Renovar certificado do Expressway

Introdução

Este documento descreve o processo de renovação de certificado do Expressway/Video Communication Server (VCS).

Informações de Apoio

As informações neste documento aplicam-se ao Expressway e ao VCS. O documento faz referência ao Expressway, mas pode ser trocado com o VCS.

Observação: embora este documento seja projetado para ajudá-lo com o processo de renovação de certificado, é uma boa ideia também verificar o Guia de implantação de criação e uso de certificado do Cisco Expressway para sua versão.

Sempre que um certificado for renovado, devem ser considerados dois pontos principais para verificar se o sistema continua a funcionar corretamente após a instalação do novo certificado:

1. Os atributos do novo certificado devem corresponder aos do certificado antigo (principalmente o nome alternativo do assunto e o uso da chave estendida).

2. A CA (Autoridade de Certificação) que assina o novo certificado deve ser confiável para outros servidores que se comunicam diretamente com o Expressway (por exemplo, CUCM, Expressway-C, Expressway-E,... ).

Processo

A) Obter informações do certificado atual

1. Abra Expressway Web Page Maintenance > Security > Server certificate > Show decoded.

2. Na nova janela que será aberta, copie as extensões Nome alternativo do assunto e Identificador da chave de autoridade X509v3 em um documento do bloco de notas.

Janela "Mostrar certificado decodificado"

B) Gere o CSR (Certificate Signing Request, Solicitação de assinatura de certificado) e envie-o à CA (Autoridade de certificação) para assinatura.

1. No Expressway Web Page Maintenance > Security > Server certificate > Gerar CSR.

2. Na janela Gerar CSR, no campo Nomes alternativos adicionais (separados por vírgula), informe todos os valores para Nomes alternativos do assunto que foram salvos na seção A, remova DNS: e separe a lista com vírgulas.

Nesta imagem, ao lado de Nome alternativo como aparece, há uma lista de todas as SANs a serem usadas no certificado):

Gerar entradas CSR SAN

3. Insira o restante das informações na seção Informações adicionais (como país, empresa, estado,...) e clique em Gerar CSR.

4. Depois de gerar o CSR, a página Manutenção > Segurança > Certificado do Servidor mostra uma opção para Descartar CSR e Download. Escolha Download e envie o CSR à CA para assinatura.

Observação: não descarte o CSR antes que o novo certificado seja instalado. Se Discard CSR tiver sido feito e, em seguida, for feita uma tentativa de instalar um certificado assinado com o CSR que foi descartado, a instalação do certificado falhará.

C) Verifique a lista SAN e o atributo de uso de chave estendida/aprimorada no novo certificado

Abra o certificado recém-assinado no gerenciador de certificados do Windows e verifique:

1. A lista SAN corresponde à lista SAN que salvamos na seção A que usamos para gerar o CSR.

2. O atributo "Extended/Enhanced key usage" deve incluir Client Authentication e Server Authentication.

Observação: se o certificado tiver a extensão .pem, renomeie-o como .cer ou .crt para poder abri-lo com o Gerenciador de Certificados do Windows. Quando o certificado estiver aberto com o Gerenciador de Certificados do Windows, você pode ir para a guia Detalhes > Copiar para Arquivo e exportá-lo como um arquivo codificado na Base64, um arquivo codificado na Base64 normalmente tem "-----BEGIN CERTIFICATE-----" na parte superior e "-----END CERTIFICATE-----" na parte inferior quando aberto em um editor de texto

D) Verificar se a CA que assinou o novo certificado é a mesma que assinou o certificado antigo

Abra o certificado recém-assinado no gerenciador de certificados do Windows, copie o valor do Identificador de Chave de Autoridade e compare-o com o valor do Identificador de Chave de Autoridade que salvamos na seção A.

Novo certificado aberto com o Gerenciador de Certificados do Windows

Se os dois valores forem iguais, significa que a mesma CA foi usada para assinar o novo certificado e a que foi usada para assinar o certificado antigo, e você poderá prosseguir para a seção E para carregar o novo certificado.

Se os valores forem diferentes, isso significa que a CA usada para assinar o novo certificado é diferente da CA usada para assinar o certificado antigo, e as etapas a serem seguidas antes de você prosseguir para a seção E são:

1. Obtenha todos os certificados CA intermediários, se houver, e o certificado CA raiz.

2. Vá para Manutenção > Segurança > Certificado de CA confiável , clique em Procurar e procure o certificado de CA intermediário em seu computador e carregue-o. Faça o mesmo para qualquer outro certificado intermediário de CA e o certificado raiz de CA.

3. Faça o mesmo em qualquer Expressway-E (se o certificado a ser renovado for um certificado Expressway-C) que se conecte a este servidor ou em qualquer Expressway-C (se o certificado a ser renovado for um certificado Expressway-E) que se conecte a este servidor.

4. Se o certificado a ser renovado for um certificado Expressway-C e você tiver MRA ou tiver zonas seguras para CUCM

• Verifique se o CUCM confia na nova raiz e na CA intermediária.
• Carregue os certificados de CA raiz e intermediária para os armazenamentos CUCM tomcat-trust e callmanager-trust.
• Reinicie os serviços relevantes no CUCM.

E) Instalar o novo certificado

Depois que todos os pontos anteriores tiverem sido verificados, você pode instalar o novo certificado no Expressway de Manutenção > Segurança > Certificado do servidor .

Clique em Browse e selecione o novo arquivo de certificado do seu computador e carregue-o.

Você deve reiniciar o Expressway após instalar um novo certificado.

Observação: verifique se o certificado a ser carregado no Expressway de Manutenção > Segurança > Certificado de Servidor contém apenas o certificado de servidor Expressway e não a cadeia completa de certificados e verifique se é um certificado Base64.

Adicionando um único certificado a vários Expressways: