簡介
本文檔介紹如何將簽署Expressway C證書的CA的根證書和中間證書上傳到CUCM發佈伺服器。
背景資訊
由於X14.0.2中Expressway上的流量伺服器服務得到改進,因此,即使CUCM處於非安全模式,只要伺服器(CUCM)請求它提供在8443以外的埠上運行的服務(例如,6971,6972),Expressway-C就會傳送其客戶端證書。由於此更改,需要將Expressway-C證書簽名證書頒發機構(CA)同時作為tomcat-trust和callmanager-trust新增到CUCM中。
在CUCM上上傳Expressway-C簽名CA失敗會導致Expressway升級到X14.0.2或更高版本後MRA登入失敗。
為了使CUCM信任Expressway-C傳送的證書,tomcat-trust和callmanager-trust必須包括根CA以及簽署Expressway-C證書時涉及的任何中間CA。
組態
步驟 1.獲取簽署Expressway-C伺服器證書的根證書和中間證書
最初從簽署該伺服器證書的CA收到伺服器證書時,您還擁有該伺服器證書的根證書和中間證書,並將其儲存在安全位置。如果您仍然擁有這些檔案或者可以再次從您的CA下載這些檔案,可以轉至步驟2,您可以在其中找到如何將這些檔案上傳到CUCM的說明。
如果您不再擁有這些檔案,可以從Expressway-C Web介面下載它們。這有點複雜,因此強烈建議您在可能的情況下聯絡您的CA從他們那裡下載信任庫。
在Expressway-C上,導航到Maintenance > Security > Server certificate,然後點選Server certificate旁邊的Show(已解碼)按鈕。這將開啟一個包含Expressway-C伺服器證書內容的新視窗/頁籤。您可以在此處查詢Issuer欄位:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
55:00:00:02:21:bb:2d:41:60:55:d7:b2:27:00:01:00:00:02:21
Signature Algorithm: sha256WithRSAEncryption
Issuer: O=DigiCert Inc, CN=DigiCert Global CA-1
Validity
Not Before: Dec 8 10:36:57 2021 GMT
Not After : Dec 8 10:36:57 2023 GMT
Subject: C=BE, ST=Flamish-Brabant, L=Diegem, O=Cisco, OU=TAC, CN=vcs-c1.vngtp.lab
Subject Public Key Info:
...
在本示例中,Expressway-C伺服器證書由組織DigiCert Inc.頒發,其通用名稱為DigiCert Global CA-1。
現在,導航到Maintenance > Security > Trusted CA certificate,然後在清單中檢視您是否有與Subject欄位中的值完全相同的證書。在本示例中,這是Subject欄位中的O=DigiCert Inc, CN=DigiCert Global CA-1。如果找到相符專案,則表示這是一個中繼CA。您需要此檔案,並且需要繼續查詢,直到找到根CA。
如果找不到匹配項,請在Issuer欄位的Subject of Matches Issuer中搜尋具有此值的證書。如果找到相符專案,則表示這是根CA檔案,是我們唯一需要的檔案。
Expressway信任儲存
在本例中,找到證書後,您注意到Subject欄位與Issuer欄位不匹配。這表示這是中間CA憑證。除了根證書之外,還需要此證書。如果主題said匹配頒發者,那麼您就會知道這是根證書頒發機構和您唯一需要信任的證書。
如果您有中間證書,則需要繼續操作,直到找到根證書。為此,請檢視您的中間證書的Issuer欄位。然後在Subject欄位中查詢具有相同值的證書。在本例中,這是O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA — 您將在Subject欄位中查詢具有此值的證書。如果找不到匹配的證書,則在Issuer欄位的Subject of Matches Issuer中查詢此值。
在本示例中,您可以看到我們的Expressway-C伺服器證書是由中間CA O=DigiCert Inc.簽名的,CN=DigiCert Global CA-1是由根CA O=DigiCert Inc.簽名的。OU=www.digicert.com,CN=DigiCert Global Root CA。由於您已經找到根CA,因此您的工作已經完成。但是,如果您找到了另一個中間CA,則需要繼續此過程,直到您確定了每個中間CA和根CA。
若要下載根憑證和中間憑證檔案,請按一下清單底下的Show all(PEM file)按鈕。這以PEM格式向您顯示所有根證書和中間證書。向下滾動,直到找到與您的中間證書或根證書之一匹配的證書。在本例中,您找到的第一個證書是O=DigiCert Inc, CN=DigiCert Global Root CA — 您將將此證書複製到一個檔案並在本地儲存。
...
