Configurare Tomcat Certificate Reuse per CallManager in CUCM 14
Introduzione
Questo documento descrive come riutilizzare il certificato Multi-SAN Tomcat per CallManager su un server Cisco Unified Communications Manager (CUCM).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- certificati CUCM
- Strumento di monitoraggio in tempo reale (RTMT)
- ITL (Identity Trust List)
Componenti usati
Il riferimento delle informazioni contenute in questo documento è CUCM 14.0.1.13900-155.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
I due servizi principali per CUCM sono Tomcat e CallManager. Nelle versioni precedenti per il cluster completo erano necessari certificati diversi per ogni servizio. In CUCM versione 14 è stata aggiunta una nuova funzionalità per riutilizzare il certificato Multi-SAN Tomcat anche per il servizio CallManager. L'utilizzo di questa funzione offre i seguenti vantaggi:
- Riduce i costi per ottenere due certificati firmati da un'Autorità di certificazione pubblica (CA) per un cluster di certificati firmati da CA.
- Questa funzione riduce le dimensioni del file ITL, riducendo in tal modo il sovraccarico.
Configurazione
Attenzione: prima di caricare un certificato Tomcat, verificare che Single Sign-On (SSO) sia disabilitato. Se è attivata, l'SSO deve essere disattivato e riattivato al termine del processo di rigenerazione dei certificati Tomcat.
1. Impostare il certificato Tomcat come Multi-SAN
In CUCM 14, il certificato Tomcat Multi-SAN può essere autofirmato o firmato dalla CA. Se il certificato Tomcat è già Multi-SAN, ignorare questa sezione.
Autofirmato
Passaggio 1. Accedi a Publisher > Operating System (OS) Administration e passare a Security > Certificate Management > Generate Self-Signed.
Passaggio 2. Scegli Certificate Purpose: tomcat > Distribution: Multi-Server SAN. Viene eseguito il popolamento automatico dei domini SAN e del dominio padre.
Schermata Genera certificato Tomcat multifirma autografato
Passaggio 3. Fare clic su Generatee verificare che tutti i nodi siano elencati nella Certificate upload operation successful messaggio. Fare clic su Close.
Genera messaggio di completamento Tomcat multiSAN con firma automatica
Passaggio 4. Riavviare il servizio Tomcat, aprire una sessione CLI in tutti i nodi del cluster ed eseguire utils service restart Cisco Tomcat
Passaggio 5. Passare alla Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services e riavviare Cisco DRF Master Service e Cisco DRF Local Service.
Passaggio 6. Passa a ogni Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services e riavvia Cisco DRF Local Service.
Con firma CA
Passaggio 1. Accedi a Publisher > Operating System (OS) Administration e passare a Security > Certificate Management > Generate CSR.
Passaggio 2. Scegli Certificate Purpose: tomcat > Distribution: Multi-Server SAN. Viene eseguito il popolamento automatico dei domini SAN e del dominio padre.
Schermata Genera CSR multi-SAN per certificato Tomcat
Passaggio 3. Fare clic su Generatee verificare che tutti i nodi siano elencati nella CSR export operation successful messaggio. Fare clic su Close.
Genera messaggio di riuscita CSR multi-SAN Tomcat
Passaggio 4. Fare clic su Download CSR > Certificate Purpose: tomcat > Download.
Schermata Download CSR Tomcat
Passaggio 5. Inviare il CSR alla CA per la firma.
Passaggio 6. Per caricare la catena di attendibilità CA, passare a Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust. Impostare la descrizione del certificato ed esplorare i file della catena di attendibilità.
Passaggio 7. Caricare il certificato firmato dalla CA, passare a Certificate Management > Upload certificate > Certificate Purpose: tomcat. Impostare la descrizione del certificato e sfogliare il file del certificato firmato dalla CA.
Passaggio 8. Riavviare il servizio Tomcat, aprire una sessione CLI in tutti i nodi del cluster ed eseguire utils service restart Cisco Tomcat
Passaggio 9. Passare alla Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services e riavviare Cisco DRF Master Service e Cisco DRF Local Service.
Passaggio 10. Passa a ogni Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services e riavvia Cisco DRF Local Service.
2. Riutilizzare il certificato Tomcat per CallManager
Attenzione: per CUCM 14, un nuovo parametro enterprise Phone Interaction on Certificate Update introdotta. Utilizzare questo campo per reimpostare i telefoni manualmente o automaticamente in base alle esigenze quando viene aggiornato uno dei certificati TVS, CAPF o TFTP (CallManager/ITLRecovery). Per impostazione predefinita, questo parametro è impostato su reset the phones automatically
Passaggio 1. Passare all'editore CUCM e quindi a Cisco Unified OS Administration > Security > Certificate Management.
Passaggio 2. Fare clic su Reuse Certificate.
Passaggio 3. Dal choose Tomcat type elenco a discesa, scegliere tomcat.
Passaggio 4. Dal Replace Certificate for the following purpose , controllare la CallManager .
Schermata Riutilizza certificato Tomcat per altri servizi
Nota: se si sceglie Tomcat come tipo di certificato, CallManager viene abilitato come sostituzione. Se si sceglie tomcat-ECDSA come tipo di certificato, CallManager-ECDSA viene abilitato come tipo sostitutivo.
Passaggio 5. Fare clic su Finish per sostituire il certificato CallManager con il certificato Tomcat Multi-SAN.
Riutilizza messaggio di certificato Tomcat riuscito
Passaggio 6. Riavviare il servizio Cisco HAProxy, aprire una sessione CLI in tutti i nodi del cluster ed eseguire utils service restart Cisco HAProxy
Nota: per determinare se il cluster è in modalità mista, passare a Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode (0 = Non Protetto; 1 = Modalità Mista).
Passaggio 7. Se il cluster è in modalità mista, aprire una sessione CLI nel nodo Publisher ed eseguire utils ctl update CTLFile e reimpostare tutti i telefoni del cluster per rendere effettivi gli aggiornamenti del file CTL.
Verifica
Passaggio 1. Passare all'editore CUCM e quindi a Cisco Unified OS Administration > Security > Certificate Management.
Passaggio 2. Filtra per Find Certificate List where: Usage > begins with: identity e fare clic su Find.
Passaggio 3. I certificati CallManager e Tomcat devono terminare con lo stesso Common Name_Serial Number valore.
Verifica riutilizzo certificati Tomcat per CallManager
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
11-Oct-2023 |
Versione iniziale |
Feedback