為CUCM 14中的CallManager配置Tomcat證書重複使用
簡介
本文檔介紹如何在Cisco Unified Communications Manager(CUCM)伺服器上為CallManager重複使用Multi-SAN Tomcat證書。
必要條件
需求
思科建議您瞭解以下主題:
- CUCM證書
- 即時監控工具(RTMT)
- 身份信任清單(ITL)
採用元件
本文檔中的資訊基於CUCM 14.0.1.13900-155。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
CUCM的兩個主要服務是Tomcat和CallManager。在早期版本中,每個服務都需要不同的證書才能完成整個群集。在CUCM版本14中,新增了一項新功能,以便對CallManager服務重新使用Multi-SAN Tomcat證書。使用此功能的優勢包括:
- 降低獲得由公共證書頒發機構(CA)簽名的證書集群的兩個證書的成本。
- 此功能可減小ITL檔案的大小,從而降低開銷。
設定
注意:上傳Tomcat證書之前,請驗證單一登入(SSO)是否已禁用。如果已啟用SSO,則在Tomcat證書再生過程完成之後,必須禁用並重新啟用SSO。
1.將Tomcat證書設定為Multi-SAN 
在CUCM 14中,Tomcat Multi-SAN證書可以是自簽名或CA簽名。如果您的Tomcat證書已經是多SAN,請跳過此部分。
自簽名
步驟1.登入到Publisher > Operating System (OS) Administration,然後導航到Security > Certificate Management > Generate Self-Signed。
步驟2.選擇Certificate Purpose: tomcat > Distribution: Multi-Server SAN。它將自動填充SAN域和父域。
生成自簽名的多SAN Tomcat證書螢幕
步驟3.按一下Generate,並驗證消息下是否列出了所有節Certificate upload operation successful點。按一下Close。
生成自簽名多SAN Tomcat成功消息
步驟4.重新啟動Tomcat服務,開啟與群集所有節點的CLI會話,然後運行utils service restart Cisco Tomcat命令。
步驟5.導航至Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services,然後重新啟動Cisco DRF Master Service和Cisco DRF Local Service。
步驟6.定位至每個並重新啟Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services動Cisco DRF Local Service。
CA簽名
步驟1.登入到Publisher > Operating System (OS) Administration,然後導航到Security > Certificate Management > Generate CSR。
步驟2.選擇Certificate Purpose: tomcat > Distribution: Multi-Server SAN。它將自動填充SAN域和父域。
Generate Multi-SAN CSR for Tomcat Certificate螢幕
步驟3.按一下Generate,並驗證消息下列出的所有節CSR export operation successful點。按一下Close。
生成多SAN CSR Tomcat成功消息
步驟4.按一下Download CSR > Certificate Purpose: tomcat > Download。
下載Tomcat CSR螢幕
步驟5.將CSR傳送到您的CA進行簽名。
步驟6。若要上傳CA信任鏈,請導覽Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust。設定憑證的說明,並瀏覽信任鏈檔案。
步驟7.上傳CA簽名的證書,導航至Certificate Management > Upload certificate > Certificate Purpose: tomcat。設定證書描述並瀏覽CA簽名的證書檔案。
步驟8.重新啟動Tomcat服務,開啟與群集所有節點的CLI會話,然後運行該命令utils service restart Cisco Tomcat。
步驟9.導航至Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services,然後重新啟動Cisco DRF Master Service和Cisco DRF Local Service。
步驟10.導航到每個並重新啟Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services動Cisco DRF Local Service。
2.重用CallManager的Tomcat證書 
注意:針對CUCM 14,介紹了一種新的企業參Phone Interaction on Certificate Update數。使用此欄位可在更新其中一個TVS、CAPF或TFTP(CallManager/ITLRecovery)證書時手動或自動重置電話(如果適用)。此引數預設設定為reset the phones automatically
需要重新啟動服務才能進行正常的CallManager證書重新生成。選中Regenerate Certificates In Unified Communications Manager。
步驟1.導航到您的CUCM發佈者,然後導航到Cisco Unified OS Administration > Security > Certificate Management。
步驟2.按一下Reuse Certificate。
步驟3.從choose Tomcat type下拉式清單中選擇tomcat。
步驟4.在窗Replace Certificate for the following purpose格中,勾選CallManager覈取方塊。
「為其他服務重複使用Tomcat證書」螢幕
附註:如果選擇Tomcat作為證書型別,則會啟用CallManager作為替代項。如果選擇tomcat-ECDSA作為證書型別,則會啟用CallManager-ECDSA作為替代項。
步驟5.按一下Finish,將CallManager證書替換為Tomcat Multi-SAN證書。
重新使用Tomcat證書成功消息
步驟6.重新啟動Cisco HAProxy服務,開啟到群集所有節點的CLI會話,然後運行該命令utils service restart Cisco HAProxy。
附註:要確定群集是否處於混合模式,請導航至Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode(0 == Non-Secure;1 ==混合模式)。
步驟7.如果群集處於混合模式,請開啟與發佈伺服器節點的CLI會話,然後運行命令,並重置群集的所有電話,使CTL檔案更新生效utils ctl update CTLFile。
驗證
步驟1.導航到您的CUCM發佈者,然後導航到Cisco Unified OS Administration > Security > Certificate Management。
步驟2.按篩選條件Find Certificate List where: Usage > begins with: identity,然後按一下Find。
步驟3. CallManager和Tomcat證書必須以相同的值結Common Name_Serial Number尾。
驗證CallManager的Tomcat證書重複使用
附註:從SU4開始,在啟用證書重用後,GUI上不顯示Call Manager證書,而兩個證書在SU2和SU3中均可見。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
11-Oct-2023
|
初始版本 |
意見