簡介
本文檔介紹如何使用證書頒發機構(CA)簽名的多伺服器SAN證書來設定統一通訊群集。
必要條件
需求
思科建議您瞭解以下主題:
- 思科整合通訊管理員(CUCM)
- CUCM IM和狀態版本10.5
嘗試此組態之前,請確保這些服務已啟動且功能正常:
- Cisco平台管理Web服務
- Cisco Tomcat服務
要在Web介面上驗證這些服務,請導航至Cisco Unified Serviceability Page Services > Network Service > Select a server。若要在CLI上驗證它們,請輸入utils service list命令。
如果在CUCM群集中啟用了SSO,則需要禁用並再次啟用SSO。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
在CUCM版本10.5及更高版本中,此信任儲存證書簽名請求(CSR)可以包括使用者備用名稱(SAN)和備用域。
- Tomcat - CUCM和IM&P
- Cisco CallManager — 僅CUCM
- Cisco Unified Presence — 可擴充訊息和狀態通訊協定(CUP-XMPP) — 僅限IM&P
- CUP-XMPP伺服器到伺服器(S2S) — 僅限IM&P
在此版本中獲取CA簽名的證書更簡單。只需一個CSR由CA簽署,而不是要求從每個伺服器節點取得CSR,然後為每個CSR取得一個CA簽署的憑證並個別管理。
設定
步驟1.
登入到Publisher的作業系統(OS)管理,然後導航到安全>證書管理>生成CSR。
![Log into Publisher's Operating System Administration and Navigation](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-00.png)
步驟2.
選擇Multi-Server SAN in Distribution。
![Choose Multi-Server SAN in Distribution](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-01.png)
它會自動填充SAN域和父域。
驗證Tomcat是否列出了集群的所有節點:CallManager的所有CUCM和IM&P節點均列出:僅列出了CUCM節點。
![It auto-populates the SAN Domains and the Parent Domain](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-02.png)
步驟3.
按一下「generate」,一旦CSR產生,請確認CSR中列出的所有節點也會顯示在「Successful CSR exported」清單中。
![Click Generate and Verify the Nodes Listed in CSR are also Displayed in the Successful CSR Exported List](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-03.png)
在證書管理中,生成SAN請求:
![SAN Request is Generated](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-04.png)
步驟4.
按一下「Download CSR」,然後選擇憑證用途,然後按一下「Download CSR」。
![Download CSR and Choose the Certificate Purpose](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-05.png)
![Download Certificate](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-06.png)
可以使用本地CA或外部CA(例如VeriSign)來簽署CSR(在上一步中下載的檔案)。
此示例顯示基於Microsoft Windows Server的CA的配置步驟。如果您使用不同的CA或外部CA,請前往步驟5。
登入https://<windowsserveripaddress>/certsrv/
選擇Request a Certificate > Advanced Certificate Request。
將CSR檔案的內容複製到Base-64編碼憑證要求欄位,然後按一下Submit。
![Can use Local CA or an External CA](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-07.png)
按此處所示提交CSR請求。
![Submit the CSR](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-08.png)
![Certificate Pending](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-09.png)
步驟5.
注意:上傳Tomcat證書之前,請驗證SSO是否已禁用。如果已啟用SSO,則必須在所有Tomcat證書再生過程完成後禁用並重新啟用SSO。
簽署憑證後,將CA憑證上傳為tomcat-trust。首先獲取根證書,然後獲取中間證書(如果存在)。
![Upload the CA](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-10.png)
![Upload Certificate](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-11.png)
步驟6.
現在,將CUCM簽名的證書上傳為Tomcat,並驗證集群的所有節點是否列在「Certificate upload operation successful」中,如下圖所示:
![Upload CUCM Signed Certificate](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-12.png)
「Certificate Management」中列出了多伺服器SAN,如下圖所示:
![Configure Multi-server SAN](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-13.png)
步驟7.
使用utils service restart Cisco Tomcat 命令,通過CLI在SAN清單中的所有節點(首先是發佈伺服器,然後是訂閱伺服器)上重新啟動Tomcat服務。
![Restart Tomcat Service](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-14.jpeg)
驗證
登入http://<fqdnofccm>:8443/ccmadmin以確保使用新證書。
![Verify](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/118731-configure-san-00-15.png)
CallManager多伺服器SAN證書
對於CallManager證書,可以執行類似的過程。在這種情況下,自動填充的域僅是CallManager節點。如果Cisco CallManager服務沒有運行,您可以選擇將其保留在SAN清單中或將其刪除。
警告:此過程會影響電話註冊和呼叫處理。確保為使用CUCM/TVS/ITL/CAPF證書的任何工作安排維護視窗。
在CA簽名的CUCM SAN證書之前,請確保:
- IP電話能夠信任信任信任驗證服務(TVS)。這可以通過從電話訪問任何HTTPS服務來驗證。例如,如果公司目錄訪問有效,則表示電話信任TVS服務。
- 驗證群集是否處於非安全模式或混合模式。
要確定它是否為混合模式集群,請選擇 Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode(0 == Non-Secure; 1 == Mixed Mode).
警告:如果在服務重新啟動之前處於混合模式集群,則必須更新CTL:Token或Tokenless。
安裝由CA頒發的證書後,必須在已啟用的節點中重新啟動下一個服務清單:
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
- Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTIManager
- Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service
疑難排解
這些日誌可幫助思科技術支援中心識別與多伺服器SAN CSR生成和上傳CA簽名證書相關的任何問題。
- Cisco整合OS平台API
- Cisco Tomcat
- IPT平台CertMgr日誌
- 證書續訂流程
已知警告
·思科錯誤ID CSCur97909 — 上傳多伺服器證書不會刪除資料庫中的自簽名證書
· Cisco錯誤ID CSCus47235 - CUCM 10.5.2 CN未複製到SAN中用於CSR
·思科錯誤ID CSCup28852 — 使用多伺服器證書時,由於證書更新,每7分鐘重置一次電話
如果存在現有的多伺服器證書,建議在以下情況下重新生成:
- 主機名或域更改。執行主機名或域更改時,證書將自動重新生成為自簽名。若要將其更改為CA簽名,必須遵循前面的步驟。
- 如果向群集中新增了新節點,則必須生成包含新節點的新CSR。
- 當訂閱伺服器還原且未使用備份時,節點可以擁有新的自簽名證書。可能需要整個群集的新CSR以包含訂閱伺服器。(存在增強請求思科錯誤ID CSCuv75957
新增此功能。)