簡介
本檔案介紹如何在Cisco Unified Communications Manager(CUCM)中重新產生憑證授權單位(CA)簽署的憑證。
必要條件
需求
思科建議您瞭解以下主題:
採用元件
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
預檢資訊
附註:有關自簽名證書再生的資訊,請參閱證書再生指南。有關CA簽名的多SAN證書再生的資訊,請參閱多SAN證書再生指南。
要瞭解每個證書及其再生的影響,請參閱自簽名再生指南。
每個證書簽名請求(CSR)型別具有不同的金鑰用法,簽名證書中需要使用這些金鑰。安全指南包括一個表,其中包含每種證書型別所需的金鑰用法。
要更改主題設定(位置、狀態、組織單元等),請運行以下命令:
set web-security orgunit orgname locality state [country] [alternatehostname]
Tomcat證書將在您運行 set web-security
指令。除非重新啟動Tomcat服務,否則不會應用新的自簽名證書。如需此命令的詳細資訊,請參閱以下指南:
配置和重新生成證書
針對每種型別的證書,列出了在由CA簽名的CUCM群集中重新生成單節點證書的步驟。如果群集中的所有證書尚未過期,則無需重新生成這些證書。
Tomcat證書
注意:驗證群集中的SSO是否已禁用(CM Administration > System > SAML Single Sign-On
)。 如果啟用SSO,則必須禁用SSO,然後在Tomcat證書重新生成過程完成後啟用SSO。
在群集的所有節點(CallManager和IM&P)上:
步驟1.導航至 Cisco Unified OS Administration > Security > Certificate Management > Find
並驗證Tomcat證書的到期日期。
步驟2.按一下 Generate CSR > Certificate Purpose: tomcat
.為證書選擇所需的設定,然後按一下 Generate
.等待出現成功消息並按一下 Close
.
步驟3.下載CSR。按一下 Download CSR
,選擇 Certificate Purpose: tomcat
,
然後按一下 Download
.
步驟4.將CSR傳送到憑證授權單位。
步驟5.證書頒發機構為已簽名的證書鏈返回兩個或多個檔案。按以下順序上傳憑證:
- 作為tomcat-trust的根CA證書。導航至
Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust.
設定證書描述並瀏覽根證書檔案。
- 作為tomcat-trust的中間證書(可選)。 導航至
Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust
.設定證書的描述並瀏覽中間證書檔案。
附註:某些CA不提供中間憑證,如果只提供根憑證,則可以省略此步驟。
- CA簽名的證書作為tomcat。 導航至
Certificate Management > Upload certificate > Certificate Purpose: tomcat
。設定證書描述並瀏覽當前CUCM節點的CA簽名證書檔案。
附註:此時,CUCM會比較CSR和上傳的CA簽名證書。如果資訊相符,CSR就會消失,且系統會上傳新的CA簽名的憑證。如果您在上傳憑證後收到錯誤訊息,請參閱 Upload Certificate Common Error Messages
部分。
步驟6.若要將新證書應用到伺服器,需要通過CLI重新啟動Cisco Tomcat服務(先從Publisher啟動,再從訂閱伺服器啟動,一次一個啟動),請使用命令 utils service restart Cisco Tomcat
.
驗證CUCM現在已使用Tomcat證書。導航到節點的網頁並選擇 Site Information
(鎖定圖示)在瀏覽器中,按一下 certificate
選項,並驗證新證書的日期。
CallManager證書
注意:請勿同時重新生成CallManager和TVS證書。這會導致終端上已安裝的ITL出現不可恢復的不匹配,這要求從集群中的所有終端上刪除ITL。完成CallManager的整個過程,並在電話註冊回後,啟動TVS的流程。
注意:要確定集群是否處於混合模式,請導航至Cisco Unified CM管理>系統>企業引數>集群安全模式(0 == Non-Secure;1 == Mixed Mode)。
對於群集的所有CallManager節點:
步驟1.導航至 Cisco Unified OS Administration > Security > Certificate Management > Find
並驗證CallManager證書的到期日期。
步驟2.按一下 Generate CSR > Certificate Purpose: CallManager
.為證書選擇所需的設定,然後按一下 Generate
.等待出現成功消息並按一下 Close
.
步驟3.下載CSR。按一下 Download CSR. Select Certificate Purpose: CallManager and click Download
.
步驟4.將CSR傳送到 Certificate Authority
.
步驟5.證書頒發機構為已簽名的證書鏈返回兩個或多個檔案。按以下順序上傳憑證:
- 作為CallManager-trust的根CA證書。導航至
Certificate Management > Upload certificate > Certificate Purpose: CallManager-trust
.設定證書描述並瀏覽根證書檔案。
- 作為CallManager-trust的中間證書(可選)。 導航至
Certificate Management > Upload certificate > Certificate Purpose: CallManager-trust
.設定證書的描述並瀏覽中間證書檔案。
附註:某些CA不提供中間憑證,如果只提供根憑證,則可以省略此步驟。
- CA簽名的證書作為CallManager。導航至
Certificate Management > Upload certificate > Certificate Purpose: CallManager
.設定證書描述並瀏覽當前CUCM節點的CA簽名證書檔案。
附註:此時,CUCM會比較CSR和上傳的CA簽名證書。如果資訊相符,CSR就會消失,且系統會上傳新的CA簽名的憑證。如果您在上傳憑證後收到錯誤訊息,請參閱上傳憑證常見錯誤訊息一節。
步驟6.如果群集處於混合模式,請在服務重新啟動之前更新CTL:Token或Tokenless。如果群集處於非安全模式,請跳過此步驟並繼續服務重新啟動。
步驟7.要將新證書應用到伺服器,必須重新啟動所需的服務(僅當服務運行且處於活動狀態時)。 導覽至:
Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service
Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTIManager
步驟8.重置所有電話:
- 導航至
Cisco Unified CM Administration > System > Enterprise Parameters > Reset
.系統將顯示一個彈出視窗,其中顯示「You are about to reset all devices in the system(您即將重置系統中的所有裝置)」語句。此操作無法撤消。是否繼續?選擇 OK
然後按一下 Reset
.
附註:通過RTMT監控裝置註冊。所有電話重新註冊後,您可以繼續使用下一個證書型別。
IPSec憑證
注意:重新生成IPSec證書時,備份或還原任務不得處於活動狀態。
對於群集的所有節點(CallManager和IM&P):
步驟1.導航至 Cisco Unified OS Administration > Security > Certificate Management > Find
並驗證ipsec證書的到期日期。
步驟2.按一下「產生CSR」>「憑證用途」:ipsec。選擇證書的所需設定,然後按一下生成。等待出現成功消息,然後按一下Close。
步驟3.下載CSR。按一下「Download CSR」。選擇Certificate Purpose ipsec並按一下Download。
步驟4.將CSR傳送到憑證授權單位。
步驟5.證書頒發機構為已簽名的證書鏈返回兩個或多個檔案。按以下順序上傳憑證:
- 作為ipsec-trust的根CA證書。導覽至Certificate Management > Upload certificate > Certificate Purpose:ipsec-trust。設定證書描述並瀏覽根證書檔案。
- 作為ipsec-trust的中間證書(可選)。 導覽至Certificate Management > Upload certificate > Certificate Purpose:tomcat-trust。設定證書的描述並瀏覽中間證書檔案。
附註:某些CA不提供中間憑證,如果只提供根憑證,則可以省略此步驟。
- CA簽名的證書作為ipsec。導覽至Certificate Management > Upload certificate > Certificate Purpose:ipsec。設定證書描述並瀏覽當前CUCM節點的CA簽名證書檔案。
附註:此時,CUCM會比較CSR和上傳的CA簽名證書。如果資訊相符,則CSR會消失,且已上傳新的CA簽署的憑證。如果您在上傳憑證後收到錯誤訊息,請參閱上傳憑證常見錯誤訊息</strong>一節。
步驟6.要將新證書應用到伺服器,必須重新啟動所需的服務(僅當服務運行且處於活動狀態時)。 導覽至:
- Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco DRF
Master
(發佈者)
- Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco DRF Local(發佈者和訂戶)
CAPF證書
