從已簽名的CA證書建立新證書

簡介

本文檔介紹如何重新生成由思科統一通訊管理器(CUCM)中的證書頒發機構(CA)簽名的證書。

必要條件

需求

思科建議您瞭解以下主題：

• 即時監控工具(RTMT)
• CUCM證書

採用元件

• CUCM版本10.x、11.x和12.x。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

預先檢查資訊

注意：有關重新生成自簽名證書的資訊，請參閱證書重新生成指南。有關CA簽名的多SAN證書重新生成的資訊，請參閱多SAN證書重新生成指南

要瞭解每個證書及其再生的影響，請參閱自簽名再生指南。

每個憑證簽署請求(CSR)型別都有不同的金鑰使用方式，這些使用方式在簽署憑證中是必要的。安全指南包括一個表，其中含有每種證書型別所需的金鑰用法。

要更改主題設定（位置、狀態、組織單元等），請運行此命令：

• set web-security orgunit orgname locality state [country] [alternatehostname]

運行set web-security命令後，Tomcat證書將自動重新生成。除非重新啟動Tomcat服務，否則不會應用新的自簽名證書。如需此指令的詳細資訊，請參閱以下指南：

• 指令行參考指南
• 思科社群步驟連結
• 影片

配置和重新生成證書

針對每種型別的證書，列出了在由CA簽名的CUCM集群中重新生成單節點證書的步驟。如果叢集中的所有憑證尚未過期，則不需要重新產生這些憑證。 

Tomcat憑證

注意：驗證集群中是否停用了SSO(CM Administration > System > SAML Single Sign-On)。如果SSO已啟用，則必須將其停用，然後在Tomcat證書重新生成過程完成後啟用。

在叢集的所有節點（CallManager和IM&P）上：

步驟 1.導航到Cisco Unified OS Administration > Security > Certificate Management > Find並驗證Tomcat證書的到期日。

步驟 2.按一下Generate CSR > Certificate Purpose: tomcat。為證書選擇所需的設定，然後按一下Generate。等待成功消息出現，然後按一下Close。

步驟 3.下載CSR按一下Download CSR，選擇 Certificate Purpose: tomcat,，然後按一下Download。

步驟 4.將CSR傳送到證書頒發機構。

步驟 5.憑證授權單位會針對簽署的憑證鏈結傳回兩個或多個檔案。以下列順序上傳憑證：

• 根CA證書作為tomcat-trust。導航到Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust. 設定證書描述，然後瀏覽根證書檔案。
• 作為tomcat-trust的中間證書（可選）。導航到Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust。設定憑證的描述，並瀏覽中繼憑證檔案。

注意：某些CA不提供中間證書。如果僅提供根證書，則可省略此步驟。

• CA簽名的證書作為tomcat。導航到Certificate Management > Upload certificate > Certificate Purpose: tomcat。  設定證書描述並瀏覽當前CUCM節點的CA簽名證書檔案。

注意：此時，CUCM會比較CSR和上傳的CA簽名證書。如果資訊相符，CSR就會消失，且會上傳新的CA簽署憑證。如果您在上傳證書後收到錯誤消息，請參閱 Upload Certificate Common Error Messages 。

步驟 6.要向伺服器應用新證書，需要透過CLI重新啟動Cisco Tomcat服務（從發佈伺服器開始，然後一次啟動一個訂閱伺服器），請使用命令 utils service restart Cisco Tomcat.

要驗證CUCM現在使用Tomcat證書，請導航到節點的網頁，然後在瀏覽器中選擇 Site Information（鎖定圖示）。按一下 certificate選項，然後確認新憑證的日期。

CallManager證書

注意：請勿同時重新生成CallManager和TVS證書。這會導致終端上已安裝的ITL出現不可恢復的不匹配，這要求從集群中的所有終端中刪除ITL。完成CallManager的整個過程，並在電話重新註冊後，啟動TVS的過程。

注意：要確定集群是否處於混合模式，請導航到Cisco Unified CM管理>系統>企業引數>集群安全模式(0 ==非安全；1 ==混合模式)。

對於群集的所有CallManager節點：

步驟 1.導航到 Cisco Unified OS Administration > Security > Certificate Management > Find 並驗證CallManager證書的到期日。

步驟 2.按一下Generate CSR > Certificate Purpose: CallManager。為證書選擇所需的設定，然後按一下Generate。等待成功消息出現，然後按一下Close。

步驟 3.下載CSR點選Download CSR. Select Certificate Purpose: CallManager and click Download。 

步驟 4.將CSR傳送到Certificate Authority。

步驟 5.憑證授權單位會針對簽署的憑證鏈結傳回兩個或多個檔案。以下列順序上傳憑證：

• 根CA證書作為CallManager-trust。導航到Certificate Management > Upload certificate > Certificate Purpose: CallManager-trust。設定憑證的描述，並瀏覽根憑證檔案。
• CallManager-trust的中間證書（可選）。導航到Certificate Management > Upload certificate > Certificate Purpose: CallManager-trust。設定憑證的描述，並瀏覽中繼憑證檔案。

注意：某些CA不提供中間證書。如果僅提供根證書，則可省略此步驟。

• CA簽名的證書作為CallManager。導航到Certificate Management > Upload certificate > Certificate Purpose: CallManager。設定證書描述並瀏覽當前CUCM節點的CA簽名證書檔案。

注意：此時，CUCM會比較CSR和上傳的CA簽名證書。如果資訊相符，CSR就會消失，且會上傳新的CA簽署憑證。如果在上傳證書後收到錯誤消息，請參閱上傳證書常見錯誤消息部分。

步驟 6.如果集群處於混合模式，請在服務重新啟動之前更新CTL：令牌或無令牌。如果叢集處於非安全模式，請略過此步驟並繼續服務重新啟動。

步驟 7.若要將新憑證套用至伺服器，必須重新啟動必要的服務（只有在服務執行且使用中時）。導覽至：

• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CallManager
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco CTIManager

步驟 8.重置所有電話：

• 導航到Cisco Unified CM Administration > System > Enterprise Parameters > Reset。會出現一個彈出窗口，其中顯示「You are about to reset all devices in the system（您即將重置系統中的所有裝置）」語句。此操作無法撤消。是否繼續？選擇 OK ，然後按一下 Reset 。

註：透過RTMT監控裝置註冊。所有電話註冊回後，您可以繼續下一個證書型別。

IPSec憑證

注意：重新生成IPSec證書時，備份或還原任務不能處於活動狀態。

對於群集的所有節點（CallManager和IM&P）：

步驟 1.導航到Cisco Unified OS Administration > Security > Certificate Management > Find，然後驗證ipsec證書的到期日期。

步驟 2.按一下Generate CSR > Certificate Purpose： ipsec。為證書選擇所需的設定，然後按一下Generate。等待顯示成功消息，然後按一下Close。

步驟 3.下載CSR點選下載CSR。選擇Certificate Purpose ipsec並按一下Download。

步驟 4.將CSR傳送到證書頒發機構。

步驟 5.憑證授權單位會針對簽署的憑證鏈結傳回兩個或多個檔案。以下列順序上傳憑證：

• 作為ipsec-trust的根CA證書。導航到證書管理>上傳證書>證書用途：ipsec-trust。設定憑證的描述，並瀏覽根憑證檔案。
• 中間證書作為ipsec-trust（可選）。導航到證書管理>上傳證書>證書用途：tomcat-trust。設定憑證的描述，並瀏覽中繼憑證檔案。

注意：某些CA不提供中間證書。如果僅提供根證書，則可省略此步驟。

• CA簽名的證書作為ipsec。導航到證書管理>上傳證書>證書用途：ipsec。設定證書描述並瀏覽當前CUCM節點的CA簽名證書檔案。

注意：此時，CUCM會比較CSR和上傳的CA簽名證書。如果資訊相符，CSR就會消失，且系統會上傳新的CA簽署憑證。如果您在上傳憑證後收到錯誤訊息，請參閱上傳憑證常見錯誤訊息< /strong>一節。

步驟 6.若要將新憑證套用至伺服器，必須重新啟動必要的服務（只有在服務執行且使用中時）。導覽至：

• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco DRF Master(Publisher)
• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco DRF Local（發佈者和使用者）

CAPF證書

注意：要確定集群是否處於混合模式，請導航到Cisco Unified CM管理>系統>企業引數>集群安全模式(0 ==非安全；1 ==混合模式)。

注意：CAPF服務僅在發佈伺服器中運行，並且這是唯一使用的證書。不需要獲取CA簽名的使用者節點，因為它們未被使用。如果憑證在訂閱者中過期，而您想要避免過期憑證的警示，您可以將訂閱者CAPF憑證重新產生為自我簽署。有關詳細資訊，請參閱CAPF證書作為自簽名。

在發佈程式中：

步驟 1.導航到Cisco Unified OS Administration > Security > Certificate Management > Find，驗證CAPF證書的過期日期。

步驟 2.按一下Generate CSR > Certificate Purpose： CAPF。為證書選擇所需的設定，然後按一下Generate。等待系統顯示成功消息，然後按一下Close。

步驟 3.下載CSR點選下載CSR。選擇Certificate Purpose CAPF（證書用途CAPF），然後按一下Download。

步驟 4.將CSR傳送到證書頒發機構。

步驟 5. 憑證授權單位會針對簽署的憑證鏈結傳回兩個或多個檔案。以下列順序上傳憑證：

• 作為CAPF-trust的根CA證書。導航到證書管理>上傳證書>證書用途：CAPF-trust。設定憑證的描述，並瀏覽根憑證檔案。
• 作為CAPF-trust的中間證書（可選）。導航到證書管理>上傳證書>證書用途：CAPF-trust。設定憑證的描述，並瀏覽中繼憑證檔案。

注意：某些CA不提供中間證書。如果僅提供根證書，則可省略此步驟。

• CA簽名的證書作為CAPF。導航到證書管理>上傳證書>證書用途：CAPF。設定證書描述並瀏覽當前CUCM節點的CA簽名證書檔案。

注意：此時，CUCM會比較CSR和上傳的CA簽名證書。如果資訊相符，CSR就會消失，且系統會上傳新的CA簽署憑證。如果您在上傳證書後收到錯誤消息，請參閱上傳證書常見錯誤消息部分。

步驟 6.如果集群處於混合模式，請在服務重新啟動之前更新CTL：令牌或無令牌。如果叢集處於非安全模式，請略過此步驟並繼續服務重新啟動。

步驟 7.若要將新憑證套用至伺服器，必須重新啟動必要的服務（只有在服務執行且使用中時）。導覽至：

• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service（服務運行的所有節點。）
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP（服務運行的所有節點。）
• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco Certificate Authority Proxy Function (Publisher)

步驟 8.重置所有電話：

• 導航到Cisco Unified CM管理>系統>企業引數>重置。會出現一個彈出窗口，其中顯示「You are about to reset all devices in the system（您即將重置系統中的所有裝置）」語句。此操作無法撤消。是否繼續？選擇OK，然後按一下Reset。

註：透過RTMT監控裝置註冊。所有電話註冊回後，您可以繼續下一個證書型別。

TVS證書

注意：請勿同時重新生成CallManager和TVS證書。這會導致終端上已安裝的ITL出現不可恢復的不匹配，這要求從集群中的所有終端中刪除ITL。完成CallManager的整個過程，並在電話重新註冊後，啟動TVS的過程。

對於叢集的所有TVS節點：

步驟 1.導航到Cisco Unified OS Administration > Security > Certificate Management > Find，驗證TVS證書的到期日。

步驟 2.點選生成CSR >證書用途：TVS。為證書選擇所需的設定，然後按一下Generate。等待系統顯示成功消息，然後按一下Close。

步驟 3.下載CSR點選下載CSR。選擇Certificate Purpose TVS並按一下Download。

步驟 4.將CSR傳送到證書頒發機構。

步驟 5.憑證授權單位會針對簽署的憑證鏈結傳回兩個或多個檔案。以下列順序上傳憑證：

• 作為TVS-trust的根CA證書。導航到證書管理>上傳證書>證書用途：TVS-trust。設定憑證的描述，並瀏覽根憑證檔案。
• 中間證書作為TVS-trust（可選）。導航到證書管理>上傳證書>證書用途：TVS-trust。設定憑證的描述，並瀏覽中繼憑證檔案。

注意：某些CA不提供中間證書。如果僅提供根證書，則可省略此步驟。

• CA簽名的證書作為TVS。導航到證書管理>上傳證書>證書用途：TVS。設定證書描述並瀏覽當前CUCM節點的CA簽名證書檔案。

注意：此時，CUCM會比較CSR和上傳的CA簽名證書。如果資訊相符，CSR就會消失，且會上傳新的CA簽署憑證。如果在上傳證書後收到錯誤消息，請參閱上傳證書常見錯誤消息部分。

步驟 6.若要將新憑證套用至伺服器，必須重新啟動必要的服務（只有在服務執行且使用中時）。導覽至：

• Cisco Unified Serviceability > Tools > Control Center - Feature Services > Cisco TFTP（服務運行的所有節點。）
• Cisco Unified Serviceability > Tools > Control Center - Network Services > Cisco Trust Verification Service（服務運行的所有節點。）

步驟 7.重置所有電話：

• 導航到Cisco Unified CM管理>系統>企業引數>重置。會出現一個彈出窗口，其中顯示「You are about to reset all devices in the system（您即將重置系統中的所有裝置）」語句。此操作無法撤消。是否繼續？選擇OK，然後按一下Reset。

註：透過RTMT監控裝置註冊。所有電話註冊回後，您可以繼續下一個證書型別。

對常見的上傳證書錯誤消息進行故障排除

本節列出了上傳CA簽名的證書時最常見的一些錯誤消息。

CA證書在信任庫中不可用

此錯誤意味著根證書或中間證書未上傳到CUCM。在上傳服務憑證之前，請確認這兩個憑證已上傳為信任存放區。

檔案/usr/local/platform/.security/tomcat/keys/tomcat.csr不存在

當證書(tomcat、callmanager、ipsec、capf、tvs)的CSR不存在時，會出現此錯誤。驗證以前是否建立過CSR，以及是否基於該CSR建立了證書。需要牢記的要點：

• 每個伺服器和憑證型別只能存在1個CSR。這意味著，如果建立了新的CSR，則會替換舊的CSR。
• CUCM不支援萬用字元憑證。
• 如果沒有新的CSR，則無法替換當前已存在的服務證書。
• 相同問題的另一個可能錯誤是「無法上傳/usr/local/platform/upload/certs//tomcat.der檔案」。 這取決於CUCM版本。

CSR公鑰和證書公鑰不匹配

當CA提供的證書的公鑰與CSR檔案中傳送的公鑰不同時，會出現此錯誤。可能的原因包括：

• 上傳錯誤的憑證（可能來自其他節點）。
• 已使用其他CSR生成CA證書。
• 已重新產生CSR，並取代用來取得簽署憑證的舊CSR。

要驗證CSR和證書公鑰是否匹配，有多個線上工具(例如SSL)。 

相同問題的另一個可能錯誤是「無法上傳/usr/local/platform/upload/certs//tomcat.der檔案」。 這取決於CUCM版本。

CSR使用者替代名稱(SAN)和憑證SAN不相符

CSR和證書之間的SAN必須相同。這可以防止對不允許的域進行認證。要驗證SAN不匹配，請執行以下步驟：

1. 將CSR和證書解碼（基底64）。有多種不同的解碼器可供線上使用，例如Decoder。 

2. 比較SAN條目並檢驗它們是否全部匹配。順序並不重要，但憑證中的CSR所有專案必須相同。 

例如，CA簽名的證書增加了兩個額外的SAN條目，即證書的公用名和一個額外的IP地址。

3. 確定SAN不匹配後，有兩種方法可以解決此問題：

1. 要求您的CA管理員簽發具有與CSR中傳送完全相同的SAN條目的證書。
2. 在CUCM中建立符合CA要求的CSR。

要修改由CUCM建立的CSR，請執行以下操作：

1. 如果CA刪除域，則可以在CUCM中建立沒有域的CSR。建立CSR時，刪除預設填充的域。
2. 如果建立多SAN證書，則有些CA不接受公用名中的-ms。當CSR建立時，可以將-ms從CSR中移除。 

3. 要增加CUCM自動完成的名稱以外的其他名稱，請執行以下操作：

1. 如果使用多SAN證書，則可以增加更多FQDN。（不接受IP地址。）

b.如果證書是單節點，請使用set web-security命令。此命令甚至適用於多SAN證書。（可以增加任何型別的域，也允許IP地址。）

有關詳細資訊，請參閱命令列參考指南。

不會取代具有相同CN的信任憑證

CUCM旨在僅儲存一個具有相同公用名稱和相同證書型別的證書。這意味著，如果資料庫中已經存在tomcat-trust證書，並且需要用同一CN的最近證書替換該證書，CUCM將刪除舊證書並用新證書替換。

在某些情況下，CUCM不能替換舊證書：

1. 上傳的證書已過期：CUCM不允許上傳已過期的證書。
2. 舊證書的FROM日期比新證書的FROM日期新。CUCM保留最新的證書，而舊的FROM日期被歸類為舊的。對於此情況，需要刪除不需要的證書，然後上傳新證書。