TVS服務在其證書儲存中找到目標群集CallManager或ITLRecovery,對其進行驗證,並且源群集電話繼續使用目標群集CTL檔案進行更新。
步驟9.源電話下載目標集群的ITL檔案,該檔案根據它現在包含的目標集群CTL檔案進行驗證。由於源電話的CTL檔案現在包含目標群集的CallManager或ITLRecovery證書,因此源電話現在可以驗證CallManager或ITLRecovery證書,而無需聯絡源群集的TVS。
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
配置演練影片
此連結提供對CUCM集群間批次證書管理的影片的訪問:
CUCM群集之間的批次證書管理