管理用于电话迁移的CUCM集群之间的批量证书

简介

本文档介绍如何管理Cisco Unified Communications Manager (CUCM)集群之间的批量认证以便进行电话迁移。

先决条件

要求

Cisco 建议您了解以下主题：
· 安全文件传输协议(SFTP)服务器
· CUCM证书

使用的组件

本文档中的信息基于CUCM 10.X。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

注意：此步骤还在CUCM版本12.5(1)管理指南的“管理批量证书”部分中概述

批量证书管理允许在CUCM集群之间共享一组证书。此步骤对需要在集群之间建立信任的各个集群的系统功能（例如跨集群分机移动[EMCC]）以及集群之间的电话迁移)提出了要求。

作为该过程的一部分，将创建包含来自集群中所有节点的证书的公钥加密标准#12 (PKCS12)文件。每个集群都必须将其证书导出到同一SFTP服务器上的同一SFTP目录中。必须在源集群和目标集群的CUCM发布服务器上手动完成批量证书管理配置。源集群和目的集群必须启用且正常运行，以便要迁移的电话可以同时连接到这两个集群。源群集电话将迁移到目标群集。

批量证书管理程序

导出目标集群证书

步骤1:在目标集群的CUCM发布服务器上配置SFTP服务器进行批量证书管理。

在本示例中，目标集群CUCM版本为11.5.1。

导航到Cisco Unified OS Administration > Security > Bulk Certificate Management。输入SFTP服务器详细信息并单击Export。

输入SFTP服务器详细信息，然后点击导出。

第二步：将所有证书从目标集群中的所有节点导出到SFTP服务器。

在Bulk Certificate Export弹出窗口中，为Certificate Type选择All，然后单击Export。

为“证书类型”选择“全部”，然后单击“导出”

关闭窗口并使用为目标群集中的每个节点创建的PKCS12文件批量更新证书管理，网页将使用此信息刷新，如图所示。

使用PKCS12文件执行批量证书管理更新

导出源群集证书

步骤1:在源群集的CUCM发布服务器上配置SFTP服务器进行批量证书管理。

在本示例中，源集群CUCM版本为10.5.2。

导航到Cisco Unified OS Administration > Security > Bulk Certificate Management，输入SFTP服务器详细信息，然后单击Export。

注意：从目标集群导出到SFTP服务器的PKCS12文件在访问时显示在源集群CUCM发布者批量证书管理网页上。

输入SFTP服务器详细信息并点击导出(Export)

第二步：将所有证书从源群集中的所有节点导出到SFTP服务器。

在Bulk Certificate Export弹出窗口中，为Certificate Type选择All，然后单击Export：

全部导出证书类型

单击关闭关闭此窗口。Bulk Certificate Management使用为源群集中的每个节点创建的PKCS12文件进行更新，网页将使用此信息刷新。现在，源群集的批量证书管理的网页将显示导出到SFTP的源和目标PKCS12文件。

PKCS12文件导出到SFTP。

合并源和目标PKCS12文件

注意：批量证书管理导出同时在源集群和目标集群上完成，而整合仅通过其中一个集群上的CUCM发布方完成。

步骤1:返回源群集的CUCM发布服务器的Bulk Certificate Management页面，并单击Consolidate：

点击Consolidate

在Bulk Certificate Consolidate弹出窗口中，为Certificate Type选择All，然后单击Consolidate。 单击关闭关闭此窗口。

合并所有证书类型

您可以随时检查SFTP目录，以验证源群集和目标群集都包含的pkcs12文件。从目标集群和源集群导出所有证书后，SFTP目录的内容已完成。如下图所示。

导出所有证书后SFTP目录的内容

SFTP目录的内容

将证书导入到目标和源集群

步骤1:将证书导入到目标群集。

在目标集群的CUCM发布服务器上，导航到思科统一操作系统管理>安全>批量证书管理，然后刷新页面，点击导入：

在Bulk Certificate Import弹出窗口中，为Certificate Type选择All，然后单击Import。单击关闭关闭此窗口。

选择全部，然后选择导入

步骤2.对源集群重复步骤1。

注意：执行批量证书导入时，会按以下方式将证书上传到远程群集：
- 证书颁发机构代理功能(CAPF)证书作为CallManager-trust上传。
- Tomcat证书作为tomcat-trust上传
- 将CallManager证书上传为Phone-SAST-trust和CallManager-trust。
- 身份信任列表恢复(ITLRecovery)证书作为Phone-SAST-trust和CallManager-trust上传。