Epn3o0WC4zxe9Z2etiefC7IpJ5OCBRLbf1wbWsaY71k5h+3zvDyny67G7fyUIhz
ksLi4xaNmjICq44Y3ekQEe5+NauQrz4wlHrQMz2nZQ/1/I6eYs9HRCwBXbsdtTLS
R9I4LtD+gdwyah617jzV/OeBHRnDJELqYzmp
-----END CERTIFICATE-----
O=DigiCert Inc, CN=DigiCert Global Root CA
-----BEGIN CERTIFICATE-----
MIIDrzCCApegAwIBAgIQCDvgVpBCRrGhdWrJWZHHSjANBgkqhkiG9w0BAQUFADBh
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBD
QTAeFw0wNjExMTAwMDAwMDBaFw0zMTExMTAwMDAwMDBaMGExCzAJBgNVBAYTAlVT
MRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxGTAXBgNVBAsTEHd3dy5kaWdpY2VydC5j
b20xIDAeBgNVBAMTF0RpZ2lDZXJ0IEdsb2JhbCBSb290IENBMIIBIjANBgkqhkiG
9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4jvhEXLeqKTTo1eqUKKPC3eQyaKl7hLOllsB
CSDMAZOnTjC3U/dDxGkAV53ijSLdhwZAAIEJzs4bg7/fzTtxRuLWZscFs3YnFo97
nh6Vfe63SKMI2tavegw5BmV/Sl0fvBf4q77uKNd0f3p4mVmFaG5cIzJLv07A6Fpt
43C/dxC//AH2hdmoRBBYMql1GNXRor5H4idq9Joz+EkIYIvUX7Q6hL+hqkpMfT7P
T19sdl6gSzeRntwi5m3OFBqOasv+zbMUZBfHWymeMr/y7vrTC0LUq7dBMtoM1O/4
gdW7jVg/tRvoSSiicNoxBN33shbyTApOB6jtSj1etX+jkMOvJwIDAQABo2MwYTAO
BgNVHQ8BAf8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUA95QNVbR
TLtm8KPiGxvDl7I90VUwHwYDVR0jBBgwFoAUA95QNVbRTLtm8KPiGxvDl7I90VUw
DQYJKoZIhvcNAQEFBQADggEBAMucN6pIExIK+t1EnE9SsPTfrgT1eXkIoyQY/Esr
hMAtudXH/vTBH1jLuG2cenTnmCmrEbXjcKChzUyImZOMkXDiqw8cvpOp/2PV5Adg
06O/nVsJ8dWO41P0jmP6P6fbtGbfYmbW0W5BjfIttep3Sp+dWOIrWcBAI+0tKIJF
PnlUkiaY4IBIqDfv8NZ5YBberOgOzW6sRBc4L0na4UU+Krk2U886UAb3LujEV0ls
YSEY1QSteDwsOoBrp+uvFRTp2InBuThs4pFsiv9kuXclVzDAGySj4dzp30d8tbQk
CAUw7C29C79Fv1C5qfPrmAESrciIxpg0X40KPMbp1ZWVbd4=
-----END CERTIFICATE-----
O=The Go Daddy Group, Inc.
-----BEGIN CERTIFICATE-----
MIIEADCCAuigAwIBAgIBADANBgkqhkiG9w0BAQUFADBjMQswCQYDVQQGEwJVUzEh
MB8GA1UEChMYVGhlIEdvIERhZGR5IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBE
...
對於每一個根憑證和最終中間憑證,複製以(包括)-----BEGIN CERTIFICATE-----開始、以(包括)-----END CERTIFICATE-----結尾。將每個文本檔案放在一個單獨的文本檔案中,並在底部新增1個額外的空行(在-----END CERTIFICATE-----行之後)。使用.pem副檔名儲存這些檔案:root.pem、intermediate1.pem、intermediate2.pem、..每個根/中間證書都需要一個單獨的檔案。在上一個示例中,我們的root.pem檔案將包含:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
步驟 2.在CUCM上上傳根證書和中間證書(如果適用)
- 登入到CUCM Publisher的Cisco Unified OS Administration頁面。
- 導覽至Security > Certificate Management。
- 按一下「Upload Certificate/Certificate chain」按鈕。
- 在新視窗中,開始從步驟1上傳根憑證。上傳到tomcat-trust。
- 按一下Upload按鈕,接下來您必須看到Success: Certificate Uploaded。忽略要求您立即重新啟動Tomcat的消息。
- 現在使用CallManager-trust上傳相同的根檔案以實現證書目的。
- 對Expressway-C上使用的所有中間證書重複前面的步驟(上傳到tomcat-trust和CallManager-trust)。
步驟 3.在CUCM上重新啟動必要的服務
需要在CUCM群集中的每個CUCM節點上重新啟動這些服務:
- Cisco CallManager
- Cisco TFTP
- Cisco Tomcat
可以從CUCM的Cisco Unified Serviceability頁面重新啟動Cisco CallManager和Cisco TFTP:
- 登入到CUCM Publisher的Cisco Unified serviceability頁面。
- 導覽至Tools > Control Center - Feature Services。
- 選擇Publisher作為伺服器。
- 選擇Cisco CallManager服務,然後按一下Restart按鈕。
- 重新啟動Cisco CallManager服務後,選擇Cisco TFTP服務,然後按一下Restart按鈕。
Cisco Tomcat只能從CLI重新啟動:
- 開啟與CUCM Publisher的命令列連線。
- 使用命令utils service restart Cisco Tomcat。
相關資訊
技術支援與檔案 — Cisco Systems