续订Expressway证书

简介

本文档介绍Expressway/视频通信服务器(VCS)证书续订流程。

背景信息

本文档中的信息适用于Expressway和VCS。本文档引用Expressway，但可以与VCS进行互换。

注意：尽管本文档旨在帮助您进行证书续订流程，但最好还要查看您的版本的思科Expressway证书创建和使用部署指南。

无论何时更新证书，都必须考虑两个要点，以便验证系统在安装新证书后是否继续正常运行：

1. 新证书的属性必须与旧证书的属性匹配（主要是使用者备用名称和扩展密钥用法）。

2. 签署新证书的CA（证书颁发机构）必须由直接与Expressway通信的其他服务器（例如CUCM、Expressway-C、Expressway-E...）信任。

Process

A)从当前证书获取信息

1. 打开Expressway网页维护>安全>服务器证书>显示解码。

2. 在打开的新窗口中，将主题备用名称和授权密钥标识符X509v3扩展名复制到记事本文档。

“显示解码”证书窗口

B)生成CSR（证书签名请求）并将其发送到CA（证书颁发机构）进行签名。

1. 从Expressway网页维护>安全>服务器证书>生成CSR。

2. 在“生成CSR”窗口的“其他备用名称（逗号分隔）”字段中，输入主题备用名称在A部分保存的所有值，然后删除DNS：并用逗号分隔列表。

在此映像中，在显示的备用名称旁，有一个要用于证书的所有SAN的列表)：

生成CSR SAN条目

3. 输入其他信息部分（如国家/地区、公司、州/省……）下的其余信息，然后单击生成CSR。

4. 生成CSR之后，维护>安全>服务器证书页面将显示丢弃CSR和下载选项。 选择下载并将CSR发送到CA以进行签名。

注意：请在安装新证书之前不要丢弃CSR。如果丢弃CSR完成，然后尝试安装与被丢弃的CSR签名的证书，则证书安装失败。

C)检查新证书中的SAN列表和扩展/增强型密钥使用属性

在Windows证书管理器中打开新签名的证书并验证：

1. SAN列表与我们在生成CSR时使用的A部分中保存的SAN列表匹配。

2. “扩展/增强型密钥用法”属性必须包括客户端身份验证和服务器身份验证。

注意：如果证书具有.pem扩展名，请将其重命名为.cer或.crt，以便能够在Windows证书管理器中打开该证书。使用Windows证书管理器打开证书后，可以转至Details选项卡> Copy to File，并将其作为Base64编码文件导出。在文本编辑器中打开时，base64编码文件的顶部通常为“-----BEGIN CERTIFICATE-----”，底部为“-----END CERTIFICATE-----”

D)检查签署新证书的CA是否与签署旧证书的CA相同

在Windows证书管理器中打开新签名的证书，然后复制Authority Key Identifier值，并与我们在A部分中保存的Authority Key Identifier值进行比较。

使用Windows证书管理器打开的新证书

如果两个值相同，则意味着使用与旧证书相同的CA来签署新证书，您可以进入E部分上传新证书。

如果值不同，则意味着用于签署新证书的CA与用于签署旧证书的CA不同，在继续执行E部分之前应采取的步骤如下：

1. 获取所有中间CA证书（如果有）和根CA证书。

2. 转至Maintenance > Security > Trusted CA certificate，单击Browse，然后在您的计算机上搜索中间CA证书并上传它。对任何其他中间CA证书和根CA证书执行相同操作。

3. 对连接到此服务器的任何Expressway-E（如果要续订的证书是Expressway-C证书）或连接到此服务器的任何Expressway-C（如果要续订的证书是Expressway-E证书）执行相同操作。

4. 如果要续订的证书是Expressway-C证书，并且您拥有MRA或CUCM安全区域

• 验证CUCM信任新的根和中间CA。
• 将根和中间CA证书上传到CUCM tomcat-trust和callmanager-trust存储区。
• 重新启动CUCM上的相关服务。

E)安装新证书

一旦检查了所有上述要点，您可以通过维护>安全>服务器证书在Expressway上安装新证书。

单击Browse 并从您的计算机中选择新的证书文件并上传该文件。

安装新证书后，必须重新启动Expressway。

注意：请验证要从维护>安全>服务器证书上传到Expressway的证书是否仅包含Expressway服务器证书，而非完整证书链，并验证是否为Base64证书。

将单个证书添加到多个Expressway：