重新生成CUCM IM/P服務自簽名證書

簡介

本文檔介紹如何在CUCM IM/P 8.x及更高版本中重新生成證書的建議分步過程。

必要條件

需求

思科建議您瞭解IM & Presence(IM/P)服務憑證。

採用元件

本檔案中的資訊是根據IM/P 8.x及更新版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

證書儲存利用率

Cisco Unified Presence(CUP)證書

用於SIP聯合的安全SIP連線、適用於Lync/OCS/LCS的Microsoft遠端呼叫控制、Cisco Unified Certificate Manager(CUCM)和IM/P之間的安全連線等。

可擴充訊息和狀態通訊協定(CUP-XMPP)憑證

Cisco Unified Presence(CUP)用於在建立XMPP會話時驗證XMPP客戶端的安全連線。

可擴充訊息傳送和狀態通訊協定伺服器到伺服器(CUP-XMPP-S2S)憑證

Cisco Unified Presence用於驗證與外部聯合XMPP系統的XMPP域間聯盟的安全連線。

IP安全(IPSec)憑證

用於：

·驗證災難恢復系統(DRS)/災難恢復框架(DRF)的安全連線。
·驗證到集群中Cisco Unified Communications Manager(CUCM)和IM/P節點的IPsec隧道的安全連線。

Tomcat證書

用於：

·驗證各種Web訪問，例如從群集中的其他節點訪問服務頁面和Jabber訪問。
·驗證SAML單點登入(SSO)的安全連線。

·驗證群集間對等體的安全連線。

注意：如果在統一通訊伺服器上使用SSO功能，並且重新生成Cisco Tomcat證書，則必須使用新證書重新配置SSO。在CUCM和ADFS 2.0上配置SSO的連結為：https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/211302-Configure-Single-Sign-On-using-CUCM-and.html。

附註：CUCM證書再生/續訂流程的連結為：https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-tech-notes-list.html。

憑證再生程式

CUP證書

步驟1.為群集中的每個伺服器開啟圖形使用者介面(GUI)。從IM/P發佈伺服器開始，然後依次開啟每個IM/P使用者伺服器的GUI並導航至  Cisco Unified OS Administration > Security > Certificate Management.

步驟2.從發佈者GUI開始，然後選擇Find以顯示所有證書。選擇憑證cup.pem。開啟後，選擇Regenerate，然後等到您看到成功後，彈出視窗關閉。

步驟3.繼續後續訂閱伺服器，參閱步驟2中的相同步驟。並完成群集中的所有訂閱伺服器。

步驟 4.  在所有節點上重新生成CUP證書後，必須重新啟動服務。

附註：如果線上狀態冗餘組配置已選中Enable High Availability（啟用高可用性），在重新啟動服務之前將其刪除ncheck。可以訪問線上狀態冗餘組配置CUCM Pub Administration > System > Presence Redundancy Group。重啟服務會導致IM/P暫時中斷，必須在生產時間之外完成。

按以下順序重新啟動服務：

1.登入發佈伺服器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

b. RestartCisco SIP代理服務。

c.服務重新啟動完成後，繼續使用使用者和RestartCisco SIP代理服務。

d.從發佈者開始，然後繼續訂閱者。RestartCisco SIP代理服務(也從Cisco Unified Serviceability > Tools > Control Center - Feature Services)。

2.登入發佈伺服器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

b. Restart Cisco Presence Engine服務。

c.服務重新啟動完成後，在用Restart戶上繼續使用Cisco Presence EngineService。

附註：如果為SIP聯合配置，RestartCisco XCP SIP聯合連線管理器服務(位於Cisco Unified Serviceability > Tools > Control Center - Feature Services)。 從發佈伺服器開始，然後繼續訂閱伺服器。

CUP-XMPP憑證

附註：由於Jabber利用CUCM和IM/P Tomcat以及CUP-XMPP伺服器證書來驗證Tomcat和CUP-XMPP服務的連線，因此這些CUCM和IM/P證書在大多數情況下都是CA簽名的。假定Jabber裝置沒有在其證書信任儲存中安裝CUP-XMPP證書的根證書和中間證書，在此情況下，Jabber客戶端顯示不可信證書的安全警告彈出視窗。如果尚未安裝在Jabber裝置信任儲存的證書中，則根證書和任何中間證書必須通過組策略、MDM、電子郵件等推送到Jabber裝置，這取決於Jabber客戶端。

附註：如果CUP-XMMP證書是自簽名的，如果CUP-XMMP證書未安裝在Jabber裝置證書的信任儲存中，則Jabber客戶端將顯示不可信證書的安全警告彈出視窗。如果尚未安裝，則必須通過組策略、MDM、電子郵件等將自簽名的CUP-XMPP證書推送到Jabber裝置，這取決於Jabber客戶端。

步驟1.為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始，然後依次開啟每個IM/P使用者伺服器的GUI並導航到Cisco Unified OS Administration > Security > Certificate Management。

步驟2.從發佈者GUI開始，然後選擇Find以顯示所有證書。從證書的type列cup-xmpp.pem中，確定證書是自簽名還是CA簽名。如果cup-xmpp.pem證書是第三方簽名的（型別CA簽名的）分發多SAN，請在生成多SAN CUP-XMPP CSR並提交給CA以獲取CA簽名的CUP-XMPP證書時檢視此連結；使用CA簽名的多伺服器主體備用名稱配置示例的統一通訊群集設置。

cup-xmpp.pem如果證書是第三方簽名的（鍵入CA簽名）分發單節點（分發名稱等於證書的公用名稱），請在生成單節點CUP-XMPPCSR並提交給CA以獲取CA簽名的CUP-XMPP證書時檢視此連結；Jabber完成證書驗證操作指南。如果憑cup-xmpp.pem證是自簽名的，請繼續執行步驟3。

步驟3.選擇Find，以顯示所有憑證，然後選擇憑證cup-xmpp.pem。開啟後，選擇Regenerate並等待，直到在關閉彈出視窗之前看到成功。

步驟4.繼續後續訂閱者；請參考步驟2中的相同過程，並完成集群中所有訂戶的操作。

步驟5.在所有節點上重新生成CUP-XMPP證書後，必須在IM/P節點上重新啟動Cisco XCP路由器服務。

附註：如果線上狀態冗餘組配置已選中「啟用高可用性Uncheck」，則在重新啟動服務之前執行此操作。可以訪問線上狀態冗餘組配置CUCM Pub Administration > System > Presence Redundancy Group。重新啟動服務會導致IM/P臨時中斷，必須在生產時間之外完成。

3.登入發佈伺服器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Network Services.

b.Restart cisco XCP路由器服務。

c.服務重新啟動完成後，在使用者Restart上繼續使用Cisco XCP路由器服務。

CUP-XMPP-S2S憑證

步驟1.為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始，然後依次開啟每個IM/P使用者伺服器的GUI，然後導航至Cisco Unified OS Administration > Security > Certificate Management。

步驟2.從發佈者GUI開始，選擇Find「show all certificates（顯示所有證書）」 ，然後選擇「cup-xmpp-s2s.pem certificate（證書）」。開啟後，選擇Regenerate，然後等到您看到成功後，彈出視窗關閉。

步驟3.繼續後續訂閱伺服器，參閱步驟2中的相同步驟，完成集群中所有訂閱伺服器的操作。

步驟4.在所有節點上重新生成CUP-XMPP-S2S證書後，必須按照所述的順序重新啟動服務。

附註：如果線上狀態冗餘組配置已選中Enable High Availability(啟用高可用性Uncheck)，則在重新啟動這些服務之前執行此操作。可以訪問線上狀態冗餘組配置CUCM Pub Administration > System > Presence Redundancy Group。重啟服務會導致IM/P暫時中斷，必須在生產時間之外完成。

4.登入發佈伺服器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Network Services.
b. Restart Cisco XCP路由器服務。
c.服務重新啟動完成後，繼續使Restart用使用者上的Cisco XCP路由器服務。

5.登入發佈伺服器的Cisco Unified Serviceability:

a. Cisco Unified Serviceability > Tools > Control Center - Feature Services.

b.Restart cisco XCP XMPP聯盟連線管理器服務。

c.服務重新啟動完成後，繼續使Restart用使用者上的Cisco XCP XMPP聯合連線管理器服務。

IPSec憑證

附註：CUCM發ipsec.pem布器中的證書必須有效且存在於IPSec信任儲存中的所有訂閱者（CUCM和IM/P節點）中。在發ipsec.pem布器中，使用者的證書不存在，因為標準部署中的IPSec信任儲存。為了驗證有效性，請將CUCM-PUB證書中的序列號與訂閱者中的IPSec-trust進行比較ipsec.pem。它們必須匹配。

附註：DRS在源代理和本地代理之間使用基於安全套接字層(SSL)的通訊，以在CUCM群集節點（CUCM和IM/P節點）之間驗證和加密資料。DRS將IPSec證書用於其公鑰/私鑰加密。請注意，如果從Certificate Management頁面刪除IPSEC信任儲存(hostname.pem)檔案，則DRS無法按預期工作。如果手動刪除IPSEC信任檔案，則必須確保將IPSEC證書上傳到IPSEC信任儲存。有關詳細資訊，請參閱《CUCM安全指南》中的證書管理幫助頁面。

步驟1.為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始，然後依次開啟每個IM/P使用者伺服器的GUI，然後導航至Cisco Unified OS Administration > Security > Certificate Management。

步驟2.從發佈者GUI開始，然後選擇Find，顯示所有證書Choose。ipsec.pem certificate。開啟後，選擇Regenerate，然後等到您看到成功後，彈出視窗關閉。

步驟3.繼續後續訂閱伺服器，參閱步驟2中的相同步驟，完成集群中所有訂閱伺服器的操作。

步驟4.所有節點都已重新生成IPSEC證書後，再生Restart這些服務。導航到發佈伺服器的Cisco Unified Serviceability;Cisco Unified Serviceability > Tools > Control Center - Network Services。
a.選擇Restart on the Cisco DRF primary service。
b.服務重新啟動完成後，請在發佈器上選擇Restart「Cisco DRF Local」（Cisco DRF本地服務）選項，然後繼續在每個訂閱者上使用Restart「Cisco DRF Local」（Cisco DRF本地服務）選項。

Tomcat證書

附註：由於Jabber利用CUCM Tomcat和IM/P Tomcat和CUP-XMPP伺服器證書來驗證Tomcat和CUP-XMPP服務的連線，因此這些CUCM和IM/P證書在大多數情況下都是CA簽名的。假定Jabber裝置沒有在其證書信任儲存中安裝Tomcat證書的根證書和任何中間證書。在這種情況下，Jabber客戶端會顯示不可信證書的安全警告彈出視窗。如果尚未安裝在Jabber裝置的證書信任儲存中，則根證書和任何中間證書必須通過組策略、MDM、電子郵件等推送到Jabber裝置，這取決於Jabber客戶端。

附註：如果Tomcat證書是自簽名證書，如果Tomcat證書未安裝在Jabber裝置的證書信任儲存中，則Jabber客戶端將顯示不可信證書的安全警告彈出視窗。如果尚未安裝在Jabber裝置的證書信任儲存中，則必須通過組策略、MDM、電子郵件等將自簽名的CUP-XMPP證書推送到Jabber裝置，這取決於Jabber客戶端。

步驟1.為群集中的每個伺服器開啟GUI。從IM/P發佈伺服器開始，然後依次開啟每個IM/P使用者伺服器的GUI並導航至Cisco Unified OS Administration > Security > Certificate Management。

步驟2.從發佈者GUI開始，然後選擇Find以顯示所有證書。
·從證書的「型別tomcat.pem」列中，確定證書是自簽名還是CA簽名。

tomcat.pem ·如果憑證是第三方簽署的多SAN（型別CA簽署的多SAN），請檢視此連結瞭解如何產生多SAN Tomcat CSR並提交給CA以獲取CA簽署的Tomcat憑證，Unified Communication Cluster Setup with CA-Signed Multi-Server Subject Alternate Name組態範例

附註：多SAN Tomcat CSR在CUCM發佈伺服器上生成，並分發到群集中的所有CUCM和IM/P節點。

tomcat.pem ·如果證書是第三方簽名的分發單節點（型別CA簽名）（分發名稱等於證書的公用名稱），請檢視此連結以生成單節點CUP-XMPP CSR，並將其提交給CA以獲取CA簽名的CUP-XMPP證書，Jabber完成證書驗證操作指南

·如果憑tomcat.pem證是自簽名的，請繼續執行步驟3

步驟3.選擇Find，以顯示所有憑證：
·選擇憑證tomcat.pem。
·開啟後，選擇Regenerate，然後等到您看到成功彈出視窗後，關閉該彈出視窗。

步驟4.繼續處理每個後續訂閱伺服器，參閱步驟2中的過程，並完成集群中的所有訂閱伺服器。

步驟5.所有節點都已重新生成Tomcat證書Restart後，所有節點上的Tomcat服務。從發佈者開始，然後是訂閱者。
·若要使用Tomcat服務Restart，必須為每個節點開啟CLI會話並運行命令，直到服務重新啟動Cisco Tomcat，如下圖所示：

刪除過期的信任證書

附註：在適當時，可以刪除信任證書（以 — trust結尾）。可以刪除的信任證書是不再需要的、已過期或已過時的信任證書。請勿刪除五個身份證書：、cup.pem、cup-xmpp.pem、cup-xmpp-s2s.pem、ipsec.pem和證tomcat.pem書。  服務重新啟動（如圖所示）旨在清除這些服務中這些舊證書的任何記憶體資訊。

附註：如果線上狀態冗餘組配置已選中「啟用高可用性Uncheck」，則此操作在服Stopped務為Started  或之前進行Restarted。可以訪問線上狀態冗餘組配置CUCM Pub Administration > System > Presence Redundancy Group。如圖所示，重新啟動某些服務會導致IM/P暫時中斷，必須在生產時間之外完成。

步驟1.定位至Cisco Unified Serviceability > Tools > Control Center - Network Services:

·從下拉選單中，選擇您的IM/P發佈者，從Cisco Certificate Expiry Monitor中選擇Stop，然後在Cisco Intercluster Sync Agent中選擇Stop。

·對群集中的每個IM/P節點重複這些服務Stop。

附註：如果必須刪除Tomcat-trust證書，請導航到Cisco Unified Serviceability > Tools > Control Center - Network ServicesCUCM發佈者的。

·從下拉選單中選擇CUCM發佈程式。
·從StopCisco Certificate Expiry Monitor中選擇，然後在StopCisco Certificate Change Notification中選擇。
·對群集中的每個CUCM節點重複此操作。

步驟2.導航至Cisco Unified OS Administration > Security > Certificate Management > Find。

·查詢過期的信任證書(對於10.x版及更高版本，您可以按過期進行過濾。從10.0之前的版本中，您必須手動識別特定證書，或者如果收到，必須通過RTMT警報識別特定證書)。
·同一信任證書可以出現在多個節點中，必須從每個節點單獨刪除。
·選擇要刪除的信任證書（根據版本，您會彈出一個視窗，或者您被導航到同一頁上的證書）。

·選擇Delete（您將看到以「您將要永久刪除此證書……」開頭的彈出視窗）。
·點選 OK.

步驟3.對每個要刪除的信任證書重複該過程。

步驟4.完成後，必須重新啟動與刪除的證書直接相關的服務。

· CUP-trust:Cisco SIP代理、Cisco Presence Engine，如果針對SIP聯盟進行了配置，則為Cisco XCP SIP聯盟連線管理器（請參閱CUP證書部分）
· CUP-XMPP-trust:Cisco XCP路由器（參見CUP-XMPP證書部分）
· CUP-XMPP-S2S-trust:Cisco XCP路由器和Cisco XCP XMPP聯盟連線管理器
· IPSec-trust:DRF源/DRF本地（請參閱IPSec證書部分）
· Tomcat-trust:通過命令列重新啟動Tomcat服務（請參閱Tomcat certificate部分）

步驟5.重新啟動服務已在步驟1中停止。

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。