簡介
本文檔介紹如何在CUCM IM/P 8.x及更高版本中重新生成證書的建議分步過程。
必要條件
需求
思科建議您瞭解IM & Presence(IM/P)服務憑證。
採用元件
本檔案中的資訊是根據IM/P 8.x及更新版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
證書儲存利用率
Cisco Unified Presence(CUP)證書
用於SIP聯合的安全SIP連線、適用於Lync/OCS/LCS的Microsoft遠端呼叫控制、Cisco Unified Certificate Manager(CUCM)和IM/P之間的安全連線等。
可擴充訊息和狀態通訊協定(CUP-XMPP)憑證
Cisco Unified Presence(CUP)用於在建立XMPP會話時驗證XMPP客戶端的安全連線。
可擴充訊息傳送和狀態通訊協定伺服器到伺服器(CUP-XMPP-S2S)憑證
Cisco Unified Presence用於驗證與外部聯合XMPP系統的XMPP域間聯盟的安全連線。
IP安全(IPSec)憑證
用於:
·驗證災難恢復系統(DRS)/災難恢復框架(DRF)的安全連線。
·驗證到集群中Cisco Unified Communications Manager(CUCM)和IM/P節點的IPsec隧道的安全連線。
Tomcat證書
用於:
·驗證各種Web訪問,例如從群集中的其他節點訪問服務頁面和Jabber訪問。
·驗證SAML單點登入(SSO)的安全連線。
·驗證群集間對等體的安全連線。
注意:如果在統一通訊伺服器上使用SSO功能,並且重新生成Cisco Tomcat證書,則必須使用新證書重新配置SSO。在CUCM和ADFS 2.0上配置SSO的連結為:https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html。
附註:CUCM證書再生/續訂流程的連結為:https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-tech-notes-list.html。
憑證再生程式
CUP證書
步驟1.為群集中的每個伺服器開啟圖形使用者介面(GUI)。從IM/P發佈伺服器開始,然後依次開啟每個IM/P使用者伺服器的GUI並導航至 Cisco Unified OS Administration > Security > Certificate Management
.
步驟2.從發佈者GUI開始,然後選擇Find
以顯示所有證書。選擇憑證cup.pem
。開啟後,選擇Regenerate
,然後等到您看到成功後,彈出視窗關閉。
步驟3.繼續後續訂閱伺服器,參閱步驟2中的相同步驟。並完成群集中的所有訂閱伺服器。
步驟 4. 在所有節點上重新生成CUP證書後,必須重新啟動服務。
附註:如果線上狀態冗餘組配置已選中Enable High Availability(啟用高可用性),在重新啟動服務之前將其刪除ncheck
。可以訪問線上狀態冗餘組配置CUCM Pub Administration > System > Presence Redundancy Group
。重啟服務會導致IM/P暫時中斷,必須在生產時間之外完成。
按以下順序重新啟動服務:
1.登入發佈伺服器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b. Restart
Cisco SIP代理服務。
c.服務重新啟動完成後,繼續使用使用者和Restart
Cisco SIP代理服務。
d.從發佈者開始,然後繼續訂閱者。Restart
Cisco SIP代理服務(也從Cisco Unified Serviceability > Tools > Control Center - Feature Services
)。
2.登入發佈伺服器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b. Restart
Cisco Presence Engine服務。
c.服務重新啟動完成後,在用Restart
戶上繼續使用Cisco Presence EngineService。
附註:如果為SIP聯合配置,Restart
Cisco XCP SIP聯合連線管理器服務(位於Cisco Unified Serviceability > Tools > Control Center - Feature Services
)。 從發佈伺服器開始,然後繼續訂閱伺服器。
CUP-XMPP憑證
附註:由於Jabber利用CUCM和IM/P Tomcat以及CUP-XMPP伺服器證書來驗證Tomcat和CUP-XMPP服務的連線,因此這些CUCM和IM/P證書在大多數情況下都是CA簽名的。假定Jabber裝置沒有在其證書信任儲存中安裝CUP-XMPP證書的根證書和中間證書,在此情況下,Jabber客戶端顯示不可信證書的安全警告彈出視窗。如果尚未安裝在Jabber裝置信任儲存的證書中,則根證書和任何中間證書必須通過組策略、MDM、電子郵件等推送到Jabber裝置,這取決於Jabber客戶端。
附註:如果CUP-XMMP證書是自簽名的,如果CUP-XMMP證書未安裝在Jabber裝置證書的信任儲存中,則Jabber客戶端將顯示不可信證書的安全警告彈出視窗。如果尚未安裝,則必須通過組策略、MDM、電子郵件等將自簽名的CUP-XMPP證書推送到Jabber裝置,這取決於Jabber客戶端。
步驟1.為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始,然後依次開啟每個IM/P使用者伺服器的GUI並導航到Cisco Unified OS Administration > Security > Certificate Management
。
步驟2.從發佈者GUI開始,然後選擇Find
以顯示所有證書。從證書的type列cup-xmpp.pem
中,確定證書是自簽名還是CA簽名。如果cup-xmpp.pem證書是第三方簽名的(型別CA簽名的)分發多SAN,請在生成多SAN CUP-XMPP CSR並提交給CA以獲取CA簽名的CUP-XMPP證書時檢視此連結;使用CA簽名的多伺服器主體備用名稱配置示例的統一通訊群集設置。
cup-xmpp.pem
如果證書是第三方簽名的(鍵入CA簽名)分發單節點(分發名稱等於證書的公用名稱),請在生成單節點CUP-XMPP
CSR並提交給CA以獲取CA簽名的CUP-XMPP證書時檢視此連結;Jabber完成證書驗證操作指南。如果憑cup-xmpp.pem
證是自簽名的,請繼續執行步驟3。
步驟3.選擇Find
,以顯示所有憑證,然後選擇憑證cup-xmpp.pem
。開啟後,選擇Regenerate並等待,直到在關閉彈出視窗之前看到成功。
步驟4.繼續後續訂閱者;請參考步驟2中的相同過程,並完成集群中所有訂戶的操作。
步驟5.在所有節點上重新生成CUP-XMPP證書後,必須在IM/P節點上重新啟動Cisco XCP路由器服務。
附註:如果線上狀態冗餘組配置已選中「啟用高可用性Uncheck
」,則在重新啟動服務之前執行此操作。可以訪問線上狀態冗餘組配置CUCM Pub Administration > System > Presence Redundancy Group
。重新啟動服務會導致IM/P臨時中斷,必須在生產時間之外完成。
3.登入發佈伺服器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Network Services
.
b.Restart
cisco XCP路由器服務。
c.服務重新啟動完成後,在使用者Restart
上繼續使用Cisco XCP路由器服務。
CUP-XMPP-S2S憑證
步驟1.為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始,然後依次開啟每個IM/P使用者伺服器的GUI,然後導航至Cisco Unified OS Administration > Security > Certificate Management
。
步驟2.從發佈者GUI開始,選擇Find
「show all certificates(顯示所有證書)」 ,然後選擇「cup-xmpp-s2s.pem
certificate(證書)」。開啟後,選擇Regenerate
,然後等到您看到成功後,彈出視窗關閉。
步驟3.繼續後續訂閱伺服器,參閱步驟2中的相同步驟,完成集群中所有訂閱伺服器的操作。
步驟4.在所有節點上重新生成CUP-XMPP-S2S證書後,必須按照所述的順序重新啟動服務。
附註:如果線上狀態冗餘組配置已選中Enable High Availability(啟用高可用性Uncheck
),則在重新啟動這些服務之前執行此操作。可以訪問線上狀態冗餘組配置CUCM Pub Administration > System > Presence Redundancy Group
。重啟服務會導致IM/P暫時中斷,必須在生產時間之外完成。
4.登入發佈伺服器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Network Services
.
b. Restart
Cisco XCP路由器服務。
c.服務重新啟動完成後,繼續使Restart
用使用者上的Cisco XCP路由器服務。
5.登入發佈伺服器的Cisco Unified Serviceability:
a. Cisco Unified Serviceability > Tools > Control Center - Feature Services
.
b.Restart
cisco XCP XMPP聯盟連線管理器服務。
c.服務重新啟動完成後,繼續使Restart
用使用者上的Cisco XCP XMPP聯合連線管理器服務。
IPSec憑證
附註:CUCM發ipsec.pem
布器中的證書必須有效且存在於IPSec信任儲存中的所有訂閱者(CUCM和IM/P節點)中。在發ipsec.pem
布器中,使用者的證書不存在,因為標準部署中的IPSec信任儲存。為了驗證有效性,請將CUCM-PUB證書中的序列號與訂閱者中的IPSec-trust進行比較ipsec.pem
。它們必須匹配。
附註:DRS在源代理和本地代理之間使用基於安全套接字層(SSL)的通訊,以在CUCM群集節點(CUCM和IM/P節點)之間驗證和加密資料。DRS將IPSec證書用於其公鑰/私鑰加密。請注意,如果從Certificate Management頁面刪除IPSEC信任儲存(hostname.pem
)檔案,則DRS無法按預期工作。如果手動刪除IPSEC信任檔案,則必須確保將IPSEC證書上傳到IPSEC信任儲存。有關詳細資訊,請參閱《CUCM安全指南》中的證書管理幫助頁面。
步驟1.為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始,然後依次開啟每個IM/P使用者伺服器的GUI,然後導航至Cisco Unified OS Administration > Security > Certificate Management
。
步驟2.從發佈者GUI開始,然後選擇Find
,顯示所有證書Choose
。ipsec.pem
certificate。開啟後,選擇Regenerate
,然後等到您看到成功後,彈出視窗關閉。
步驟3.繼續後續訂閱伺服器,參閱步驟2中的相同步驟,完成集群中所有訂閱伺服器的操作。
步驟4.所有節點都已重新生成IPSEC證書後,再生Restart
這些服務。導航到發佈伺服器的Cisco Unified Serviceability;Cisco Unified Serviceability > Tools > Control Center - Network Services
。
a.選擇Restart
on the Cisco DRF primary service。
b.服務重新啟動完成後,請在發佈器上選擇Restart
「Cisco DRF Local」(Cisco DRF本地服務)選項,然後繼續在每個訂閱者上使用Restart
「Cisco DRF Local」(Cisco DRF本地服務)選項。
Tomcat證書
附註:由於Jabber利用CUCM Tomcat和IM/P Tomcat和CUP-XMPP伺服器證書來驗證Tomcat和CUP-XMPP服務的連線,因此這些CUCM和IM/P證書在大多數情況下都是CA簽名的。假定Jabber裝置沒有在其證書信任儲存中安裝Tomcat證書的根證書和任何中間證書。在這種情況下,Jabber客戶端會顯示不可信證書的安全警告彈出視窗。如果尚未安裝在Jabber裝置的證書信任儲存中,則根證書和任何中間證書必須通過組策略、MDM、電子郵件等推送到Jabber裝置,這取決於Jabber客戶端。
附註:如果Tomcat證書是自簽名證書,如果Tomcat證書未安裝在Jabber裝置的證書信任儲存中,則Jabber客戶端將顯示不可信證書的安全警告彈出視窗。如果尚未安裝在Jabber裝置的證書信任儲存中,則必須通過組策略、MDM、電子郵件等將自簽名的CUP-XMPP證書推送到Jabber裝置,這取決於Jabber客戶端。
步驟1.為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始,然後依次開啟每個IM/P使用者伺服器的GUI並導航至Cisco Unified OS Administration > Security > Certificate Management
。
步驟2.從發佈者GUI開始,然後選擇Find
以顯示所有證書。
·從證書的「型別tomcat.pem
」列中,確定證書是自簽名還是CA簽名。
tomcat.pem
·如果憑證是第三方簽署的多SAN(型別CA簽署的多SAN),請檢視此連結瞭解如何產生多SAN Tomcat CSR並提交給CA以獲取CA簽署的Tomcat憑證,Unified Communication Cluster Setup with CA-Signed Multi-Server Subject Alternate Name組態範例
附註:多SAN Tomcat CSR在CUCM發佈伺服器上生成,並分發到群集中的所有CUCM和IM/P節點。
tomcat.pem
·如果證書是第三方簽名的分發單節點(型別CA簽名)(分發名稱等於證書的公用名稱),請檢視此連結以生成單節點CUP-XMPP CSR,並將其提交給CA以獲取CA簽名的CUP-XMPP證書,Jabber完成證書驗證操作指南
·如果憑tomcat.pem
證是自簽名的,請繼續執行步驟3
步驟3.選擇Find
,以顯示所有憑證:
·選擇憑證tomcat.pem
。
·開啟後,選擇Regenerate
,然後等到您看到成功彈出視窗後,關閉該彈出視窗。
步驟4.繼續處理每個後續訂閱伺服器,參閱步驟2中的過程,並完成集群中的所有訂閱伺服器。
步驟5.所有節點都已重新生成Tomcat證書Restart
後,所有節點上的Tomcat服務。從發佈者開始,然後是訂閱者。
·若要使用Tomcat服務Restart
,必須為每個節點開啟CLI會話並運行命令,直到服務重新啟動Cisco Tomcat,如下圖所示:

刪除過期的信任證書
附註:在適當時,可以刪除信任證書(以 — trust結尾)。可以刪除的信任證書是不再需要的、已過期或已過時的信任證書。請勿刪除五個身份證書:、cup.pem
、cup-xmpp.pem
、cup-xmpp-s2s.pem
、ipsec.pem
和證tomcat.pem
書。 服務重新啟動(如圖所示)旨在清除這些服務中這些舊證書的任何記憶體資訊。
附註:如果線上狀態冗餘組配置已選中「啟用高可用性Uncheck
」,則此操作在服Stopped
務為Started
或之前進行Restarted
。可以訪問線上狀態冗餘組配置CUCM Pub Administration > System > Presence Redundancy Group
。如圖所示,重新啟動某些服務會導致IM/P暫時中斷,必須在生產時間之外完成。
步驟1.定位至Cisco Unified Serviceability > Tools > Control Center - Network Services
:
·從下拉選單中,選擇您的IM/P發佈者,從Cisco Certificate Expiry Monitor中選擇Stop
,然後在Cisco Intercluster Sync Agent中選擇Stop
。
·對群集中的每個IM/P節點重複這些服務Stop
。
附註:如果必須刪除Tomcat-trust證書,請導航到Cisco Unified Serviceability > Tools > Control Center - Network Services
CUCM發佈者的。
·從下拉選單中選擇CUCM發佈程式。
·從Stop
Cisco Certificate Expiry Monitor中選擇,然後在Stop
Cisco Certificate Change Notification中選擇。
·對群集中的每個CUCM節點重複此操作。
步驟2.導航至Cisco Unified OS Administration > Security > Certificate Management > Find
。
·查詢過期的信任證書(對於10.x版及更高版本,您可以按過期進行過濾。從10.0之前的版本中,您必須手動識別特定證書,或者如果收到,必須通過RTMT警報識別特定證書)。
·同一信任證書可以出現在多個節點中,必須從每個節點單獨刪除。
·選擇要刪除的信任證書(根據版本,您會彈出一個視窗,或者您被導航到同一頁上的證書)。
·選擇Delete
(您將看到以「您將要永久刪除此證書……」開頭的彈出視窗)。
·點選 OK
.
步驟3.對每個要刪除的信任證書重複該過程。
步驟4.完成後,必須重新啟動與刪除的證書直接相關的服務。
· CUP-trust:Cisco SIP代理、Cisco Presence Engine,如果針對SIP聯盟進行了配置,則為Cisco XCP SIP聯盟連線管理器(請參閱CUP證書部分)
· CUP-XMPP-trust:Cisco XCP路由器(參見CUP-XMPP證書部分)
· CUP-XMPP-S2S-trust:Cisco XCP路由器和Cisco XCP XMPP聯盟連線管理器
· IPSec-trust:DRF源/DRF本地(請參閱IPSec證書部分)
· Tomcat-trust:通過命令列重新啟動Tomcat服務(請參閱Tomcat certificate部分)
步驟5.重新啟動服務已在步驟1中停止。
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。