تحميل الشهادات الجذر/الوسيط ل Expressway-core على CUCM

المقدمة

يوضح هذا المستند كيفية تحميل الشهادات الجذر والشهادات المتوسطة ل CAs التي وقعت شهادات Expressway-C إلى ناشر CUCM.

معلومات أساسية

نظرا للتحسينات التي طرأت على خدمة خادم حركة مرور البيانات على Expressway في X14.0.2، يرسل Expressway-C شهادة العميل الخاصة به كلما طلبها خادم (CUCM) للحصول على خدمات تعمل على منافذ أخرى غير 8443 (على سبيل المثال، 6971،6972)، حتى إذا كان CUCM في وضع غير آمن. وبسبب هذا التغيير، يشترط إضافة المرجع المصدق للتوقيع على شهادة Expressway-C (CA) في CUCM كثقة من كل من Tomcat و CallManager.

يتسبب الفشل في تحميل CA الخاص بتوقيع Expressway-C على CUCM في فشل تسجيل الدخول إلى MRA بعد ترقية ExpressWay إلى X14.0.2 أو أعلى.

لكي تثق CUCM في الشهادة التي يرسلها Expressway-C، يجب أن تتضمن الثقة في TOMCAT و CallManager-trust المرجع المصدق الجذر وأي مرجع مصدق وسيط مشارك في توقيع شهادة Expressway-C.

التكوين

الخطوة 1. الحصول على الشهادات الجذر والمتوسط التي وقعت على شهادة خادم Expressway-C

عندما إستلمت في البداية شهادة الخادم من مرجع مصدق وقع شهادة الخادم تلك، يكون لديك أيضا الشهادات الجذر والمتوسط لشهادة الخادم تلك وتخزينها في مكان آمن. إذا كان لا يزال لديك هذه الملفات أو يمكنك تنزيلها مرة أخرى من المرجع المصدق الخاص بك، يمكنك الانتقال إلى الخطوة 2 حيث يمكنك العثور على إرشادات حول كيفية تحميلها إلى CUCM.

إذا لم تعد لديك هذه الملفات، فيمكنك تنزيلها من واجهة ويب Expressway-C. هذا معقد بعض الشيء، لذلك يوصى بشدة بالتواصل مع المرجع المصدق لديك لتنزيل مخزن الثقة منهم، إن أمكن.

في Expressway-C، انتقل إلى الصيانة > التأمين > شهادة الخادم، وانقر فوق زر العرض (فك الترميز) الموجود بجوار شهادة الخادم. يؤدي ذلك إلى فتح نافذة/علامة تبويب جديدة مع محتويات شهادة خادم Expressway-C. بتدور على حقل المصدر هنيك :

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            55:00:00:02:21:bb:2d:41:60:55:d7:b2:27:00:01:00:00:02:21
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=DigiCert Inc, CN=DigiCert Global CA-1
        Validity
            Not Before: Dec  8 10:36:57 2021 GMT
            Not After : Dec  8 10:36:57 2023 GMT
        Subject: C=BE, ST=Flamish-Brabant, L=Diegem, O=Cisco, OU=TAC, CN=vcs-c1.vngtp.lab
        Subject Public Key Info:
...

في هذا المثال، يتم إصدار شهادة خادم Expressway-C من قبل مؤسسة، هي DigiCert Inc. بالاسم الشائع DigiCert Global CA-1.

الآن، انتقل إلى الصيانة > التأمين > شهادة المرجع المصدق الموثوق به، وانظر في القائمة لترى إذا كان لديك شهادة هناك بنفس القيمة في حقل الموضوع. في هذا المثال، O=DigiCert Inc، cn=DigiCert Global CA-1 في حقل الموضوع. إذا وجدت تطابق، هذا يعني أن هذا هو مرجع مصدق وسيط. تحتاج إلى هذا الملف، ويجب أن تستمر في البحث حتى تجد المرجع المصدق الجذر.

إذا لم تتمكن من العثور على تطابق، ابحث عن شهادة بهذه القيمة في حقل المصدر مع موضوع مصدر التطابقات. إذا وجدت تطابق، فهذا يعني أن هذا هو ملف CA الجذر وهذا هو الملف الوحيد الذي سنحتاج إليه.

مخزن Expressway Trust

في هذا المثال، بعد العثور على الشهادة، تلاحظ أن حقل الموضوع لا يطابق حقل المصدر. هذا يعني أن هذه هي شهادة CA متوسطة. تحتاج إلى هذه الشهادة بالإضافة إلى الشهادة الجذر. إذا طابق الموضوع المصدر فسوف تعرف أن هذا هو المرجع الأصلي للشهادة والشهادة الوحيدة التي تحتاج إلى الثقة.

إذا كان لديك شهادة وسيطة، تحتاج إلى المتابعة حتى نجد الشهادة الجذر. للقيام بذلك، انظر إلى حقل المصدر للشهادة الوسيطة الخاصة بك. ثم ابحث عن شهادة بنفس القيمة في حقل الموضوع. في حالتنا هذه هي O=DigiCert Inc، OU=www.digicert.com، CN=DigiCert Global Root CA - تبحث عن شهادة بهذه القيمة في حقل الموضوع. إذا لم تتمكن من العثور على شهادة مطابقة، فإنك تبحث عن هذه القيمة في حقل المصدر مع موضوع مصدر التطابقات.

في هذا المثال، يمكنك مشاهدة شهادة خادم Expressway-C التي تم توقيعها بواسطة CA O=DigiCert Inc، CN=DigiCert Global CA-1 والتي تم توقيعها بواسطة CA الجذر الجذر O=DigiCert Inc. أو=www.digicert.com، CN=DigiCert Global Root CA. بما انك وجدت الجذر ca ... خلصت. إذا وجدت المرجع المصدق الوسيط آخر، يلزمك متابعة هذه العملية حتى تقوم بتعريف كل مرجع مصدق متوسط والجذر المصدق.

لتنزيل ملفات الشهادة الجذر والمتوسط، انقر زر إظهار الكل (ملف PEM) تحت القائمة. يبدي هذا أنت كل الجذر والشهادات الوسيطة في تنسيق PEM. قم بالتمرير لأسفل حتى تجد شهادة مطابقة لأحد الشهادات الوسيطة أو الشهادة الجذر. في هذا المثال، أول شهادة تجدها هي O=DigiCert Inc، CN=DigiCert Global Root CA - ستقوم بنسخ هذه الشهادة إلى ملف وحفظها محليا.

...
Epn3o0WC4zxe9Z2etiefC7IpJ5OCBRLbf1wbWsaY71k5h+3zvDyny67G7fyUIhz
ksLi4xaNmjICq44Y3ekQEe5+NauQrz4wlHrQMz2nZQ/1/I6eYs9HRCwBXbsdtTLS
R9I4LtD+gdwyah617jzV/OeBHRnDJELqYzmp
-----END CERTIFICATE-----

O=DigiCert Inc, CN=DigiCert Global Root CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

O=The Go Daddy Group, Inc.
-----BEGIN CERTIFICATE-----
MIIEADCCAuigAwIBAgIBADANBgkqhkiG9w0BAQUFADBjMQswCQYDVQQGEwJVUzEh
MB8GA1UEChMYVGhlIEdvIERhZGR5IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBE
...

لكل من الشهادات الجذر والشهادات الوسيطة النهائية، انسخ كل ما يبدأ ب (يتضمن) —شهادة البداية— وينتهي ب (يتضمن) — شهادة النهاية—. ضع كل واحد منهم في ملف نصي مستقل وقم بإضافة سطر فارغ إضافي في الأسفل (بعد السطر ب — نهاية الشهادة—). احفظ هذه الملفات مع امتداد .pem: root.pem، intermediate1.pem، intermediate2.pem، ... تحتاج إلى ملف مستقل لكل ترخيص جذري/وسيط. للمثال السابق، سيتضمن ملف root.pem لدينا:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

ملاحظة: يجب أن يكون هناك سطر واحد فارغ في الأسفل.

الخطوة 2. تحميل الشهادات الجذرية والوسيطة على CUCM (إذا كان ذلك ممكنا)

• سجل الدخول إلى صفحة إدارة Cisco Unified OS الخاصة بناشر CUCM الخاص بك.
• انتقل إلى التأمين > إدارة الشهادات.
• انقر على زر تحميل الشهادة/سلسلة الشهادات.
• في الإطار الجديد، ابدأ بتحميل الشهادة الجذر من الخطوة 1. قم بتحميله إلى Tomcat-trust.

• انقر فوق الزر تحميل، ثم يجب أن ترى النجاح: تم تحميل الشهادة. تجاهل الرسالة التي تطلب منك إعادة تشغيل Tomcat الآن.
• قم بتحميل الملف الجذر نفسه الآن مع ثقة CallManager لغرض الشهادة.
• كرر الخطوات السابقة (التحميل إلى Tomcat-trust و CallManager-trust) لجميع الشهادات الوسيطة المستخدمة على Expressway-C.

الخطوة 3. إعادة تشغيل الخدمات الضرورية على CUCM

يلزم إعادة تشغيل هذه الخدمات على كل عقدة CUCM في مجموعة CUCM لديك:

• Cisco CallManager
• Cisco TFTP
• Cisco Tomcat

يمكن إعادة تشغيل Cisco CallManager و Cisco TFTP من صفحات الخدمة الموحدة من CUCM:

• سجل الدخول إلى صفحة الخدمة الموحدة من Cisco الخاصة بناشر CUCM.
• انتقل إلى أدوات > مركز التحكم - خدمات الميزات.
• أختر الناشر الخاص بك كخادم.
• أختر خدمة Cisco CallManager، وانقر فوق الزر إعادة التشغيل.
• بعد إعادة تشغيل خدمة Cisco CallManager، أختر خدمة Cisco TFTP، وانقر فوق زر إعادة التشغيل.

يمكن إعادة تشغيل Cisco Tomcat من CLI فقط:

• افتح اتصال سطر الأوامر بناشر CUCM الخاص بك.
• أستخدم الأمر إعادة تشغيل الخدمة Cisco Tomcat. 

معلومات ذات صلة

الدعم التقني والمستندات - Cisco Systems