전화 마이그레이션을 위한 CUCM 클러스터 간 벌크 인증서 관리

다운로드 옵션

  • PDF     (1.9 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (1.9 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (883.1 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2024년 5월 14일
문서 ID:215539

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 전화 마이그레이션을 위해 CUCM(Cisco Unified Communications Manager) 클러스터 간의 대량 인증을 관리하는 방법에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
    · SFTP(Secure File Transfer Protocol) 서버
    · CUCM 인증서

    사용되는 구성 요소

    이 문서의 정보는 CUCM 10.X를 기반으로 합니다.

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    배경 정보

    참고: 이 절차는 CUCM Release 12.5(1)용 관리 설명서의 대량 인증서 관리 섹션에도 설명되어 있습니다

    Bulk Certificate Management(대량 인증서 관리)에서는 CUCM 클러스터 간에 인증서 집합을 공유할 수 있습니다. 이 단계는 EMCC(Extension Mobility Cross Cluster), 클러스터 간 전화 마이그레이션 등과 같이 클러스터 간에 신뢰를 설정해야 하는 개별 클러스터의 시스템 기능에 대한 요구사항입니다.

    절차의 일부로 클러스터의 모든 노드에서 가져온 인증서가 포함된 PKCS12(Public Key Cryptography Standards #12) 파일이 생성됩니다. 모든 클러스터는 인증서를 동일한 SFTP 서버의 동일한 SFTP 디렉토리로 내보내야 합니다. 소스 및 대상 클러스터의 CUCM 게시자에서 수동으로 대량 인증서 관리 컨피그레이션을 수행해야 합니다. 마이그레이션할 전화기가 두 클러스터 모두에 연결할 수 있도록 소스 및 대상 클러스터가 가동되고 작동해야 합니다. 소스 클러스터 폰은 대상 클러스터로 마이그레이션됩니다.

    대량 인증서 관리 절차

    대상 클러스터 인증서 내보내기

    1단계. 대상 클러스터의 CUCM 게시자에 대한 대량 인증서 관리를 위해 SFTP 서버를 구성합니다.

    이 예에서 대상 클러스터 CUCM 버전은 11.5.1입니다.

    Cisco Unified OS Administration(Cisco Unified OS 관리) > Security(보안) > Bulk Certificate Management(대량 인증서 관리)로 이동합니다. SFTP 서버 세부사항을 입력하고 Export(내보내기)를 클릭합니다.

    SFTP 서버 세부 정보를 입력하고 Export(내보내기)를 클릭합니다.SFTP 서버 세부 정보를 입력하고 Export(내보내기)를 클릭합니다.

    2단계. 대상 클러스터의 모든 노드에서 모든 인증서를 SFTP 서버로 내보냅니다.

    Bulk Certificate Export(대량 인증서 내보내기) 팝업 창에서 Certificate Type(인증서 유형)에 대해 All(모두)을 선택한 다음 Export(내보내기)를 클릭합니다.

    Certificate Type(인증서 유형)에 All(모두)을 선택하고 Export(내보내기)를 클릭합니다Certificate Type(인증서 유형)에 All(모두)을 선택하고 Export(내보내기)를 클릭합니다


    창을 닫고 대상 클러스터의 각 노드에 대해 생성된 PKCS12 파일을 사용하여 Bulk Certificate Management를 업데이트하면 이미지에 표시된 대로 웹 페이지가 이 정보로 새로 고쳐집니다.

    PKCS12 파일을 사용한 대량 인증서 관리 업데이트PKCS12 파일을 사용한 대량 인증서 관리 업데이트

    소스 클러스터 인증서 내보내기

    1단계. 소스 클러스터의 CUCM 게시자에 대한 대량 인증서 관리를 위해 SFTP 서버를 구성합니다.

    이 예에서 소스 클러스터 CUCM 버전은 10.5.2입니다.

    Cisco Unified OS Administration(Cisco Unified OS 관리) > Security(보안) > Bulk Certificate Management(대량 인증서 관리)로 이동하여 SFTP 서버 세부 정보를 입력하고 Export(내보내기)를 클릭합니다.

    참고: 대상 클러스터에서 SFTP 서버로 내보낸 PKCS12 파일은 액세스할 때 소스 클러스터 CUCM 게시자 대량 인증서 관리 웹 페이지에 표시됩니다.

    SFTP 서버 입력 세부사항 및 Export(내보내기)를 클릭합니다SFTP 서버 세부사항을 입력하고 Export(내보내기)를 클릭합니다

    2단계. 소스 클러스터의 모든 노드에서 모든 인증서를 SFTP 서버로 내보냅니다.

    Bulk Certificate Export(대량 인증서 내보내기) 팝업 창에서 Certificate Type(인증서 유형)에 대해 All(모두)을 선택한 다음 Export(내보내기)를 클릭합니다.

    인증서 유형 모두 내보내기인증서 유형 모두 내보내기


    을 닫으려면 닫기를 클릭합니다. 벌크 인증서 관리는 소스 클러스터의 각 노드에 대해 생성된 PKCS12 파일을 사용하여 업데이트되며, 웹 페이지는 이 정보를 사용하여 새로 고쳐집니다. 이제 소스 클러스터의 대량 인증서 관리를 위한 웹 페이지에 SFTP로 내보낸 소스 및 대상 PKCS12 파일이 모두 표시됩니다.

    SFTP로 내보낸 PKCS12 파일SFTP로 내보낸 PKCS12 파일

    소스 및 대상 PKCS12 파일 통합

    참고: 대량 인증서 관리 내보내기는 소스 및 대상 클러스터 모두에서 수행되는 반면, 통합은 클러스터 중 하나에서만 CUCM 게시자를 통해 수행됩니다.

    1단계. 소스 클러스터의 CUCM 게시자에 있는 Bulk Certificate Management 페이지로 돌아가 Consolidate를 클릭합니다.

    통합을 클릭합니다.통합을 클릭합니다.

    Bulk Certificate Consolidate 팝업에서 Certificate Type(인증서 유형)All(모두)을 선택한 다음 Consolidate(통합)를 클릭합니다을 닫으려면 닫기를 클릭합니다.

    모든 인증서 유형 통합모든 인증서 유형 통합

    언제든지 SFTP 디렉토리를 확인하여 소스 및 대상 클러스터 모두에 대해 포함된 pkcs12 파일을 확인할 수 있습니다. 대상 및 소스 클러스터 모두에서 모든 인증서 내보내기가 완료된 후 SFTP 디렉토리의 내용입니다. 이 내용은 다음 그림에 나와 있습니다.

    모든 인증서 내보내기 후의 SFTP 디렉토리 내용모든 인증서 내보내기 후의 SFTP 디렉토리 내용

    SFTP 디렉토리의 내용SFTP 디렉토리의 내용

    목적지 및 소스 클러스터로 인증서 가져오기

    1단계. 인증서를 대상 클러스터로 가져옵니다.

    대상 클러스터의 CUCM 게시자에서 Cisco Unified OS Administration(Cisco Unified OS 관리) > Security(보안) > Bulk Certificate Management(대량 인증서 관리)로 이동하여 페이지를 새로 고친 다음 Import(가져오기)를 클릭합니다.

    SFTP 가져오기

    Bulk Certificate Import(대량 인증서 가져오기) 팝업 창에서 Certificate Type(인증서 유형)에 대해 All(모두)을 선택한 다음 Import(가져오기)를 클릭합니다.을 닫으려면 닫기를 클릭합니다.

    모두 선택 후 가져오기모두 선택 후 가져오기

    2단계. 소스 클러스터에 대해 1단계를 반복합니다.

    참고: 대량 인증서 가져오기를 수행하면 다음과 같은 방법으로 인증서가 원격 클러스터에 업로드됩니다.
    - CAPF(Certificate Authority Proxy Function) 인증서가 CallManager-trust로 업로드됩니다.
    - Tomcat 인증서가 tomcat 트러스트로 업로드됩니다.
    - CallManager 인증서가 Phone-SAST-trust 및 CallManager-trust로 업로드됩니다.
    - ITLRecovery(ID 신뢰 목록 복구) 인증서가 Phone-SAST-trust 및 CallManager-trust로 업로드됩니다.

    대상 클러스터 TFTP 서버 정보로 소스 클러스터 폰 구성

    대상 클러스터 CUCM TFTP 서버를 가리키도록 TFTP(Trivial File Transfer Protocol) 옵션 150을 사용하여 소스 클러스터 전화기의 DHCP 범위를 구성합니다.

    마이그레이션 프로세스를 완료하기 위해 대상 클러스터 ITL/CTL 파일을 가져오도록 소스 클러스터 폰 재설정

    마이그레이션 프로세스의 일부로 소스 클러스터 폰이 소스 클러스터 Cisco TVS(Trust Verification Service)에 대한 보안 연결을 설정하여 대상 클러스터 CallManager 또는 ITLRecovery 인증서를 확인합니다.

    참고: TFTP 서비스를 실행하는 CUCM 서버의 소스 클러스터 CallManager 인증서(TFTP 인증서라고도 함) 또는 해당 ITLRecovery 인증서는 소스 클러스터 CUCM 노드 CTL(Certificate Trust List) 및/또는 ITL(Identity Trust List) 파일에 서명합니다. 마찬가지로 TFTP 서비스를 실행하는 CUCM 서버의 대상 클러스터 CallManager 인증서 또는 해당 ITLRecovery 인증서는 대상 클러스터 CUCM 노드 CTL 및/또는 ITL 파일에 서명합니다. TFTP 서비스를 실행하는 CUCM 노드에서 CTL 및 ITL 파일이 생성됩니다. 소스 클러스터 TVS에서 대상 클러스터 CTL 및/또는 ITL 파일을 검증하지 않으면 대상 클러스터로의 전화 마이그레이션이 실패합니다.

    참고: 소스 클러스터 전화기 마이그레이션 프로세스를 시작하기 전에 이러한 전화기에 유효한 CTL 및/또는 ITL 파일이 설치되어 있는지 확인하십시오. 또한 엔터프라이즈 기능인 Prepare Cluster for Rollback to Pre 8.0이 소스 클러스터에 대해 False로 설정되어 있는지 확인합니다. 또한 TFTP 서비스를 실행하는 대상 클러스터 CUCM 노드에 유효한 CTL 및/또는 ITL 파일이 설치되어 있는지 확인합니다.

    이는 소스 폰에 대한 보안 클러스터가 없는 프로세스에서 대상 클러스터 ITL 파일을 가져와 폰 마이그레이션을 완료하는 것입니다.

    1단계. 재설정 시 소스 클러스터 전화기에 제공되는 대상 클러스터 ITL 파일에 포함된 CallManager 및 ITLRecovery 인증서는 현재 설치된 ITL 파일의 유효성을 검사하는 데 사용할 수 없습니다. 이렇게 하면 소스 클러스터 폰에서 소스 클러스터의 TVS에 대한 연결을 설정하여 대상 클러스터 ITL 파일을 검증합니다.
    2단계. 전화기는 tcp 포트 2445에서 소스 클러스터 TVS에 대한 연결을 설정합니다.
    3단계. 소스 클러스터 TVS가 전화기에 인증서를 제공합니다. 전화기가 연결을 확인하고 소스 클러스터 TVS에 대상 클러스터 CallManager 또는 ITLRecovery 인증서를 검증하여 전화기가 대상 클러스터 ITL 파일을 다운로드할 수 있도록 요청합니다.
    4단계. 대상 클러스터 ITL 파일의 유효성 검사 및 설치가 끝나면 소스 클러스터 전화기에서 서명된 컨피그레이션 파일을 대상 클러스터에서 검증하고 다운로드할 수 있습니다.

    다음은 소스 폰에 대한 보안 클러스터가 대상 클러스터 CTL 파일을 가져와서 폰의 마이그레이션을 완료하는 프로세스입니다.

    1단계. 전화기가 부팅되고 대상 클러스터에서 CTL 파일의 다운로드를 시도합니다.
    2단계. CTL 파일은 현재 CTL 또는 ITL 파일에 없는 대상 클러스터 CallManager 또는 ITLRecovery 인증서에 의해 서명됩니다.
    3단계. 따라서 전화기가 소스 클러스터의 TVS에 도달하여 CallManager 또는 ITLRecovery 인증서를 확인합니다.

    참고: 이 시점에서도 전화기의 이전 컨피그레이션에는 소스 클러스터 TVS 서비스의 IP 주소가 포함되어 있습니다. 전화기 컨피그레이션에 지정된 TVS 서버는 전화기 CallManager 그룹과 동일합니다.

    4단계. 이 전화기는 소스 클러스터의 TVS에 대한 TLS(Transport Layer Security) 연결을 설정합니다.
    5단계. 소스 클러스터 TVS가 해당 인증서를 전화기에 제공할 때 전화기는 현재 ITL 파일의 인증서와 비교하여 이 TVS 인증서를 확인합니다.
    6단계. 동일한 경우 핸드셰이크가 성공적으로 완료됩니다.
    7단계. 소스 전화기는 소스 클러스터 TVS가 대상 클러스터 CTL 파일에서 CallManager 또는 ITLRecovery 인증서를 확인하도록 요청합니다.
    8단계. 소스 TVS 서비스가 인증서 저장소에서 대상 클러스터 CallManager 또는 ITLRecovery를 찾아 검증하고 소스 클러스터 폰이 대상 클러스터 CTL 파일을 사용하여 업데이트를 진행합니다.
    9단계. 소스 전화기는 현재 포함된 대상 클러스터 CTL 파일에 대해 검증된 대상 클러스터 ITL 파일을 다운로드합니다. 소스 전화 CTL 파일에 이제 대상 클러스터 CallManager 또는 ITLRecovery 인증서가 포함되므로 소스 전화기는 소스 클러스터 TVS에 연결하지 않고도 CallManager 또는 ITLRecovery 인증서를 확인할 수 있습니다.

    다음을 확인합니다.

    현재 이 설정에 사용 가능한 확인 절차는 없습니다.

    문제 해결

    현재 이 설정에 사용할 수 있는 특정 문제 해결 정보가 없습니다.

    컨피그레이션 비디오

    이 링크를 클릭하면 CUCM 클러스터 간의 대량 인증서 관리를 안내하는 비디오에 액세스할 수 있습니다.

    CUCM 클러스터 간 벌크 인증서 관리

    관련 정보

    개정 이력

    개정 게시 날짜 의견
    3.0
    14-May-2024
    재인증
    1.0
    20-May-2020
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 에이드리언 에스퀼로
      Cisco 기술 컨설팅 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품