使用目标集群TFTP服务器信息配置源集群电话

使用简单文件传输协议(TFTP)选项150配置源群集电话的DHCP作用域，以指向目标群集CUCM TFTP服务器。

重置源群集电话以获取目标群集ITL/CTL文件以完成迁移过程

作为迁移过程的一部分，源集群电话尝试建立与源集群Cisco信任验证服务(TVS)的安全连接，以验证目标集群CallManager或ITLRecovery证书。

注意：来自运行TFTP服务的CUCM服务器的源集群CallManager证书（也称为TFTP证书）或其ITLRecovery证书签署源集群CUCM节点证书信任列表(CTL)和/或身份信任列表(ITL)文件。同样，来自运行TFTP服务的CUCM服务器的目标集群CallManager证书或其ITLRecovery证书签署目标集群CUCM节点CTL和/或ITL文件。CTL和ITL文件在运行TFTP服务的CUCM节点上创建。如果目标集群CTL和/或ITL文件未由源集群TVS验证，则电话向目标集群迁移失败。

注意：在开始源群集电话迁移过程之前，请确认这些电话安装了有效的CTL和/或ITL文件。并且，确保将源群集的企业功能Prepare Cluster for Rollback to Pre 8.0设置为False。此外，验证运行TFTP服务的目标集群CUCM节点是否安装了有效的CTL和/或ITL文件。

这是源电话没有安全集群的流程，用于获取目标集群ITL文件以完成电话迁移：

第 1 步：CallManager或目标集群ITL文件中的ITLRecovery证书（在重置时提供给源集群电话）均不能用于验证当前安装的ITL文件。这会导致源群集电话建立与源群集的TVS的连接，以验证目标群集ITL文件。
第二步：电话在tcp端口2445上与源集群TVS建立连接。
第三步：源集群TVS向电话显示其证书。电话验证连接并请求源集群TVS验证目标集群CallManager或ITLRecovery证书，以允许电话下载目标集群ITL文件。
第四步：在验证和安装目标集群ITL文件之后，源集群电话现在可以从目标集群验证和下载已签名的配置文件。

以下是源电话通过安全集群获取目标集群CTL文件以完成电话迁移的过程：

步骤1:电话启动并尝试从目标集群下载CTL文件。
第二步：CTL文件由目标群集CallManager或ITLRecovery证书签署，该证书不在电话的当前CTL或ITL文件中。
第三步：因此，电话会连接到源群集上的TVS以验证CallManager或ITLRecovery证书。

注意：此时，电话仍旧有包含源集群TVS服务的IP地址的旧配置。电话配置中指定的TVS服务器与电话CallManager组相同。

第四步：电话建立与源群集上的TVS的传输层安全(TLS)连接。
第五步：当源集群TVS向电话提供其证书时，电话将根据其当前ITL文件中的证书验证此TVS证书。
第六步：如果相同，则握手成功完成。
步骤 7.源电话请求源集群TVS验证来自目标集群CTL文件的CallManager或ITLRecovery证书。
步骤 8源TVS服务在其证书存储中找到目标集群CallManager或ITLRecovery，对其进行验证，并且源集群电话继续使用目标集群CTL文件进行更新。
步骤 9源电话下载目标集群ITL文件，该文件根据它现在包含的目标集群CTL文件进行验证。由于源电话CTL文件现在包含目标集群CallManager或ITLRecovery证书，因此源电话现在可以验证CallManager或ITLRecovery证书，而无需联系源集群TVS。

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。

配置视频

通过此链接可以访问一个视频，该视频将通过CUCM集群之间的批量证书管理：

CUCM集群之间的批量证书管理

相关信息

• CUCM版本12.5(1)管理指南中的管理批量证书部分
• CUCM集群之间的批量证书管理
• 思科技术支持和下载