Upload Root/Intermediate Certificates of Expressway-Core naar CUCM

Downloadopties

  • PDF     (353.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (176.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (205.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 februari 2024
Document-id:217748

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u de root- en tussenliggende certificaten van CA's die Expressway-C-certificaten ondertekenden, kunt uploaden naar de CUCM-uitgever.

    Achtergrondinformatie

    Als gevolg van verbeteringen in de verkeersserverservice op Expressway in X14.0.2, verstuurt Expressway-C zijn clientcertificaat wanneer een server (CUCM) het vraagt voor services die worden uitgevoerd op poorten anders dan 8443 (bijvoorbeeld 6971,6972), zelfs als CUCM in niet-beveiligde modus staat. Wegens deze verandering, is het vereist dat het certificaat van Expressway-C ondertekenend de Instantie van het Certificaat (CA) in CUCM als zowel tomcat-vertrouwen als callmanager-vertrouwen wordt toegevoegd.

    Het niet uploaden van de Expressway-C ondertekening van CA op CUCM zorgt ervoor dat MRA inloggen mislukt na een upgrade van Expressways naar X14.0.2 of hoger.

    Opdat CUCM het certificaat vertrouwt dat Expressway-C verzendt, moet het tomcat-trust en callmanager-trust de wortel CA en om het even welke intermediaire CAs omvatten die bij het ondertekenen van het certificaat Expressway-C betrokken zijn.

    Configuratie

    Stap 1. Ontvang de Root en Intermediate Certificaten die het Expressway-C Server Certificaat hebben ondertekend

    Toen u aanvankelijk het servercertificaat ontving van een CA die dat servercertificaat ondertekende, hebt u ook de wortel en de middencertificaten voor dat servercertificaat en opgeslagen hen in een veilige plaats. Als u nog steeds deze bestanden hebt of ze opnieuw kunt downloaden van uw CA, kunt u naar stap 2 gaan waar u instructies kunt vinden hoe ze te uploaden naar CUCM.

    Als u deze bestanden niet meer hebt, kunt u ze downloaden van de Expressway-C web interface. Dit is een beetje gecompliceerd, dus het is sterk aanbevolen dat u contact opneemt met uw CA om de vertrouwenswinkel van hen te downloaden, indien mogelijk.

    Ga op de snelweg-C naar Onderhoud > Beveiliging > Servercertificaat en klik op de knop Weergeven (gedecodeerd) naast Servercertificaat. Dit opent een nieuw venster/tabblad met de inhoud van het Expressway-C servercertificaat. Je zoekt daar naar het veld Emittent:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            55:00:00:02:21:bb:2d:41:60:55:d7:b2:27:00:01:00:00:02:21
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=DigiCert Inc, CN=DigiCert Global CA-1
        Validity
            Not Before: Dec  8 10:36:57 2021 GMT
            Not After : Dec  8 10:36:57 2023 GMT
        Subject: C=BE, ST=Flamish-Brabant, L=Diegem, O=Cisco, OU=TAC, CN=vcs-c1.vngtp.lab
        Subject Public Key Info:
    ...

    In dit voorbeeld wordt het Expressway-C servercertificaat afgegeven door een organisatie, DigiCert Inc. met de algemene naam DigiCert Global CA-1.

    Ga nu naar Onderhoud > Beveiliging > Betrouwbaar CA-certificaat en kijk in de lijst om te zien of u een certificaat hebt met exact dezelfde waarde in het veld Onderwerp. In dit voorbeeld is dat O=DigiCert Inc, CN=DigiCert Global CA-1 in het veld Onderwerp. Als je een overeenkomst vindt, betekent dit dat dit een intermediaire CA is. Je hebt dit bestand nodig, en je moet blijven zoeken tot je de wortel CA vindt.

    Als u geen overeenkomst kunt vinden, zoekt u naar een certificaat met deze waarde in het veld Emittent met een Onderwerp van overeenkomsten Emittent. Als u een overeenkomst vindt, betekent dit dat dit het wortel CA-bestand is en dit is het enige bestand dat we nodig zullen hebben.

    Expressway Trust StoreExpressway Trust Store

    In dit voorbeeld, na het vinden van het certificaat, merkt u op dat het veld Onderwerp niet overeenkomt met het veld Emittent. Dit betekent dat dit een tussentijds CA-certificaat is. U hebt dit certificaat nodig naast het basiscertificaat. Als de Onderwerp zei Matches Emittent dan zou je weten dat dit de wortel certificaat autoriteit en het enige certificaat dat je zou moeten vertrouwen.

    Als je een tussentijds certificaat hebt, moet je doorgaan tot we het basiscertificaat vinden. Om dit te doen, kijkt u naar het veld Emittent voor uw tussencertificaat. Vervolgens zoekt u een certificaat met dezelfde waarde in het veld Onderwerp. In ons geval is dit O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA - U zoekt een certificaat met deze waarde in het veld Onderwerp. Als u geen bijpassend certificaat kunt vinden, zoekt u deze waarde in het veld Emittent met een Onderwerp van Matches Emittent.

    In dit voorbeeld ziet u dat ons Expressway-C servercertificaat is ondertekend door tussenpersoon CA O=DigiCert Inc, CN=DigiCert Global CA-1 die is ondertekend door root CA O=DigiCert Inc. OU=www.digicert.com, CN=DigiCert Global Root CA. Aangezien u de wortel CA hebt gevonden wordt u gedaan. Als u echter een andere tussenliggende CA hebt gevonden, moet u dit proces voortzetten tot u elke tussenliggende CA en de wortel CA hebt geïdentificeerd.

    Klik op de knop Alles weergeven (PEM-bestand) onder de lijst om de basisbestanden en tussenliggende certificaatbestanden te downloaden. Dit toont u alle wortel en de middencertificaten in formaat PEM. Scroll naar beneden tot u een certificaat vindt dat overeenkomt met een van uw tussenliggende certificaten of het basiscertificaat. In dit voorbeeld, de eerste die u vindt is O=DigiCert Inc, CN=DigiCert Global Root CA - u gaat dit certificaat kopiëren naar een bestand en het lokaal opslaan.

    ...
    Epn3o0WC4zxe9Z2etiefC7IpJ5OCBRLbf1wbWsaY71k5h+3zvDyny67G7fyUIhz
ksLi4xaNmjICq44Y3ekQEe5+NauQrz4wlHrQMz2nZQ/1/I6eYs9HRCwBXbsdtTLS
R9I4LtD+gdwyah617jzV/OeBHRnDJELqYzmp
-----END CERTIFICATE-----

O=DigiCert Inc, CN=DigiCert Global Root CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

O=The Go Daddy Group, Inc.
-----BEGIN CERTIFICATE-----
MIIEADCCAuigAwIBAgIBADANBgkqhkiG9w0BAQUFADBjMQswCQYDVQQGEwJVUzEh
MB8GA1UEChMYVGhlIEdvIERhZGR5IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBE
    ...

    Voor elk van de wortel en uiteindelijke tussentijdse certificaten, kopieer alles dat begint met (inbegrepen) -----BEGIN CERTIFICAAT----- en eindigt met (inbegrepen) -----END CERTIFICAAT-----. Plaats ze allemaal in een apart tekstbestand en voeg onderaan 1 extra lege regel toe (na de regel met -----END CERTIFICAAT-----). Sla deze bestanden op met de extensie .pem: root.pem, medium1.pem, medium2.pem, ... U hebt een afzonderlijk bestand nodig voor elk root-/tussencertificaat. In het vorige voorbeeld zou ons root.pem-bestand het volgende bevatten:

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
    pictogram van opmerking

    Opmerking: er moet onderaan een enkele lege regel staan.

    Stap 2. Upload de root- en tussenliggende certificaten op CUCM (indien van toepassing)

    • Meld u aan bij de Cisco Unified OS-beheerpagina van uw CUCM-uitgever.
    • Navigeren naar Beveiliging > Certificaatbeheer.
    • Klik op de knop Certificaat uploaden/Certificaat ketting.
    • Begin in het nieuwe venster het basiscertificaat te uploaden vanaf Stap 1. Upload het naar tomcat-trust.

    CUCM Tomcat-Trust Upload

    • Klik op de knop Upload en daarna moet u Success: Certificate Upload zien. Negeer het bericht met het verzoek om Tomcat voor nu opnieuw te starten.
    • Upload nu hetzelfde basisbestand met CallManager-trust voor het certificaatdoel.
    • Herhaal vorige stappen (uploaden naar tomcat-trust en CallManager-trust) voor alle tussenliggende certificaten die worden gebruikt op de Expressway-C.

    Stap 3. Herstart de noodzakelijke services op CUCM

    Deze services moeten opnieuw worden gestart op elke CUCM-knooppunt in uw CUCM-cluster:

    • Cisco CallManager
    • Cisco TFTP
    • Cisco Tomcat

    Cisco CallManager en Cisco TFTP kunnen opnieuw worden opgestart vanaf de Cisco Unified Servicability-pagina's van CUCM:

    • Log in op de Cisco Unified servicability pagina van uw CUCM Publisher.
    • Ga naar Gereedschappen > Control Center - Functieservices.
    • Kies uw uitgever als server.
    • Kies Cisco CallManager-service en klik op de knop Opnieuw starten.
    • Nadat de Cisco CallManager-service is herstart, kiest u Cisco TFTP-service en klikt u op de knop Opnieuw starten.

    Cisco Tomcat kan alleen opnieuw worden gestart vanaf CLI:

    • Open een verbinding van de opdrachtregel naar uw CUCM Publisher.
    • Gebruik de opdrachtsoftware om Cisco Tomcat opnieuw op te starten

    Gerelateerde informatie

    Technische ondersteuning en documentatie - Cisco Systems

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    23-Feb-2024
    Geüpdatete tech content voor meer duidelijkheid en meer informatie. Bijgewerkte Inleiding, PII, SEO, en het Formatteren.
    2.0
    03-Jul-2023
    Bijgewerkt Titel, Inleiding, PII, SEO, Machinevertaling, Spelling en Opmaak. Bijgevoegd gedeelte Verwante informatie.
    1.0
    19-Mar-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Peter Kums
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco