إدارة الشهادات المجمعة بين مجموعات CUCM للترحيل عبر الهاتف

المقدمة

يوضح هذا المستند كيفية إدارة الاعتماد المجمع بين مجموعات مدير الاتصالات الموحدة (CUCM) من Cisco لترحيل الهواتف.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
· خادم بروتوكول نقل الملفات الآمن (SFTP)
· شهادات CUCM

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى CUCM 10.x.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

ملاحظة: هذا الإجراء موضح أيضا في قسم إدارة الشهادات المجمعة من دليل الإدارة الخاص بإصدار دليل إدارة عمليات حفظ الطبيعة (CUCM) الإصدار 12.5(1)

تسمح إدارة الشهادات المجمعة بمشاركة مجموعة من الشهادات بين مجموعات CUCM. هذه الخطوة هي شرط لوظائف النظام الخاصة بالمجموعات الفردية التي تحتاج إلى الثقة التي سيتم إنشاؤها فيما بينها مثل Extension Mobility Cross Cluster (EMCC)، بالإضافة إلى النقل عبر الهاتف بين المجموعات.

كجزء من الإجراء، يتم إنشاء ملف معايير تشفير المفاتيح العامة #12 (PKCS12) يحتوي على شهادات من جميع العقد في نظام مجموعة. يجب أن يقوم كل نظام مجموعة بتصدير شهاداته إلى نفس دليل SFTP على نفس خادم SFTP. يجب إجراء تكوينات إدارة الشهادات المجمعة يدويا على ناشر CUCM لكل من مجموعتي المصدر والوجهة. يجب أن تكون مجموعات المصدر والوجهة نشطة وتشغيلية بحيث يكون للهواتف التي سيتم ترحيلها اتصال بكل من هذه المجموعات. يتم ترحيل هواتف نظام المجموعة المصدر إلى نظام المجموعة الوجهة.

إجراء إدارة الشهادات المجمعة

تصدير شهادات نظام المجموعة الوجهة

الخطوة 1. قم بتكوين خادم SFTP لإدارة الشهادات المجمعة على ناشر CUCM الخاص بالمجموعة الوجهة.

في هذا المثال، إصدار CUCM لمجموعة الوجهة هو 11.5.1.

انتقل إلى إدارة نظام التشغيل الموحد من Cisco > الأمان > إدارة الشهادات المجمعة. أدخل تفاصيل خادم SFTP وانقر فوق تصدير.

أدخل تفاصيل خادم SFTP وانقر فوق تصدير.

الخطوة 2. قم بتصدير جميع الشهادات من جميع العقد في نظام المجموعة الوجهة إلى خادم SFTP.

في الإطار المنبثق لتصدير الشهادات المجمعة، حدد الكل ل نوع الشهادة ثم انقر على تصدير.

حدد الكل لنوع الشهادة ثم انقر تصدير

قم بإغلاق النافذة وتحديث "إدارة الشهادات المجمعة" باستخدام ملفات PKCS12 التي تم إنشاؤها لكل عقد من العقد الموجودة في المجموعة الوجهة، حيث يتم تحديث صفحة الويب بهذه المعلومات كما هو موضح في الصورة.

تحديثات إدارة الشهادات المجمعة مع ملفات PKCS12

تصدير شهادات نظام المجموعة المصدر

الخطوة 1. قم بتكوين خادم SFTP لإدارة الشهادات المجمعة على ناشر CUCM الخاص بنظام المجموعة المصدر.

في هذا المثال، إصدار CUCM الخاص بنظام المجموعة المصدر هو 10.5.2.

انتقل إلى إدارة Cisco الموحدة لنظام التشغيل > الأمان > إدارة الشهادات المجمعة أدخل تفاصيل خادم SFTP وانقر على تصدير.

ملاحظة: تظهر ملفات PKCS12 التي تم تصديرها من نظام المجموعة الوجهة إلى خادم SFTP على صفحة الويب المصدر الخاصة بإدارة الشهادات المجمعة ل CUCM Publisher Bulk Certificate Management عند الوصول إليها.

أدخل تفاصيل خادم SFTP وانقر فوق تصدير

الخطوة 2. تصدير جميع الشهادات من جميع العقد في نظام المجموعة المصدر إلى خادم SFTP.

في الإطار المنبثق لتصدير الشهادات المجمعة، حدد الكل لنوع الشهادة ثم انقر على تصدير:

تصدير نوع الشهادة الكل

انقر فوق إغلاق" لإغلاق هذا الإطار. تقوم "إدارة الشهادات المجمعة" بتحديث ملفات PKCS12 التي تم إنشاؤها لكل عقد في نظام المجموعة المصدر، حيث يتم تحديث صفحة الويب بهذه المعلومات. تعرض صفحة ويب الخاصة بإدارة الشهادات المجمعة الخاصة بنظام المجموعة المصدر الآن كل من ملفات PKCS12 المصدر والوجهة التي تم تصديرها إلى SFTP.

ملفات PKCS12 المصدرة إلى SFTP.

دمج ملفات PKCS12 المصدر والوجهة

ملاحظة: في حين يتم تصدير إدارة الشهادات المجمعة على كل من مجموعتي المصدر والوجهة، يتم الدمج من خلال ناشر CUCM في واحدة فقط من المجموعات.

الخطوة 1. ارجع إلى صفحة إدارة الشهادات المجمعة الخاصة بناشر CUCM الخاص بنظام المجموعة المصدر وانقر فوق دمج:

انقر فوق دمج

في الإطار المنبثق دمج الشهادات المجمعة، حدد الكل ل نوع الشهادة ثم انقر على دمج. انقر فوق إغلاق" لإغلاق هذا الإطار.

دمج كافة أنواع الشهادات

في أي وقت، يمكنك التحقق من دليل SFTP للتحقق من ملفات PKCS12 الموجودة لكل من مجموعات المصدر والوجهة. تم إكمال محتويات دليل SFTP بعد تصدير جميع الشهادات، من كل من مجموعات الوجهة والمصدر. هذا موضح في الصور التالية.

محتويات دليل SFTP بعد تصدير جميع الشهادات

محتويات دليل SFTP

إستيراد الشهادات إلى مجموعات الوجهة والمصدر

الخطوة 1. إستيراد الشهادات إلى نظام المجموعة الوجهة.

في برنامج ناشر CUCM الخاص بالمجموعة الوجهة، انتقل إلى إدارة نظام التشغيل الموحد من Cisco > الأمان > إدارة الشهادات المجمعة وترك تحديث الصفحة، ثم انقر على إستيراد:

في الإطار المنبثق إستيراد الشهادات المجمعة، حدد الكل ل نوع الشهادة ثم انقر على الاستيراد. انقر فوق إغلاق" لإغلاق هذا الإطار.

تحديد الكل ثم الاستيراد

الخطوة 2. كرر الخطوة 1 لنظام المجموعة المصدر.

ملاحظة: عند إجراء إستيراد الشهادات المجمعة، يتم تحميل الشهادات إلى نظام المجموعة البعيدة بهذه الطريقة:
- يتم تحميل شهادة "وظيفة وكيل المرجع المصدق" (CAPF) كوضع ثقة CallManager.
- يتم تحميل شهادة Tomcat كوديعة
- يتم تحميل شهادة CallManager كوثيقة Phone-Ast و CallManager.
- يتم تحميل شهادة إسترداد قائمة هوية الثقة (ITLRecovery) كوثيقة Phone-Ast-Trust و CallManager-trust.

تكوين هواتف نظام المجموعة المصدر باستخدام معلومات خادم TFTP لنظام المجموعة الوجهة

قم بتكوين نطاق DHCP لهواتف نظام المجموعة المصدر باستخدام خيار بروتوكول نقل الملفات المبسط (TFTP) 150 للإشارة إلى خوادم نظام المجموعة الوجهة CUCM TFTP.

إعادة ضبط هواتف نظام المجموعة المصدر للحصول على ملف ITL/CTL لنظام المجموعة الوجهة لإكمال عملية الترحيل

كجزء من عملية الترحيل، تحاول هواتف نظام المجموعة المصدر إعداد اتصال آمن بنظام المجموعة المصدر Cisco Trust Verification Service (TVS) للتحقق من صحة نظام المجموعة الوجهة CallManager أو شهادة ITLRecovery.

ملاحظة: إما أن الشهادة المصدر لعقدة CallManager من خادم CUCM الذي يشغل خدمة TFTP (المعروفة أيضا بشهادة TFTP) أو أن شهادة ITLRecovery الخاصة بها توقع على ملف قائمة ثقة عقدة CUCM و/أو ملف قائمة تأمين الهوية (ITL) لنظام المجموعة المصدر. وعلى نحو مماثل، إما أن توقع شهادة نظام المجموعة الوجهة CallManager من خادم CUCM الذي يشغل خدمة TFTP أو شهادة ITLRecovery الخاصة بها على CTL و/أو ملف ITL لعقدة CUCM لنظام المجموعة الوجهة. يتم إنشاء ملفات CTL و ITL على عقد CUCM التي تقوم بتشغيل خدمة TFTP. في حالة عدم التحقق من صحة ملف CTL و/أو ITL لنظام المجموعة الوجهة بواسطة أجهزة التلفزيون المصدر، يفشل ترحيل الهاتف إلى نظام المجموعة الوجهة.

ملاحظة: قبل بدء عملية ترحيل هاتف نظام المجموعة المصدر، تأكد من أن هذه الهواتف تحتوي على ملف CTL و/أو ITL صالح مثبت. تأكد أيضا من أن ميزة المؤسسة إعداد نظام المجموعة للرجوع إلى ما قبل 8.0 تم تعيينه إلى "خطأ" لنظام المجموعة المصدر. تحقق بالإضافة إلى ذلك من أن عقد CUCM الخاصة بمجموعة الوجهة التي تقوم بتشغيل خدمة TFTP بها ملفات CTL و/أو ITL صحيحة مثبتة.

هذه هي العملية التي تتم دون تأمين نظام المجموعة للهواتف المصدر للحصول على ملف ITL لنظام المجموعة الوجهة لإكمال ترحيل الهواتف:

الخطوة 1. لا يمكن إستخدام CallManager ولا شهادة ITLRecovery المضمنة في ملف ITL لنظام المجموعة الوجهة، والتي يتم تقديمها إلى هاتف نظام المجموعة المصدر عند إعادة التعيين، للتحقق من صحة ملف ITL المثبت حاليا. وهذا يتسبب في قيام هاتف نظام المجموعة المصدر بإنشاء اتصال بأجهزة التلفزيون الخاصة بنظام المجموعة المصدر للتحقق من ملف ITL لنظام المجموعة الوجهة.
الخطوة 2. ينشئ الهاتف اتصالا بأجهزة تلفاز نظام المجموعة المصدر على منفذ TCP 2445.
الخطوة 3. يعرض نظام المجموعة المصدر TVS شهادته على الهاتف. يتحقق الهاتف من صحة الاتصال ويطلب من أجهزة TVS لنظام المجموعة المصدر التحقق من صحة شهادة CallManager أو ITLRecovery لنظام المجموعة الوجهة للسماح للهاتف بتنزيل ملف ITL لنظام المجموعة الوجهة.
الخطوة 4. بعد التحقق من صحة ملف ITL لنظام المجموعة الوجهة وتثبيته، يمكن لهاتف نظام المجموعة المصدر التحقق من صحة ملفات التكوين الموقعة وتنزيلها من نظام المجموعة الوجهة.

هذه هي العملية التي تتم من خلال نظام المجموعة الآمنة للهواتف المصدر للحصول على ملف CTL لنظام المجموعة الوجهة لإكمال عملية ترحيل الهواتف:

الخطوة 1. يجري تمهيد الهاتف ويحاول تنزيل ملف CTL من نظام المجموعة الوجهة.
الخطوة 2. يتم توقيع ملف CTL من قبل نظام المجموعة الوجهة CallManager أو شهادة ITLRecovery التي ليست موجودة في ملف CTL أو ITL الحالي للهاتف.
الخطوة 3. ونتيجة لذلك، يتصل الهاتف بالتلفاز على نظام المجموعة المصدر للتحقق من شهادة CallManager أو ITLRecovery.

ملاحظة: في هذه المرحلة، لا يزال للهاتف التكوين القديم الخاص به الذي يحتوي على عنوان IP الخاص بخدمة أجهزة التلفزيون الخاصة بمجموعة المصادر. خوادم TVS المحددة في تكوين الهواتف هي نفسها مجموعة CallManager للهواتف.

الخطوة 4. يقوم الهاتف بإعداد اتصال "أمان طبقة النقل (TLS)" بالتلفاز في مجموعة المصدر.
الخطوة 5. عندما يقدم مصدر نظام المجموعة TVS شهادته إلى الهاتف، يتحقق الهاتف من شهادة TVS هذه مقابل الشهادة في ملف ITL الحالي.
الخطوة 6. إذا كانا متماثلين، تكتمل المصافحة بنجاح.
الخطوة 7. يطلب الهاتف المصدر أن يقوم نظام المجموعة المصدر TVS بالتحقق من شهادة CallManager أو ITLRecovery من ملف CTL لنظام المجموعة الوجهة.
الخطوة 8. تبحث خدمة TVS المصدر عن CallManager أو ITLRecovery لنظام المجموعة الوجهة في مخزن الشهادات الخاص بها، وتتحقق من صحته ويمضي هاتف نظام المجموعة المصدر في التحديث باستخدام ملف CTL لنظام المجموعة الوجهة.
الخطوة 9. يقوم الهاتف المصدر بتنزيل ملف ITL لنظام المجموعة الوجهة الذي تم التحقق من صحته مقابل ملف CTL لنظام المجموعة الوجهة الذي يحتوي عليه الآن. وبما أن ملف CTL الخاص بالهاتف المصدر يحتوي الآن على نظام المجموعة الوجهة CallManager أو شهادة ITLRecovery، يمكن للهاتف المصدر التحقق الآن من شهادة CallManager أو ITLRecovery دون الحاجة إلى الاتصال بأجهزة التلفزيون الخاصة بنظام المجموعة المصدر.

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.

فيديو التكوين

يوفر هذا الرابط الوصول إلى فيديو يسير في إدارة الشهادات المجمعة بين مجموعات CUCM:

إدارة الشهادات المجمعة بين مجموعات CUCM

معلومات ذات صلة

• إدارة قسم الشهادات المجمعة من دليل الإدارة ل CUCM الإصدار 12.5(1)
• إدارة الشهادات المجمعة بين مجموعات CUCM
• الدعم الفني والتنزيلات من Cisco