管理用於電話遷移的CUCM群集之間的批次證書

簡介

本文檔介紹如何在思科統一通訊管理器(CUCM)集群之間管理批次認證以進行電話遷移。

必要條件

需求

思科建議您瞭解以下主題：
·安全檔案傳輸通訊協定(SFTP)伺服器
· CUCM證書

採用元件

本文檔中的資訊基於CUCM 10.X。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

附註：CUCM版本12.5(1)的《管理指南》的管理批次證書一節中還介紹了此過程

批次證書管理允許在CUCM群集之間共用一組證書。此步驟要求各個群集的系統功能需要在它們之間建立信任，例如跨群集分機移動(EMCC)以及群集之間的電話遷移。

在此過程中，會建立一個包含來自群集中所有節點的證書的公鑰加密標準#12(PKCS12)檔案。每個群集都必須將其證書匯出到同一SFTP伺服器上的同一SFTP目錄中。必須在源群集和目標群集的CUCM發佈伺服器上手動完成批次證書管理配置。源集群和目的集群必須啟動且運行正常，以便要遷移的電話可以同時連線到這兩個集群。源群集電話將遷移到目標群集。

批次證書管理過程

匯出目標群集證書

步驟1.在目標群集的CUCM發佈伺服器上配置SFTP伺服器以進行批次證書管理。

在本示例中，目標群集CUCM版本為11.5.1。

導航至Cisco Unified OS Administration > Security > Bulk Certificate Management。輸入SFTP 伺服器詳細資訊，然後按一下「Export」。

輸入SFTP Server Details（SFTP伺服器詳細資訊），然後按一下Export（匯出）。

步驟2.將目標群集中的所有節點的所有證書匯出到SFTP伺服器。

在「Bulk Certificate Export」彈出視窗中，為Certificate Type選擇All，然後按一下Export。

為「Certificate Type（證書型別）」選擇「All（全部）」 ，然後按一下「Export（匯出）」

關閉該視窗，使用為目標群集中的每個節點建立的PKCS12檔案進行Bulk Certificate Management更新，網頁將使用此資訊刷新，如下圖所示。

使用PKCS12檔案的批次證書管理更新

匯出源群集證書

步驟1.在源群集的CUCM發佈伺服器上配置SFTP伺服器以進行批次證書管理。

在本示例中，源群集CUCM版本為10.5.2。

導覽至Cisco Unified OS Administration > Security > Bulk Certificate Management，輸入SFTP 伺服器詳細資訊，然後按一下Export。

附註：從目標群集匯出到SFTP伺服器的PKCS12檔案在訪問時顯示在源群集CUCM publisher Bulk Certificate Management網頁上。

輸入SFTP伺服器詳細資訊，然後按一下匯出

步驟2.將所有證書從源群集中的所有節點匯出到SFTP伺服器。

在「Bulk Certificate Export」彈出視窗中，為Certificate Type選擇All，然後按一下Export:

全部匯出證書型別

按一下Close關閉此視窗。Bulk Certificate Management使用為源群集中的每個節點建立的PKCS12檔案更新，網頁將使用此資訊刷新。現在，源群集的批次證書管理的網頁將顯示匯出到SFTP的源和目標PKCS12檔案。

PKCS12檔案匯出到SFTP。

合併源和目標PKCS12檔案

附註：批次證書管理匯出在源群集和目標群集上完成，而整合僅通過其中一個群集上的CUCM發佈器完成。

步驟1.返回源群集的CUCM 發佈器的Bulk Certificate Management頁，然後按一下Consolidate:

按一下合併

在「批次證書合併」彈出視窗中，為證書型別選擇All，然後按一下Consolidate。按一下Close關閉此視窗。

合併所有證書型別

您可以隨時檢查SFTP目錄，以驗證源群集和目標群集所包含的PKCS 12檔案。在從目標群集和源群集匯出所有證書後，SFTP目錄的內容已完成。如下圖所示。

匯出所有證書後SFTP目錄的內容

SFTP目錄的內容

將證書匯入到目標和源群集

步驟1.將證書匯入目標群集。

在目標群集的CUCM發佈伺服器上，導航到Cisco Unified OS Administration > Security > Bulk Certificate Management，然後刷新頁面，然後按一下Import:

