Controleer CSR- en certificaatwanverhouding voor UC

Downloadopties

  • PDF     (922.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 juli 2018
Document-id:200123

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u kunt bepalen of het door de certificaatinstantie (CA) ondertekende certificaat overeenkomt met het bestaande certificaataanvraag (CSR) voor Cisco Unified Application Server.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van X.509/CSR.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Verwante producten

    Dit document kan ook met deze hardware- en softwareversies worden gebruikt:

    • Cisco Unified Communications Manager (CUCM)
    • Cisco Unified IM and Presence
    • Cisco Unified Unity Connection-software
    • CUIS
    • Cisco Meidasence
    • Cisco Unified Contact Center Express (UCCX)

    Achtergrondinformatie

    Een certificeringsaanvraag bestaat uit een vooraanstaande naam, een openbare sleutel en een optionele reeks eigenschappen die gezamenlijk ondertekend zijn door de entiteit die om de certificering verzoekt. Certificeringsverzoeken worden toegezonden aan een certificeringsinstantie die het verzoek in een X.509-certificaat omzet. In welke vorm heeft de certificeringsinstantie het nieuw ondertekende certificaat teruggegeven dat niet onder het toepassingsgebied van dit document valt.  Een PKCS #7-bericht is één mogelijkheid.(RFC:2986).

    Cisco Communications Manager-certificaatbeheer

    Het voornemen om een reeks eigenschappen op te nemen is tweeledig:

    • Om andere informatie over een bepaalde entiteit te verstrekken, of een aanspreekwachtwoord waarmee de entiteit later om intrekking van certificaten kan verzoeken.
    • Om eigenschappen te verschaffen voor opname in X.509-certificaten. De huidige Unified Communications (UC)-servers ondersteunen geen uitdagingswachtwoord.

    Huidige Cisco UC-servers vereisen deze eigenschappen in een CSR zoals weergegeven in deze tabel:

    Informatie

    Beschrijving

    orka

    organisatorische eenheid

    oornaam

    naam van de organisatie

    plaats

    plaats van de organisatie

    toestand

    organisatiestatus

    land

    landcode kan niet worden gewijzigd

    alternatieve hostname

    alternatieve naam

    Probleem

    Wanneer u UC ondersteunt, kunt u veel gevallen tegenkomen waarin het door CA ondertekende certificaat niet op de UC-servers wordt geüpload. U kunt niet altijd identificeren wat heeft plaatsgevonden op het moment van het creëren van het ondertekende certificaat, aangezien u niet de persoon bent die de CSR gebruikte om het ondertekende certificaat te maken. In de meeste scenario's duurt het opnieuw tekenen van een nieuw certificaat meer dan 24 uur. UC-servers zoals CUCM hebben geen gedetailleerd logbestand/spoor om te helpen identificeren waarom het uploaden van het certificaat mislukt, maar geven gewoon een foutmelding. De bedoeling van dit artikel is om de kwestie te vernauwen, of het nu een UC-server of een CA-kwestie is.

    Algemene praktijk voor door CA ondertekende certificaten in CUCM

    CUCM ondersteunt integratie met CA’s van derden met behulp van een PKCS#10 CSR-mechanisme dat toegankelijk is op de Cisco Unified Communications Operating System Manager GUI. Klanten, die momenteel CA's van derden gebruiken moeten het CSR-mechanisme gebruiken om certificaten voor Cisco CallManager, CAPF, IPSec, en Tomcat uit te geven.

    Stap 1. Verander het Identificeer voordat u de CSR genereert.

    De identiteit van de CUCM-server om een CSR te genereren kan worden gewijzigd met behulp van de opdracht ingesteld web-security zoals in deze afbeelding wordt getoond.

    200123-How-to-Verify-the-CSR-and-Certificate-Mi-00.png

    Als u in de bovengenoemde velden ruimte hebt, gebruikt u " om de opdracht zoals in de afbeelding te bereiken.

    200123-How-to-Verify-the-CSR-and-Certificate-Mi-01.png

    Stap 2. Generate CSR zoals getoond in de afbeelding.

    200123-How-to-Verify-the-CSR-and-Certificate-Mi-02.png

    Stap 3. Download de CSR en laat het ondertekend door CA zoals in de afbeelding.

    200123-How-to-Verify-the-CSR-and-Certificate-Mi-03.png

    Stap 4. Upload het CA-ondertekend certificaat naar de server.

    Wanneer de CSR gegenereerd is en het certificaat getekend is en u het niet uploadt met een foutbericht "Fout bij lezen van het certificaat" (zoals in deze afbeelding getoond), moet u controleren of de CSR opnieuw gegenereerd is of het ondertekende certificaat zelf de oorzaak van de afgifte is.

    200123-How-to-Verify-the-CSR-and-Certificate-Mi-04.png

    Er zijn drie manieren om te controleren of de CSR opnieuw wordt gegenereerd of het ondertekende certificaat zelf de oorzaak van de uitgifte is.

    Oplossing 1. Gebruik OpenSSL-opdracht in root (of linux)

    Stap 1. Meld u aan bij de wortel en navigeer naar de map zoals in de afbeelding.

    200123-How-to-Verify-the-CSR-and-Certificate-Mi-05.png

    Stap 2. Kopieer het ondertekende certificaat naar dezelfde map met Secure FTP (SFTP). Als u geen SFTP-server kunt instellen, kan het uploaden in de TFTP-map ook het certificaat naar het CUCM verkrijgen zoals in de afbeelding wordt weergegeven.

    200123-How-to-Verify-the-CSR-and-Certificate-Mi-06.png

    3. Controleer de MD5 op de CSR en het ondertekende certificaat zoals in de afbeelding weergegeven.

    200123-How-to-Verify-the-CSR-and-Certificate-Mi-07.png

    Oplossing 2. Gebruik elke SSL-certificaattoetser van internet

    200123-How-to-Verify-the-CSR-and-Certificate-Mi-08.png

    Oplossing 3. Vergelijk inhoud met elke CSR-decoder van internet

    Stap 1. Kopieer de gedetailleerde informatie van het sessiecertificaat voor elke sessie zoals in deze afbeelding.

    200123-How-to-Verify-the-CSR-and-Certificate-Mi-09.png

    Stap 2. Vergelijk ze in een gereedschap zoals Kladblok+ met de stekker Vergelijken zoals in deze afbeelding.

    200123-How-to-Verify-the-CSR-and-Certificate-Mi-10.png

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Simon Xiu Li
      Cisco TAC-ingenieur
    • Craig Cooper
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten