簡介
本文檔介紹如何在思科統一通訊管理器(CUCM)集群之間管理批次認證以進行電話遷移。
必要條件
需求
思科建議您瞭解以下主題:
·安全檔案傳輸通訊協定(SFTP)伺服器
· CUCM證書
採用元件
本文檔中的資訊基於CUCM 10.X。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
附註:CUCM版本12.5(1)的《管理指南》的管理批次證書一節中還介紹了此過程
批次證書管理允許在CUCM群集之間共用一組證書。此步驟要求各個群集的系統功能需要在它們之間建立信任,例如跨群集分機移動(EMCC)以及群集之間的電話遷移。
在此過程中,會建立一個包含來自群集中所有節點的證書的公鑰加密標準#12(PKCS12)檔案。每個群集都必須將其證書匯出到同一SFTP伺服器上的同一SFTP目錄中。必須在源群集和目標群集的CUCM發佈伺服器上手動完成批次證書管理配置。源集群和目的集群必須啟動且運行正常,以便要遷移的電話可以同時連線到這兩個集群。源群集電話將遷移到目標群集。
批次證書管理過程
匯出目標群集證書
步驟1.在目標群集的CUCM發佈伺服器上配置SFTP伺服器以進行批次證書管理。
在本示例中,目標群集CUCM版本為11.5.1。
導航至Cisco Unified OS Administration > Security > Bulk Certificate Management。輸入SFTP 伺服器詳細資訊,然後按一下「Export」。
輸入SFTP Server Details(SFTP伺服器詳細資訊),然後按一下Export(匯出)。
步驟2.將目標群集中的所有節點的所有證書匯出到SFTP伺服器。
在「Bulk Certificate Export」彈出視窗中,為Certificate Type選擇All,然後按一下Export。
為「Certificate Type(證書型別)」選擇「All(全部)」 ,然後按一下「Export(匯出)」
關閉該視窗,使用為目標群集中的每個節點建立的PKCS12檔案進行Bulk Certificate Management更新,網頁將使用此資訊刷新,如下圖所示。
使用PKCS12檔案的批次證書管理更新
匯出源群集證書
步驟1.在源群集的CUCM發佈伺服器上配置SFTP伺服器以進行批次證書管理。
在本示例中,源群集CUCM版本為10.5.2。
導覽至Cisco Unified OS Administration > Security > Bulk Certificate Management,輸入SFTP 伺服器詳細資訊,然後按一下Export。
附註:從目標群集匯出到SFTP伺服器的PKCS12檔案在訪問時顯示在源群集CUCM publisher Bulk Certificate Management網頁上。
輸入SFTP伺服器詳細資訊,然後按一下匯出
步驟2.將所有證書從源群集中的所有節點匯出到SFTP伺服器。
在「Bulk Certificate Export」彈出視窗中,為Certificate Type選擇All,然後按一下Export:
全部匯出證書型別
按一下Close關閉此視窗。Bulk Certificate Management使用為源群集中的每個節點建立的PKCS12檔案更新,網頁將使用此資訊刷新。現在,源群集的批次證書管理的網頁將顯示匯出到SFTP的源和目標PKCS12檔案。
PKCS12檔案匯出到SFTP。
合併源和目標PKCS12檔案
附註:批次證書管理匯出在源群集和目標群集上完成,而整合僅通過其中一個群集上的CUCM發佈器完成。
步驟1.返回源群集的CUCM 發佈器的Bulk Certificate Management頁,然後按一下Consolidate:
按一下合併
在「批次證書合併」彈出視窗中,為證書型別選擇All,然後按一下Consolidate。按一下Close關閉此視窗。
合併所有證書型別
您可以隨時檢查SFTP目錄,以驗證源群集和目標群集所包含的PKCS 12檔案。在從目標群集和源群集匯出所有證書後,SFTP目錄的內容已完成。如下圖所示。
匯出所有證書後SFTP目錄的內容
SFTP目錄的內容
將證書匯入到目標和源群集
步驟1.將證書匯入目標群集。
在目標群集的CUCM發佈伺服器上,導航到Cisco Unified OS Administration > Security > Bulk Certificate Management,然後刷新頁面,然後按一下Import:

