在CUCM 14中为CallManager配置Tomcat证书重用
简介
本文档介绍如何在Cisco Unified Communications Manager(CUCM)服务器上为CallManager重复使用Multi-SAN Tomcat证书。
先决条件
要求
Cisco 建议您了解以下主题:
- CUCM证书
- 实时监控工具(RTMT)
- 身份信任列表(ITL)
使用的组件
本文档中的信息基于CUCM 14.0.1.13900-155。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
CUCM的两个主要服务是Tomcat和CallManager。在早期版本中,每个服务都需要不同的证书才能完成整个集群。在CUCM版本14中,添加了一项新功能,以对CallManager服务重复使用Multi-SAN Tomcat证书。使用此功能的优势包括:
- 降低获得一个公共证书颁发机构(CA)签名的证书群集的两个证书的成本。
- 此功能可减小ITL文件的大小,从而降低开销。
配置
注意:在上传Tomcat证书之前,请验证单点登录(SSO)已禁用。如果启用,则必须禁用并在一次Tomcat证书再生过程完成后重新启用SSO。
1.将Tomcat证书设置为多SAN
在CUCM 14中,Tomcat Multi-SAN证书可以是自签名或CA签名。如果您的Tomcat证书已经是多SAN,请跳过此部分。
自签名
步骤1: 登录到 Publisher > Operating System (OS) Administration 并导航至 Security > Certificate Management > Generate Self-Signed.
第二步:选择 Certificate Purpose: tomcat > Distribution: Multi-Server SAN. 它会自动填充SAN域和父域。
生成自签名多SAN Tomcat证书屏幕
第三步:点击 Generate,并验证您的所有节点是否都已列在 Certificate upload operation successful 邮件.点击 Close.
生成自签名的多SAN Tomcat成功消息
第四步:重新启动Tomcat服务,打开与集群所有节点的CLI会话,然后运行 utils service restart Cisco Tomcat 命令。
第五步: 导航至 Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services 并重新启动 Cisco DRF Master Service 和 Cisco DRF Local Service.
第六步:导航至每个 Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services 和重启 Cisco DRF Local Service.
CA签名
步骤1: 登录到 Publisher > Operating System (OS) Administration 并导航至 Security > Certificate Management > Generate CSR.
第二步:选择 Certificate Purpose: tomcat > Distribution: Multi-Server SAN. 它会自动填充SAN域和父域。
Generate Multi-SAN CSR for Tomcat Certificate屏幕
第三步:点击 Generate,并验证您的所有节点都列在 CSR export operation successful 邮件.点击 Close.
生成多SAN CSR Tomcat成功消息
第四步:点击 Download CSR > Certificate Purpose: tomcat > Download.
下载Tomcat CSR屏幕
第五步:将CSR发送到您的CA进行签名。
第六步:要上传CA信任链,请导航 Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust. 设置证书的说明并浏览信任链文件。
步骤 7.上传CA签名的证书,导航至 Certificate Management > Upload certificate > Certificate Purpose: tomcat.设置证书的说明并浏览CA签名的证书文件。
步骤 8重新启动Tomcat服务,打开与集群所有节点的CLI会话,然后运行 utils service restart Cisco Tomcat 命令。
步骤 9 导航至 Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services 并重新启动 Cisco DRF Master Service 和 Cisco DRF Local Service.
步骤 10导航至每个 Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services 和重启 Cisco DRF Local Service.
2.重用CallManager的Tomcat证书
注意:对于CUCM 14,新的企业参数 Phone Interaction on Certificate Update 介绍。当更新其中一个TVS、CAPF或TFTP(CallManager/ITLRecovery)证书时,使用此字段手动或自动重置电话(如果适用)。此参数默认设置为 reset the phones automatically
步骤1:导航到您的CUCM发布服务器,然后导航到 Cisco Unified OS Administration > Security > Certificate Management.
第二步:点击 Reuse Certificate.
第三步:从 choose Tomcat type 下拉列表,选择 tomcat.
第四步:从 Replace Certificate for the following purpose 窗格,请查看 CallManager 复选框。
Reuse Tomcat Certificate for Other Services屏幕
注意:如果选择Tomcat作为证书类型,则会启用CallManager作为替换。如果选择tomcat-ECDSA作为证书类型,则会启用CallManager-ECDSA作为替换。
第五步:点击 Finish 以便用Tomcat Multi-SAN证书替换CallManager证书。
重新使用Tomcat证书成功消息
第六步: 重新启动Cisco HAProxy服务,打开与集群所有节点的CLI会话,然后运行 utils service restart Cisco HAProxy 命令。
注:要确定集群是否处于混合模式,请导航至 Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode (0 == Non-Secure; 1 == Mixed Mode)。
步骤 7.如果集群处于混合模式,请打开与发布服务器节点的CLI会话,然后运行 utils ctl update CTLFile 命令,并重置集群的所有电话以使CTL文件更新生效。
验证
步骤1:导航到CUCM发布服务器,然后导航到 Cisco Unified OS Administration > Security > Certificate Management.
第二步:筛选依据 Find Certificate List where: Usage > begins with: identity 并点击 Find.
第三步:CallManager和Tomcat证书必须以相同值结尾 Common Name_Serial Number 价值.
验证CallManager的Tomcat证书重复使用
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
11-Oct-2023 |
初始版本 |
反馈