重新生成CUCM IM/P服務自簽名證書

簡介

本文檔介紹如何在CUCM IM/P 8.x及更高版本中重新生成證書的建議分步過程。

必要條件

需求

思科建議您瞭解IM & Presence(IM/P)服務憑證。

採用元件

本檔案中的資訊是根據IM/P 8.x及更新版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

證書儲存利用率

Cisco Unified Presence(CUP)證書

這用於SIP聯合的安全SIP連線、適用於Lync/OCS/LCS的Microsoft遠端呼叫控制、Cisco Unified Certificate Manager(CUCM)和IM/P之間的安全連線等。

Cisco Unified Presence — 可擴展消息傳送和狀態協定(CUP-XMPP)證書

這用於在建立XMPP會話時驗證XMPP客戶端的安全連線。

Cisco Unified Presence — 可擴展消息傳送和線上狀態協定 — 伺服器到伺服器(CUP-XMPP-S2S)證書

這用於驗證與外部聯合XMPP系統的XMPP域間聯盟的安全連線。

IP安全(IPSec)憑證

此命令用於：
·驗證災難恢復系統(DRS)/災難恢復框架(DRF)的安全連線
·驗證到集群中Cisco Unified Communications Manager(CUCM)和IM/P節點的IPsec隧道的安全連線

Tomcat證書

此命令用於：

·驗證各種Web訪問，例如從群集中的其他節點訪問服務頁面和Jabber訪問
·驗證SAML單點登入(SSO)的安全連線

·驗證群集間對等體的安全連線

注意：如果您在統一通訊伺服器上使用SSO功能，並且重新生成Cisco Tomcat證書，則需要使用新證書重新配置SSO。在CUCM和ADFS 2.0上配置SSO的連結為；https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html。

註:CUCM證書再生/續訂流程的連結為;https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200199-CUCM-Certificate-Regeneration-Renewal-Pr.html。

憑證再生程式

CUP證書

步驟1.為群集中的每個伺服器開啟圖形使用者介面(GUI)。從IM/P發佈伺服器開始，然後依次開啟每個IM/P使用者伺服器的GUI並導航至  Cisco Unified OS Administration > Security > Certificate Management.

步驟2.從發佈者GUI開始，然後選擇 Find  顯示所有證書。選擇  cup.pem certificate。開啟後，選擇 Regenerate 然後等到您看到成功後，彈出視窗即關閉。

步驟3.繼續使用後續訂閱伺服器，參閱步驟2中的相同步驟。並完成群集中的所有訂閱伺服器。

步驟4.  在所有節點上重新生成CUP證書後，必須重新啟動服務。

注意：如果線上狀態冗餘組配置已選中「啟用高可用性」， Uncheck 在服務重新啟動之前進行。可以訪問線上狀態冗餘組配置，網址為  CUCM Pub Administration > System > Presence Redundancy Group.重啟服務會導致IM/P暫時中斷，必須在生產時間之外完成。

按以下順序重新啟動服務：

·登入發佈伺服器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services

b. Restart  Cisco SIP代理服務

c.一旦服務重新啟動完成，請繼續訂購使用者和  Restart Cisco SIP代理服務

d.從發佈伺服器開始，然後繼續訂閱伺服器，  Restart  Cisco SIP代理服務(也可從  Cisco Unified Serviceability > Tools > Control Center - Feature Services)

·登入發佈伺服器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services

b. Restart Cisco Presence引擎服務

c.服務重新啟動完成後，繼續執行  Restart  使用者的Cisco Presence EngineService

注意：如果為SIP聯合配置，  Restart Cisco XCP SIP聯盟連線管理器服務(位於  Cisco Unified Serviceability > Tools > Control Center - Feature Services)，從發佈伺服器開始，然後繼續訂閱伺服器。

CUP-XMPP憑證

注意：由於Jabber利用CUCM和IM/P Tomcat以及CUP-XMPP伺服器證書來驗證Tomcat和CUP-XMPP服務的連線，因此這些CUCM和IM/P證書在大多數情況下都是CA簽名的。假定Jabber裝置沒有在其證書信任儲存中安裝CUP-XMPP證書的根證書和中間證書，在此情況下，Jabber客戶端顯示不可信證書的安全警告彈出視窗。如果尚未安裝在Jabber裝置信任儲存的證書中，則根證書和任何中間證書必須通過組策略、MDM、電子郵件等推送到Jabber裝置，這取決於Jabber客戶端。

注意：如果CUP-XMMP證書是自簽名證書，如果CUP-XMMP證書未安裝在Jabber裝置證書的信任儲存中，則Jabber客戶端將顯示不可信證書的安全警告彈出視窗。如果尚未安裝，則必須通過組策略、MDM、電子郵件等將自簽名的CUP-XMPP證書推送到Jabber裝置，這取決於Jabber客戶端。

步驟1.為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始，然後依次開啟每個IM/P使用者伺服器的GUI並導航至  Cisco Unified OS Administration > Security > Certificate Management.

步驟2.從發佈者GUI開始，然後選擇  Find 顯示所有證書。從的型別列  cup-xmpp.pem 證書，確定它是自簽名還是CA簽名。如果  cup-xmpp.pem 證書是第三方簽名的（型別CA簽名的）分發多SAN，請在生成多SAN CUP-XMPP CSR並提交給CA以獲取CA簽名的CUP-XMPP證書時檢視此連結；使用CA簽名的多伺服器主體備用名稱配置統一通訊集群設置。

如果  cup-xmpp.pem 證書是第三方簽名的（鍵入CA簽名）分發單節點（分發名稱等於證書的公用名稱），請在生成單節點時檢視此連結 CUP-XMPP CSR並提交給CA以獲取CA簽名的CUP-XMPP證書；Jabber完成證書驗證操作指南。如果  cup-xmpp.pem 證書已自簽名，請繼續執行步驟3。

步驟3.選擇  Find 以顯示所有憑證，然後選擇  cup-xmpp.pem certificate。開啟後，選擇  Regenerate 然後等到您看到成功後，彈出視窗即關閉。

步驟4.繼續使用後續訂閱伺服器；請參考步驟2中的相同過程。並為群集中的所有訂閱伺服器完成該過程。

步驟5.在所有節點上重新生成CUP-XMPP證書後，必須在IM/P節點上重新啟動Cisco XCP路由器服務。

注意：如果線上狀態冗餘組配置已選中「啟用高可用性」，  Uncheck 在服務重新啟動之前執行此操作。可以訪問線上狀態冗餘組配置：  CUCM Pub Administration > System > Presence Redundancy Group. 重新啟動服務會導致IM/P暫時中斷，必須在生產時間之外完成。

·登入發佈伺服器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Network Services

b. Restart cisco XCP路由器服務

c.服務重新啟動完成後，繼續執行  Restart 使用者上的Cisco XCP路由器服務

CUP-XMPP-S2S憑證

步驟1. 為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始，然後依次開啟每個IM/P使用者伺服器的GUI，然後導航至  Cisco Unified OS Administration > Security > Certificate Management.

步驟2.從發佈者GUI開始，選擇  Find 顯示所有證書，然後選擇  cup-xmpp-s2s.pem certificate。開啟後，選擇  Regenerate 然後等到您看到成功後，彈出視窗即關閉。

步驟3.繼續使用後續訂閱伺服器，並參閱步驟2中的相同步驟。完成對所有群集訂閱伺服器的操作。

步驟4.在所有節點上重新生成CUP-XMPP-S2S證書後，必須按照上述順序重新啟動服務。

注意：如果線上狀態冗餘組配置已選中「啟用高可用性」，Uncheck 在重新啟動這些服務之前執行此操作。可在以下位置訪問線上狀態冗餘組配置：  CUCM Pub Administration > System > Presence Redundancy Group.重啟服務會導致IM/P暫時中斷，必須在生產時間之外完成。

·登入發佈伺服器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Network Services
b. Restart cisco XCP路由器服務
c.服務重新啟動完成後，繼續執行  Restart  的Cisco XCP路由器服務

