管理CUCM集群之間的批次證書以進行電話遷移

簡介

本文檔介紹如何在Cisco Unified Communications Manager (CUCM)集群之間管理批次認證以便進行電話遷移。

必要條件

需求

思科建議您瞭解以下主題：
· 安全檔案傳輸通訊協定(SFTP)伺服器
· CUCM證書

採用元件

本文檔中的資訊基於CUCM 10.X。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

注意：此過程在CUCM版本12.5(1)管理指南的管理批次證書部分也進行了概述

批次證書管理允許在CUCM集群之間共用一組證書。此步驟是需要建立相互信任的各個集群的系統功能的要求，例如跨集群分機移動(EMCC)以及集群之間的電話遷移。

在此程式中，會建立包含叢集中所有節點之憑證的Public Key Cryptography Standards #12 (PKCS12)檔案。每個叢集都必須將其憑證匯出到同一SFTP伺服器上的同一SFTP目錄。批次證書管理配置必須在源集群和目標集群的CUCM發佈伺服器上手動完成。源集群和目的集群必須啟動並正常運行，以便要遷移的電話可以同時連線到這兩個集群。源群集電話將遷移到目標群集。

批次證書管理過程

匯出目的地叢集憑證

步驟 1.在目標群集的CUCM發佈伺服器上配置SFTP伺服器進行批次證書管理。

在本示例中，目標集群CUCM版本為11.5.1。

導航到Cisco Unified OS Administration > Security > Bulk Certificate Management。輸入SFTP伺服器詳細資訊，然後按一下導出。

輸入SFTP伺服器詳細資訊，然後按一下導出。

步驟 2.將所有證書從目標群集中的所有節點導出到SFTP伺服器。

在Bulk Certificate Export彈出窗口中，為Certificate Type選擇All，然後按一下Export。

為「證書型別」選擇「全部」，然後按一下「導出」

關閉視窗並使用為目的地叢集中的每個節點建立的PKCS12檔案來更新「大量憑證管理」，網頁將以此資訊重新整理，如下圖所示。

使用PKCS12檔案進行大量憑證管理更新

匯出來源叢集憑證

步驟 1.在源群集的CUCM發佈伺服器上配置用於批次證書管理的SFTP伺服器。

在本示例中，源群集CUCM版本為10.5.2。

導航到思科統一作業系統管理>安全>批次證書管理，輸入SFTP伺服器詳細資訊，然後按一下導出。

注意：從目標集群導出到SFTP伺服器的PKCS12檔案在訪問時顯示在源集群CUCM發佈伺服器批次證書管理網頁上。

輸入SFTP伺服器詳細資訊，然後按一下導出

步驟 2.將所有證書從源群集中的所有節點導出到SFTP伺服器。

在Bulk Certificate Export彈出窗口中，為Certificate Type選擇All，然後按一下Export：

全部匯出憑證型別

按一下關閉關閉此窗口。Bulk Certificate Management會更新為來源叢集中每個節點建立的PKCS12檔案，網頁會以此資訊重新整理。現在，源群集的批次證書管理的網頁將顯示導出到SFTP的源和目標PKCS12檔案。

PKCS12檔案導出到SFTP。

合併源和目標PKCS12檔案

注意：批次證書管理導出同時在源集群和目標集群上完成，而合併僅在一個集群上透過CUCM發佈伺服器完成。

步驟 1.返回源集群的CUCM發佈伺服器的Bulk Certificate Management頁面，並按一下Consolidate：

按一下合併

在Bulk Certificate Consolidate彈出窗口中，為Certificate Type選擇All，然後按一下Consolidate。 按一下關閉關閉此窗口。

合併所有證書型別

您可以隨時檢查SFTP目錄，以驗證源群集和目標群集所包含的pkcs12檔案。從目的地和來源叢集匯出所有憑證後，SFTP目錄的內容已完成。如下圖所示。

導出所有證書後SFTP目錄的內容

SFTP目錄的內容

將憑證匯入目的地與來源叢集

步驟 1.將憑證匯入目的地叢集。

在目標集群的CUCM發佈伺服器上，導航到思科統一作業系統管理>安全>批次證書管理，然後刷新頁面，點選導入：

在Bulk Certificate Import彈出窗口中，為Certificate Type選擇All，然後按一下Import。按一下關閉關閉此窗口。

選取全部，然後選取匯入

步驟2.對來源叢集重複步驟1。

注意：執行批次證書導入時，會以下列方式將證書上傳到遠端群集：
- 證書頒發機構代理功能(CAPF)證書作為CallManager-trust上傳。
- Tomcat憑證會以tomcat-trust的身份上傳
- CallManager證書作為Phone-SAST-trust和CallManager-trust上傳。
- 身份信任清單恢復(ITLRecovery)證書作為Phone-SAST-trust和CallManager-trust上傳。

