设置统一通信集群

简介

本文档介绍如何使用证书颁发机构(CA)签名的多服务器SAN证书设置统一通信集群。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科统一通信管理器 (CUCM)
• CUCM IM and Presence版本10.5

在尝试此配置之前，请确保以下服务已启动且运行正常：

• 思科平台管理Web服务
• Cisco Tomcat 服务

要在Web界面上验证这些服务，请导航到Cisco Unified Serviceability Page Services > Network Service > Select a server。要在CLI中进行验证，请输入utils service list 命令。

如果在CUCM集群中启用了SSO，则需要禁用并再次启用SSO。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

在CUCM版本10.5及更高版本中，此信任存储证书签名请求(CSR)可以包括主体备用名(SAN)和备用域。

1. Tomcat - CUCM和IM&P
2. Cisco CallManager -仅CUCM
3. Cisco Unified Presence-Extensible Messaging and Presence Protocol (CUP-XMPP) -仅IM&P
4. CUP-XMPP服务器到服务器(S2S) -仅IM&P

在此版本中，获取CA签名证书更加简单。仅要求一个CSR由CA签署，而不是要求从每个服务器节点获取CSR，然后为每个CSR获取CA签署的证书并单独管理它们。

配置

步骤1:

登录发布者操作系统(OS)管理并导航到安全>证书管理>生成CSR。

第二步：
选择Multi-Server SAN in Distribution。

它会自动填充SAN域和父域。 

验证是否为Tomcat列出了集群的所有节点：为CallManager列出了所有CUCM和IM&P节点：仅列出了CUCM节点。

第三步：
点击generate，生成CSR后，验证CSR中列出的所有节点是否也显示在Successful CSR exported列表中。

在证书管理中，生成SAN请求：

第四步：

点击下载CSR，然后选择证书用途并点击下载CSR。

可以使用本地CA或类似VeriSign的外部CA对CSR（在上一步中下载的文件）进行签名。

本示例显示基于Microsoft Windows Server的CA的配置步骤。如果使用其他CA或外部CA，请转到步骤5。

登录https://<windowsserveripaddress>/certsrv/
选择Request a Certificate > Advanced Certificate Request。
将CSR文件的内容复制到Base 64编码的证书请求字段，然后单击Submit。

如图所示，提交CSR请求。

第五步：

注意：上传Tomcat证书之前，请验证SSO是否已禁用。如果启用SSO，则必须在所有Tomcat证书重新生成过程完成后禁用并重新启用SSO。

使用签名证书将CA证书上传为tomcat-trust。首先配置根证书，然后配置中间证书（如果存在）。

第六步：

现在将CUCM签名证书作为Tomcat上传，并验证集群的所有节点是否列在“证书上传操作成功”(Certificate upload operation successful)中，如图所示：

“证书管理”中列出了多服务器SAN，如图所示：

步骤 7.

通过CLI使用命令utils service restart Cisco Tomcat重新启动SAN列表中的所有节点（先是发布服务器，然后是订用服务器）上的Tomcat服务。

验证

登录http://<fqdnofccm>：8443/ccmadmin以确保使用新证书。

CallManager多服务器SAN证书

对于CallManager证书，可遵循类似的过程。在这种情况下，自动填充的域仅是CallManager节点。如果Cisco CallManager服务未运行，您可以选择将其保留在SAN列表中或将其删除。

警告：此过程会影响电话注册和呼叫处理。确保为使用CUCM/TVS/ITL/CAPF证书的任何工作安排维护窗口。

在CUCM的CA签名SAN证书之前，请确保：

• IP电话可以信任信任信任验证服务(TVS)。这可以通过从电话访问任何HTTPS服务进行验证。例如，如果公司目录访问有效，则意味着电话信任TVS服务。
• 验证集群处于非安全模式还是混合模式。 

要确定是否为混合模式集群，请选择Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode (0 == Non-Secure； 1 == Mixed Mode)。  

警告：如果在服务重新启动之前处于混合模式集群中，则必须更新CTL：令牌或无令牌。

在安装CA颁发的证书后，必须在已启用的节点中重新启动下一个服务列表：

• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTI管理器
• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service

故障排除

这些日志可以帮助思科技术支持中心识别与多服务器SAN CSR生成和CA签名证书上传相关的所有问题。

• 思科统一操作系统平台API
• Cisco Tomcat
• IPT平台证书管理器日志
• 证书更新过程

已知问题说明

· 思科漏洞ID CSCur97909 -上传多服务器证书不会删除数据库中的自签名证书
· 思科漏洞ID CSCus47235 - CUCM 10.5.2 CN未复制到CSR的SAN中
· 思科漏洞ID CSCup28852 -使用多服务器证书时，由于证书更新，电话每7分钟重置一次

如果存在现有的多服务器证书，则建议在以下情况下重新生成：

• 主机名或域更改。执行主机名或域更改时，证书将自动重新生成为自签名。要将其更改为CA签名证书，必须执行之前的步骤。
• 如果向集群中添加了新节点，则必须生成新的CSR以包含新节点。
• 当订阅服务器恢复且未使用备份时，节点可以拥有新的自签名证书。可能需要整个集群的新CSR才能包括订用服务器。(要添加此功能，存在增强请求思科漏洞ID CSCuv75957 。)