·登入發佈伺服器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services

b. Restart cisco XCP XMPP聯盟連線管理器服務

c.服務重新啟動完成後，繼續執行  Restart  使用者上的Cisco XCP XMPP聯盟連線管理器服務的配置

IPSec憑證

註:  ipsec.pem cucm發佈伺服器中的證書必須有效且存在於IPSec信任儲存中的所有訂閱伺服器（CUCM和IM/P節點）中。其  ipsec.pem 發佈伺服器中不存在訂閱伺服器的證書，因為標準部署中存在IPSec信任儲存。為了驗證有效性，請比較  ipsec.pem 從CUCM-PUB獲得證書，並在訂閱伺服器中使用IPSec-trust。它們必須匹配。

注意:DRS在源代理和本地代理之間使用基於安全套接字層(SSL)的通訊對CUCM群集節點（CUCM和IM/P節點）之間的資料進行身份驗證和加密。DRS將IPSec證書用於其公鑰/私鑰加密。請注意，如果刪除IPSEC信任儲存(hostname.pem)檔案，則DRS不能按預期工作。如果手動刪除IPSEC信任檔案，則必須確保將IPSEC證書上傳到IPSEC信任儲存。有關詳細資訊，請參閱《CUCM安全指南》中的證書管理幫助頁面。

步驟1.為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始，然後依次開啟每個IM/P使用者伺服器的GUI，然後導航至  Cisco Unified OS Administration > Security > Certificate Management.

步驟2.從發佈者GUI開始，然後選擇  Find 顯示所有證書。Choose 其  ipsec.pem certificate。開啟後，選擇  Regenerate 然後等到您看到成功後，彈出視窗即關閉。

步驟3.繼續使用後續訂閱伺服器，並參閱步驟2中的相同步驟。完成對所有群集訂閱伺服器的操作。

步驟4.在所有節點重新生成IPSEC證書後，  Restart 這些服務。導航到發佈伺服器的Cisco Unified Serviceability; Cisco Unified Serviceability > Tools > Control Center - Network Services.
a.選擇  Restart 思科DRF主要服務
b.服務重新啟動完成後，選擇  Restart 發佈器上的Cisco DRF本地服務的一部分，然後繼續  Restart 每個使用者上的Cisco DRF本地服務

Tomcat證書

注意：由於Jabber利用CUCM Tomcat和IM/P Tomcat和CUP-XMPP伺服器證書來驗證Tomcat和CUP-XMPP服務的連線，因此這些CUCM和IM/P證書在大多數情況下都是CA簽名的。假定Jabber裝置沒有在其證書信任儲存中安裝Tomcat證書的根證書和任何中間證書。在這種情況下，Jabber客戶端會顯示不可信證書的安全警告彈出視窗。如果尚未安裝在Jabber裝置的證書信任儲存中，則根證書和任何中間證書必須通過組策略、MDM、電子郵件等推送到Jabber裝置，這取決於Jabber客戶端。

注意：如果Tomcat證書是自簽名證書，如果Tomcat證書未安裝在Jabber裝置的證書信任儲存中，則Jabber客戶端將顯示不可信證書的安全警告彈出視窗。如果尚未安裝在Jabber裝置的證書信任儲存中，則必須通過組策略、MDM、電子郵件等將自簽名的CUP-XMPP證書推送到Jabber裝置，這取決於Jabber客戶端。

步驟1.為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始，然後依次開啟每個IM/P使用者伺服器的GUI並導航至  Cisco Unified OS Administration > Security > Certificate Management.

步驟2.從發佈者GUI開始，然後選擇 Find  顯示所有證書。
·在「型別」列中，  tomcat.pem 證書，確定它是自簽名還是CA簽名

·倘若符  tomcat.pem 證書是第三方簽名的（型別CA簽名的）分發多SAN，檢視有關如何生成多SAN Tomcat CSR的此連結並向CA提交具有CA簽名的Tomcat證書，使用CA簽名的多伺服器主體備用名稱配置統一通訊群集設定示例

·倘若符  tomcat.pem 證書是第三方簽名的（型別CA簽名的）分發單節點（分發名稱等於證書的公用名稱），檢視此連結以生成單節點CUP-XMPP CSR，並將其提交給CA以獲取CA簽名的CUP-XMPP證書，Jabber完成證書驗證操作指南

·倘若符  tomcat.pem 證書已自簽名，請繼續執行步驟3

步驟3.選擇  Find 若要顯示所有憑證：
·選擇  tomcat.pem 憑證
·開啟後，選擇  Regenerate 然後等到您看到成功彈出視窗後，彈出視窗才會關閉

步驟4.繼續使用每個後續訂閱伺服器，請參考步驟2中的過程。並完成群集中的所有訂閱伺服器。

步驟5.所有節點重新生成Tomcat證書後，  Restart 所有節點上的Tomcat服務。從發佈者開始，然後是訂閱者。
·為了  Restart Tomcat服務，您必須為每個節點開啟CLI會話並運行命令，直到服務重新啟動Cisco Tomcat，如下圖所示：

刪除過期的信任證書

注意：可以在適當時候刪除信任證書（以 — trust結尾）。可以刪除的信任證書是不再需要的、已過期或已過時的信任證書。請勿刪除五個身份證書：  cup.pem中，  cup-xmpp.pem中，  cup-xmpp-s2s.pem中，  ipsec.pem,和  tomcat.pem 憑證。  服務重新啟動（如圖所示）旨在清除這些服務中這些舊證書的任何記憶體資訊。

注意：如果線上狀態冗餘組配置已選中「啟用高可用性」，  Uncheck 這發生在服務之前 Stopped/Started  或  Restarted.可以訪問線上狀態冗餘組配置：  CUCM Pub Administration > System > Presence Redundancy Group.如圖所示，重新啟動某些服務會導致IM/P暫時中斷，必須在生產時間之外完成。

步驟1.導航至  Cisco Unified Serviceability > Tools > Control Center - Network Services:

·從下拉選單中，選擇您的IM/P發佈者，選擇  Stop 從Cisco Certificate Expiry Monitor，然後從  Stop 在Cisco Intercluster Sync代理中

·重複 Stop 適用於集群中每個IM/P節點的這些服務

·從下拉選單中選擇CUCM發佈程式
·選擇  Stop 從Cisco Certificate Expiry Monitor，然後從  Stop 在Cisco Certificate Change Notification中
·對群集中的每個CUCM節點重複此操作

步驟2.導航至  Cisco Unified OS Administration > Security > Certificate Management > Find.

·查詢過期的信任證書(對於10.x版及更高版本，您可以按過期進行過濾。從10.0之前的版本中，您必須手動識別特定證書，或者如果收到，必須通過RTMT警報識別特定證書。)
·同一信任證書可以出現在多個節點中，必須從每個節點單獨刪除
·選擇要刪除的信任證書（根據版本，您會彈出一個視窗，或者您被導航到同一頁上的證書）

·選擇  Delete （您將看到一個以「您將要永久刪除此證書……」開頭的彈出視窗）
·點選 OK

步驟3.對每個要刪除的信任證書重複該過程。

步驟4.完成後，必須重新啟動與刪除的證書直接相關的服務。

· CUP-trust:Cisco SIP代理、Cisco Presence Engine，如果為SIP聯盟配置，則使用Cisco XCP SIP聯盟連線管理器（請參閱CUP證書部分）
· CUP-XMPP-trust:Cisco XCP路由器（請參閱CUP-XMPP證書部分）
· CUP-XMPP-S2S-Trust:Cisco XCP路由器和Cisco XCP XMPP聯盟連線管理器
· IPSec-trust: DRF Source/DRF Local（請參閱IPSec certificate部分）
· Tomcat-trust：通過命令列重新啟動Tomcat服務（請參閱Tomcat certificate部分）

步驟5.重新啟動服務已在步驟1中停止。

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。