使用目標集群TFTP伺服器資訊配置源集群電話

使用簡單檔案傳輸協定(TFTP)選項150為源群集電話配置DHCP作用域，以指向目標群集CUCM TFTP伺服器。

重置源集群電話以獲取目標集群ITL/CTL檔案以完成遷移過程

作為遷移過程的一部分，源群集電話嘗試建立到源群集Cisco信任驗證服務(TVS)的安全連線，以驗證目標群集CallManager或ITLRecovery證書。

注意：來自運行TFTP服務的CUCM伺服器（也稱為TFTP證書）的源集群CallManager證書或其ITLRecovery證書在源集群CUCM節點證書信任清單(CTL)和/或身份信任清單(ITL)檔案中簽名。同樣，來自運行TFTP服務的CUCM伺服器的目標集群CallManager證書或其ITLRecovery證書將簽署目標集群CUCM節點CTL和/或ITL檔案。CTL和ITL檔案在運行TFTP服務的CUCM節點上建立。如果目標集群CTL和/或ITL檔案未通過源集群TVS的驗證，則向目標集群的電話遷移失敗。

註：在開始源集群電話遷移過程之前，請確認這些電話已安裝有效的CTL和/或ITL檔案。並且，確保將源群集的企業功能Prepare Cluster for Rollback to Pre 8.0設定為False。此外，驗證運行TFTP服務的目標群集CUCM節點是否安裝了有效的CTL和/或ITL檔案。

這是沒有安全集群的源電話獲取目標集群ITL檔案以完成電話遷移的過程：

步驟 1.CallManager或目標集群ITL檔案中包含的ITLRecovery證書（在重置時提供給源集群電話）均不能用於驗證當前安裝的ITL檔案。這將導致源集群電話與源集群的TVS建立連線，以驗證目標集群ITL檔案。
步驟 2.電話在tcp埠2445上與源群集TVS建立連線。
步驟 3.源集群TVS向電話顯示其證書。電話驗證連線並請求源群集TVS驗證目標群集CallManager或ITLRecovery證書，以允許電話下載目標群集ITL檔案。
步驟 4.在驗證和安裝目標集群ITL檔案後，源集群電話現在可以驗證和下載目標集群中已簽名的配置檔案。

這是使用安全群集為源電話獲取目標群集CTL檔案以完成電話遷移的過程：

步驟 1.電話啟動並嘗試從目標群集下載CTL檔案。
步驟 2.CTL檔案由目標群集CallManager或ITLRecovery證書簽署，該證書不在電話當前CTL或ITL檔案中。
步驟 3.因此，電話會連線到源群集上的TVS以驗證CallManager或ITLRecovery證書。

注意：此時，電話仍舊有包含源集群TVS服務的IP地址的舊配置。電話配置中指定的TVS伺服器與電話CallManager組相同。

步驟 4.電話建立與源群集上的TVS的傳輸層安全(TLS)連線。
步驟 5.當源集群TVS向電話顯示其證書時，電話將根據其當前ITL檔案中的證書驗證此TVS證書。
步驟 6.如果相同，則握手成功完成。
步驟 7.源電話請求源群集TVS驗證目標群集CTL檔案中的CallManager或ITLRecovery證書。
步驟 8.源TVS服務在其證書儲存中查詢目標群集CallManager或ITLRecovery，對其進行驗證，然後源群集電話繼續使用目標群集CTL檔案進行更新。
步驟 9.源電話下載目標集群ITL檔案，該檔案根據它現在包含的目標集群CTL檔案進行驗證。由於源電話CTL檔案現在包含目標集群CallManager或ITLRecovery證書，因此源電話現在可以驗證CallManager或ITLRecovery證書，而無需聯絡源集群TVS。

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

組態視訊

透過此連結可以訪問在CUCM集群之間透過批次證書管理的影片：

CUCM集群之間的批次證書管理

相關資訊

• CUCM版本12.5(1)管理指南的管理批次證書部分
• CUCM集群之間的批次證書管理
• 思科技術支援與下載