在Bulk Certificate Import彈出視窗中，為Certificate Type選擇All，然後按一下Import。按一下Close關閉此視窗。

選擇全部，然後匯入

步驟 2.  對源群集重複步驟1。

附註：執行批次證書匯入時，證書將以下列方式上傳到遠端群集：
— 證書頒發機構代理函式(CAPF)證書以CallManager-trust形式上傳。
- Tomcat證書作為tomcat-trust上傳。
— 將CallManager證書上傳為Phone-SAST-trust和CallManager-trust。
— 身份信任清單恢復(ITLRecovery)證書作為Phone-SAST-trust和CallManager-trust上傳。

使用目標群集TFTP伺服器資訊配置源群集電話

使用簡單檔案傳輸協定(TFTP)選項150配置源群集電話的DHCP作用域，以指向目標群集CUCM TFTP伺服器。

重置源群集電話以獲取目標群集ITL/CTL檔案以完成遷移過程

作為遷移過程的一部分，源群集電話嘗試建立與源群集Cisco信任驗證服務(TVS)的安全連線，以驗證目標群集CallManager或ITLRecovery證書。

附註：來自運行TFTP服務的CUCM伺服器的源群集CallManager證書（也稱為TFTP證書）或其ITLRecovery證書簽署源群集CUCM節點證書信任清單(CTL)和/或身份信任清單(ITL)檔案。同樣，來自運行TFTP服務的CUCM伺服器的目標群集CallManager證書或其ITLRecovery證書會簽署目標群集CUCM節點CTL和/或ITL檔案。CTL和ITL檔案是在運行TFTP服務的CUCM節點上建立的。如果目標集群CTL和/或ITL檔案未被源集群TVS驗證，則到目標集群的電話遷移將失敗。

附註：在開始源群集電話遷移過程之前，請確認這些電話已安裝有效的CTL和/或ITL檔案。此外，請確保將源群集的企業功能Prepare Cluster for Rollback to Pre 8.0設定為False。此外，驗證運行TFTP服務的目標群集CUCM節點是否安裝了有效的CTL和/或ITL檔案。

這是源電話沒有安全集群來獲取目標集群ITL檔案以完成電話遷移的過程：

步驟1.在重置時提供給源集群電話的目標集群ITL檔案中包含的CallManager和ITLRecovery證書均不能用於驗證當前安裝的ITL檔案。這會使源群集電話建立到源群集的TVS的連線，以驗證目標群集ITL檔案。
步驟2.電話在TCP埠2445上建立到源群集TVS的連線。
步驟3.源群集TVS向電話顯示其證書。電話驗證連線並請求源集群TVS驗證目標集群CallManager或ITLRecovery證書，以允許電話下載目標集群ITL檔案。
步驟4.在驗證和安裝目標集群ITL檔案之後，源集群電話現在可以驗證和下載目標集群中已簽名的配置檔案。

這是使用安全群集為源電話獲取目標群集CTL檔案以完成電話遷移的過程：

步驟1.電話啟動並嘗試從目標群集下載CTL檔案。
步驟2. CTL檔案由目標群集CallManager或ITLRecovery證書簽名，該證書不在電話當前的CTL或ITL檔案中。
步驟3.因此，電話會連線到源群集上的TVS以驗證CallManager或ITLRecovery證書。

附註：此時，電話仍舊有包含源群集TVS服務的IP地址的舊配置。電話配置中指定的TVS伺服器與電話CallManager組相同。

步驟4.電話建立到源群集上TVS的傳輸層安全(TLS)連線。
步驟5.當源集群TVS向電話顯示其證書時，電話根據其當前ITL檔案中的證書驗證此TVS證書。
步驟6.如果相同，則握手成功完成。
步驟7.源電話請求源群集TVS驗證目標群集CTL檔案中的CallManager或ITLRecovery證書。
步驟8.源TVS服務在其證書儲存中查詢目標群集CallManager或ITLRecovery，對其進行驗證，並且源群集電話繼續使用目標群集CTL檔案進行更新。
步驟9.源電話下載目標集群ITL檔案，該檔案根據它現在包含的目標集群CTL檔案進行驗證。由於源電話CTL檔案現在包含目標集群CallManager或ITLRecovery證書，因此源電話現在可以驗證CallManager或ITLRecovery證書，而無需聯絡源集群TVS。

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

組態視訊

此連結提供對CUCM集群間批次證書管理的影片的訪問：

CUCM群集之間的批次證書管理

相關資訊

• CUCM 12.5(1)版管理指南的「管理批次證書」部分
• CUCM群集之間的批次證書管理
• 思科技術支援與下載