Expressway 인증서 갱신

다운로드 옵션

  • PDF     (398.7 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (202.6 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (227.1 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2024년 8월 13일
문서 ID:218034

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 Expressway/VCS(Video Communication Server) 인증서 갱신 프로세스에 대해 설명합니다.

    배경 정보

    이 문서의 정보는 Expressway 및 VCS에 모두 적용됩니다. 이 문서는 Expressway를 참조하지만 VCS와 상호 교환할 수 있습니다.

    참고: 이 문서는 인증서 갱신 프로세스에 도움이 되도록 설계되었지만, 사용 중인 버전에 대한 Cisco Expressway 인증서 생성 및 사용 구축 가이드도 확인하는 것이 좋습니다.

    인증서를 갱신할 때마다 두 가지 주요 사항을 고려해야 새 인증서가 설치된 후에도 시스템이 계속 제대로 작동하는지 확인할 수 있습니다.

    1. 새 인증서의 특성은 이전 인증서의 특성과 일치해야 합니다(주로 주체 대체 이름 및 확장 키 사용).

    2. 새 인증서에 서명하는 CA(Certification Authority)는 Expressway와 직접 통신하는 다른 서버(예: CUCM, Expressway-C, Expressway-E 등)로부터 신뢰받아야 합니다.

    Process

    A) 현재 인증서에서 정보 가져오기

    1. Open Expressway 웹 페이지 유지 관리 > 보안 > 서버 인증서 > 디코딩된 표시 를 선택합니다.

    2. 열리는 새 창에서 Subject Alternative NameAuthority Key Identifier X509v3 확장 프로그램을 메모장 문서에 복사합니다.

    Show decoded certificate(디코딩된 인증서 창 표시)"Show decoded" 인증서 창

    B) CSR(Certificate Signing Request)을 생성하고 서명을 위해 CA(Certificate Authority)에 전송합니다.

    1. Expressway 웹 페이지 유지 관리 > 보안 > 서버 인증서 > CSR 생성.

    2. Generate CSR(CSR 생성) 창의 Additional alternative names (comma separated)(추가 대체 이름(쉼표로 구분)) 필드에서 섹션 A에 저장된 주체 대체 이름의 모든 값을 입력하고 DNS: 및 쉼표로 목록을 구분합니다.

    이 이미지의 Alternative name(대체 이름) 옆에 인증서에 사용할 모든 SAN 목록이 있습니다.)

    CSR SAN 항목 생성CSR SAN 항목 생성

    3. 추가 정보 섹션 아래에 나머지 정보(국가, 회사, 주 등)를 입력하고 CSR 생성을 클릭합니다.

    4. CSR을 생성한 후 Maintenance(유지 관리) > Security(보안) > Server Certificate(서버 인증서) 페이지에는 CSR을 폐기하고 다운로드하는 옵션표시됩니다. Download(다운로드)를 선택하고 서명을 위해 CSR을 CA에 전송합니다.

    참고: 새 인증서를 설치하기 전에 CSR을 폐기하지 마십시오. Discard CSR(CSR 폐기)을 수행한 다음 폐기된 CSR로 서명된 인증서를 설치하려고 하면 인증서 설치가 실패합니다.

    C) 새 인증서에서 SAN 목록 및 확장/확장 키 사용 특성을 확인합니다

    Windows 인증서 관리자에서 새로 서명된 인증서를 열고 다음을 확인합니다.

    1. SAN 목록은 CSR을 생성한 후 사용한 섹션 A에 저장한 SAN 목록과 일치합니다.

    2. "확장/확장 키 사용" 속성에는 클라이언트 인증서버 인증이 모두 포함되어야 합니다.

    참고: 인증서의 확장명이 .pem인 경우 Windows Certificate Manager에서 열 수 있도록 이름을 .cer 또는 .crt로 변경합니다. Windows Certificate Manager에서 인증서를 연 후에는 Details(세부 사항) 탭 > Copy to File(파일에 복사)로 이동하여 Base64 인코딩 파일로 내보낼 수 있습니다. 일반적으로 Base64 인코딩 파일은 텍스트 편집기에서 열 때 위쪽에 "-----BEGIN CERTIFICATE-----"가 있고 아래쪽에 "-----END CERTIFICATE-----"가 있습니다

    D) 새 인증서를 서명한 CA가 이전 인증서를 서명한 CA와 동일한지 확인

    Windows 인증서 관리자에서 새로 서명된 인증서를 열고 권한 키 식별자 값을 복사하여 섹션 A에 저장한 권한 키 식별자 값과 비교합니다.

    Windows 인증서 관리자로 열린 새 인증서Windows 인증서 관리자로 열린 새 인증서

    두 값이 동일한 경우, 이는 이전 인증서를 서명하는 데 사용된 것과 동일한 CA가 새 인증서를 서명하는 데 사용되었음을 의미하며, E 섹션으로 이동하여 새 인증서를 업로드할 수 있습니다.

    값이 다르면 새 인증서를 서명하는 데 사용된 CA가 기존 인증서를 서명하는 데 사용된 CA와 다르며, E 섹션으로 진행하기 전에 수행해야 할 단계는 다음과 같습니다.

    1. 모든 중간 CA 인증서(있는 경우) 및 루트 CA 인증서를 가져옵니다.

    2. Maintenance(유지 관리) > Security(보안) > Trusted CA certificate(신뢰할 수 있는 CA 인증서)로 이동하여 Browse(찾아보기)를 클릭한 다음 컴퓨터에서 중간 CA 인증서를 검색하여 업로드합니다. 다른 중간 CA 인증서 및 루트 CA 인증서에 대해서도 동일한 작업을 수행합니다.

    3. 이 서버에 연결된 Expressway-E(갱신할 인증서가 Expressway-C 인증서인 경우) 또는 이 서버에 연결된 Expressway-C(갱신할 인증서가 Expressway-E 인증서인 경우)에서 동일한 작업을 수행합니다.

    4. 갱신할 인증서가 Expressway-C 인증서이고 MRA가 있거나 CUCM에 대한 보안 영역이 있는 경우

    • CUCM이 새 루트 및 중간 CA를 신뢰하는지 확인합니다.
    • 루트 및 중간 CA 인증서를 CUCM tomcat-trust 및 callmanager-trust 저장소에 업로드합니다.
    • CUCM에서 관련 서비스를 다시 시작합니다.

    E) 새 인증서 설치

    이전의 모든 포인트를 확인한 후에는 Maintenance(유지 관리) > Security(보안) > Server Certificate(서버 인증서)에서 Expressway에 새 인증서를 설치할 수 있습니다.

    Browse(찾아보기)를 클릭하고 컴퓨터에서 새 인증서 파일을 선택하여 업로드합니다.

    새 인증서를 설치한 후 Expressway를 다시 시작해야 합니다.

    참고: Maintenance(유지 관리) > Security(보안) > Server Certificate(서버 인증서)에서 Expressway로 업로드할 인증서에는 Expressway 서버 인증서만 포함되어 있고 전체 인증서 체인은 포함되어 있지 않은지 확인하고 Base64 인증서인지 확인합니다.

    여러 Expressway에 단일 인증서 추가:

    • 전체 expressway-e 클러스터에 대한 단일 인증서를 생성합니다. 
    • 모든 FQDN과 고속도로에서 사용하는 추가 기능(CMS 웹 가상화의 경우 가입 url 및 도메인, MRA의 경우 등록/로그인 도메인)을 포함하는 CSR을 생성합니다.

    예:
    Exwycluster.domain
    Exwy1.domain
    Exwy2.domain
    Exwy3.domain
    Exwy4.domain
    추가 기능(도메인 또는 CMS URL)

    • CSR이 완료되면 SFTP 프로그램을 사용하여 이 CSR의 개인 키를 추출할 수 있습니다(WinSCP 권장, 많이 사용).
    • WinSCP를 열고 CSR을 생성한 expressway-e에 연결합니다.
    • tandberg/persistent/certs/CSR 또는 인증서 서명 요청(표시 및 보류 중일 수 있음)으로 이동합니다.
    • expressway-e의 개인 키를 데스크톱에 복사합니다.
    • 그런 다음 4개 노드 모두에 동일한 인증서를 사용할 수 있습니다.

    개정 이력

    개정 게시 날짜 의견
    3.0
    13-Aug-2024
    재인증
    1.0
    08-Aug-2022
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 나트 오마트
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의