注意:要確定集群是否處於混合模式,請轉至Cisco Unified CM管理>系統>企業引數>集群安全模式(0 == Non-Secure;1 == Mixed Mode)。
注意:CAPF服務僅在發佈伺服器上運行,這是唯一使用的證書。不需要獲取CA簽名的訂閱伺服器節點,因為它們未被使用。如果證書在訂閱器中已過期,並且希望避免出現過期證書的警報,則可以重新生成訂閱器CAPF證書作為自簽名。有關詳細資訊,請參閱CAPF Certificate as Self-Signed。
在發佈伺服器中:
步驟1.導航到Cisco Unified OS Administration > Security > Certificate Management > Find,然後驗證CAPF證書的到期日期。
步驟2.按一下「產生CSR」>「憑證用途」:CAPF。為證書選擇所需的設定,然後按一下Generate。等待出現成功消息,然後按一下Close。
步驟3.下載CSR。按一下「Download CSR」。選擇Certificate Purpose CAPF,然後按一下Download。
步驟4.將CSR傳送到憑證授權單位。
步驟5.證書頒發機構為已簽名的證書鏈返回兩個或多個檔案。按以下順序上傳憑證:
- 作為CAPF-trust的根CA證書。導覽至Certificate Management > Upload certificate > Certificate Purpose:CAPF-trust。設定證書描述並瀏覽根證書檔案。
- 作為CAPF-trust的中間證書(可選)。 導覽至Certificate Management > Upload certificate > Certificate Purpose:CAPF-trust。設定證書的描述並瀏覽中間證書檔案。
附註:某些CA不提供中間憑證,如果只提供根憑證,則可以省略此步驟。
- CA簽名的證書作為CAPF。導覽至Certificate Management > Upload certificate > Certificate Purpose:CAPF。設定證書描述並瀏覽當前CUCM節點的CA簽名證書檔案。
附註:此時,CUCM會比較CSR和上傳的CA簽名證書。如果資訊相符,則CSR會消失,且已上傳新的CA簽署的憑證。如果您在上傳憑證後收到錯誤訊息,請參閱上傳憑證常見錯誤訊息一節。
步驟6.如果群集處於混合模式,請在服務重新啟動之前更新CTL:Token或Tokenless。如果群集處於非安全模式,請跳過此步驟並繼續服務重新啟動。
步驟7.要將新證書應用到伺服器,必須重新啟動所需的服務(僅當服務運行且處於活動狀態時)。 導覽至:
- Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service(運行服務的所有節點)
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP(運行服務的所有節點)
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco Certificate Authority Proxy Function(Publisher)
步驟8.重置所有電話:
- 導航至Cisco Unified CM管理>系統>企業引數>重置。系統將顯示一個彈出視窗,其中顯示「You are about to reset all devices in the system(您即將重置系統中的所有裝置)」語句。此操作無法撤消。是否繼續?選擇OK,然後按一下Reset。
附註:通過RTMT監控裝置註冊。所有電話重新註冊後,您可以繼續使用下一個證書型別。
TVS證書
注意:請勿同時重新生成CallManager和TVS證書。這會導致終端上已安裝的ITL出現不可恢復的不匹配,這要求從集群中的所有終端上刪除ITL。完成CallManager的整個過程,並在電話註冊回後,啟動TVS的流程。
對於群集的所有TVS節點:
步驟1.導航到Cisco Unified OS Administration > Security > Certificate Management > Find,然後驗證TVS證書的到期日期。
步驟2.按一下「產生CSR」>「憑證用途」:電視。為證書選擇所需的設定,然後按一下Generate。等待出現成功消息,然後按一下Close。
步驟3.下載CSR。按一下「Download CSR」。選擇Certificate Purpose TVS,然後按一下Download。
步驟4.將CSR傳送到憑證授權單位。
步驟5.證書頒發機構為已簽名的證書鏈返回兩個或多個檔案。按以下順序上傳憑證:
- 作為TVS-trust的根CA證書。導覽至Certificate Management > Upload certificate > Certificate Purpose:TVS信任。設定證書描述並瀏覽根證書檔案。
- 作為TVS-trust的中間證書(可選)。 導覽至Certificate Management > Upload certificate > Certificate Purpose:TVS信任。設定證書的描述並瀏覽中間證書檔案。
附註:某些CA不提供中間憑證,如果只提供根憑證,則可以省略此步驟。
- CA簽名的證書作為TVS。導覽至Certificate Management > Upload certificate > Certificate Purpose:電視。設定證書描述並瀏覽當前CUCM節點的CA簽名證書檔案。
附註:此時,CUCM會比較CSR和上傳的CA簽名證書。如果資訊相符,CSR就會消失,且系統會上傳新的CA簽名的憑證。如果您在上傳憑證後收到錯誤訊息,請參閱上傳憑證常見錯誤訊息一節。
步驟6.要將新證書應用到伺服器,必須重新啟動所需的服務(僅當服務運行且處於活動狀態時)。 導覽至:
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP(運行服務的所有節點)
- Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service(運行服務的所有節點)
步驟7.重置所有電話:
- 導航至Cisco Unified CM管理>系統>企業引數>重置。系統將顯示一個彈出視窗,其中顯示「You are about to reset all devices in the system(您即將重置系統中的所有裝置)」語句。此操作無法撤消。是否繼續?選擇OK,然後按一下Reset。
附註:通過RTMT監控裝置註冊。所有電話重新註冊後,您可以繼續使用下一個證書型別。
常見上傳證書錯誤消息疑難解答
本節列出了上傳CA簽名證書時的一些最常見錯誤消息。
CA證書在信任儲存中不可用
此錯誤表示根憑證或中間憑證未上傳到CUCM。在上傳服務證書之前,驗證這兩個證書是否已作為信任儲存上傳。
檔案/usr/local/platform/.security/tomcat/keys/tomcat.csr不存在
當證書(tomcat、callmanager、ipsec、capf、tvs)的CSR不存在時,將出現此錯誤。 確認之前已建立CSR,且憑證已根據該CSR建立。要牢記的要點:
- 每個伺服器和證書型別只能存在1個CSR。這表示如果建立了新的CSR,則會替換舊的CSR。
- CUCM不支援萬用字元證書。
- 如果沒有新的CSR,則無法替換當前存在的服務證書。
- 同一問題的另一個可能的錯誤是「無法上載檔案/usr/local/platform/upload/certs//tomcat.der。」 這取決於CUCM版本。
CSR公鑰和證書公鑰不匹配
當CA提供的憑證與CSR檔案中傳送的憑證具有不同的公鑰時,系統會顯示此錯誤。可能的原因包括:
- 上傳了不正確的證書(可能來自另一個節點)。
- CA證書是使用不同的CSR生成的。
- 已重新產生CSR,並取代用於取得簽署憑證的舊CSR。
若要確認CSR和憑證公鑰是否相符,有多個工具線上,例如SSL。
同一問題的另一個可能的錯誤是「無法上載檔案/usr/local/platform/upload/certs//tomcat.der。」 這取決於CUCM版本。
CSR使用者替代名稱(SAN)和憑證SAN不匹配
CSR和憑證之間的SAN必須相同。這將阻止對不允許的域進行認證。要驗證SAN不匹配,請執行以下步驟:
1.解碼CSR和證書(基礎64)。 線上提供不同的解碼器,例如Decoder。
2.比較SAN條目並驗證它們是否全部匹配。順序並不重要,但是CSR中的所有專案在憑證中必須相同。
例如,CA簽名的證書新增了兩個額外的SAN條目:證書的公用名和一個額外的IP地址。
3.一旦您確定SAN不匹配,有兩種方法可以解決此問題:
- 請您的CA管理員頒發一個證書,該證書與CSR中傳送的SAN條目完全相同。
- 在CUCM中建立符合CA要求的CSR。
修改由CUCM建立的CSR:
- 如果CA刪除域,則無需域即可在CUCM中建立CSR。建立CSR時,刪除預設填充的域。
- 如果建立多SAN憑證,則有些CA不會接受公用名稱中的「 — ms」。建立CSR時,可以將「 — ms」從CSR中移除。
3.新增除CUCM自動完成的名稱以外的替代名稱:
- 如果使用多SAN證書,則可以新增更多FQDN。(不接受IP地址。)
b.如果證書為單節點,請使用 set web-security
指令。此命令甚至適用於多SAN證書。(可以新增任何型別的域,也允許IP地址。)
有關詳細資訊,請參閱命令列參考指南。
不會更換具有相同CN的信任證書
CUCM設計為僅儲存一個具有相同公用名稱和相同證書型別的證書。這意味著,如果資料庫中已經存在tomcat-trust證書,並且需要用具有相同CN的最近證書替換該證書,則CUCM將刪除舊證書,並用新證書替換。
在某些情況下,CUCM不替換舊證書:
- 上傳的證書已過期:CUCM不允許上傳過期的證書。
- 舊證書的「FROM」日期比新證書的日期更近。CUCM保留最新的證書,並且使用較舊的「FROM」日期將其目錄為較舊的。在此案例中,必須刪除不需要的憑證,然後上傳新憑證。