在Bulk Certificate Import彈出視窗中,為Certificate Type選擇All,然後按一下Import。按一下Close關閉此視窗。
選擇全部,然後匯入
步驟 2. 對源群集重複步驟1。
附註:執行批次證書匯入時,證書將以下列方式上傳到遠端群集:
— 證書頒發機構代理函式(CAPF)證書以CallManager-trust形式上傳。
- Tomcat證書作為tomcat-trust上傳。
— 將CallManager證書上傳為Phone-SAST-trust和CallManager-trust。
— 身份信任清單恢復(ITLRecovery)證書作為Phone-SAST-trust和CallManager-trust上傳。
使用目標群集TFTP伺服器資訊配置源群集電話
使用簡單檔案傳輸協定(TFTP)選項150配置源群集電話的DHCP作用域,以指向目標群集CUCM TFTP伺服器。
重置源群集電話以獲取目標群集ITL/CTL檔案以完成遷移過程
作為遷移過程的一部分,源群集電話嘗試建立與源群集Cisco信任驗證服務(TVS)的安全連線,以驗證目標群集CallManager或ITLRecovery證書。
附註:來自運行TFTP服務的CUCM伺服器的源群集CallManager證書(也稱為TFTP證書)或其ITLRecovery證書簽署源群集CUCM節點證書信任清單(CTL)和/或身份信任清單(ITL)檔案。同樣,來自運行TFTP服務的CUCM伺服器的目標群集CallManager證書或其ITLRecovery證書會簽署目標群集CUCM節點CTL和/或ITL檔案。CTL和ITL檔案是在運行TFTP服務的CUCM節點上建立的。如果目標集群CTL和/或ITL檔案未被源集群TVS驗證,則到目標集群的電話遷移將失敗。
附註:在開始源群集電話遷移過程之前,請確認這些電話已安裝有效的CTL和/或ITL檔案。此外,請確保將源群集的企業功能Prepare Cluster for Rollback to Pre 8.0設定為False。此外,驗證運行TFTP服務的目標群集CUCM節點是否安裝了有效的CTL和/或ITL檔案。
這是源電話沒有安全集群來獲取目標集群ITL檔案以完成電話遷移的過程:
步驟1.在重置時提供給源集群電話的目標集群ITL檔案中包含的CallManager和ITLRecovery證書均不能用於驗證當前安裝的ITL檔案。這會使源群集電話建立到源群集的TVS的連線,以驗證目標群集ITL檔案。
步驟2.電話在TCP埠2445上建立到源群集TVS的連線。
步驟3.源群集TVS向電話顯示其證書。電話驗證連線並請求源集群TVS驗證目標集群CallManager或ITLRecovery證書,以允許電話下載目標集群ITL檔案。
步驟4.在驗證和安裝目標集群ITL檔案之後,源集群電話現在可以驗證和下載目標集群中已簽名的配置檔案。
這是使用安全群集為源電話獲取目標群集CTL檔案以完成電話遷移的過程:
步驟1.電話啟動並嘗試從目標群集下載CTL檔案。
步驟2. CTL檔案由目標群集CallManager或ITLRecovery證書簽名,該證書不在電話當前的CTL或ITL檔案中。
步驟3.因此,電話會連線到源群集上的TVS以驗證CallManager或ITLRecovery證書。
附註:此時,電話仍舊有包含源群集TVS服務的IP地址的舊配置。電話配置中指定的TVS伺服器與電話CallManager組相同。
步驟4.電話建立到源群集上TVS的傳輸層安全(TLS)連線。
步驟5.當源集群TVS向電話顯示其證書時,電話根據其當前ITL檔案中的證書驗證此TVS證書。
步驟6.如果相同,則握手成功完成。
步驟7.源電話請求源群集TVS驗證目標群集CTL檔案中的CallManager或ITLRecovery證書。
步驟8.源TVS服務在其證書儲存中查詢目標群集CallManager或ITLRecovery,對其進行驗證,並且源群集電話繼續使用目標群集CTL檔案進行更新。
步驟9.源電話下載目標集群ITL檔案,該檔案根據它現在包含的目標集群CTL檔案進行驗證。由於源電話CTL檔案現在包含目標集群CallManager或ITLRecovery證書,因此源電話現在可以驗證CallManager或ITLRecovery證書,而無需聯絡源集群TVS。
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
組態視訊
此連結提供對CUCM集群間批次證書管理的影片的訪問:
CUCM群集之間的批次證書管理
相關資訊