為CUCM 14中的CallManager配置Tomcat證書重複使用
簡介
本文檔介紹如何在Cisco Unified Communications Manager(CUCM)伺服器上為CallManager重複使用Multi-SAN Tomcat證書。
必要條件
需求
思科建議您瞭解以下主題:
- CUCM證書
- 即時監控工具(RTMT)
- 身份信任清單(ITL)
採用元件
本文檔中的資訊基於CUCM 14.0.1.13900-155。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
CUCM的兩個主要服務是Tomcat和CallManager。在早期版本中,每個服務都需要不同的證書才能完成整個群集。在CUCM版本14中,新增了一項新功能,以便對CallManager服務重新使用Multi-SAN Tomcat證書。使用此功能的優勢包括:
- 降低獲得由公共證書頒發機構(CA)簽名的證書集群的兩個證書的成本。
- 此功能可減小ITL檔案的大小,從而降低開銷。
設定
注意:上傳Tomcat證書之前,請驗證單一登入(SSO)是否已禁用。如果已啟用SSO,則在Tomcat證書再生過程完成之後,必須禁用並重新啟用SSO。
1.將Tomcat證書設定為Multi-SAN
在CUCM 14中,Tomcat Multi-SAN證書可以是自簽名或CA簽名。如果您的Tomcat證書已經是多SAN,請跳過此部分。
自簽名
步驟 1. 登入到 Publisher > Operating System (OS) Administration 並導航至 Security > Certificate Management > Generate Self-Signed.
步驟 2.選擇 Certificate Purpose: tomcat > Distribution: Multi-Server SAN. 它會自動填充SAN域和父域。
生成自簽名的多SAN Tomcat證書螢幕
步驟 3.按一下 Generate,並驗證是否所有節點都列在 Certificate upload operation successful 消息。按一下 Close.
生成自簽名多SAN Tomcat成功消息
步驟 4.重新啟動Tomcat服務,開啟與群集所有節點的CLI會話,然後運行 utils service restart Cisco Tomcat 指令。
步驟 5. 導航至 Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services 並重新啟動 Cisco DRF Master Service 和 Cisco DRF Local Service.
步驟 6.導航至每個 Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services 和重新啟動 Cisco DRF Local Service.
CA簽名
步驟 1. 登入到 Publisher > Operating System (OS) Administration 並導航至 Security > Certificate Management > Generate CSR.
步驟 2.選擇 Certificate Purpose: tomcat > Distribution: Multi-Server SAN. 它會自動填充SAN域和父域。
Generate Multi-SAN CSR for Tomcat Certificate螢幕
步驟 3.按一下 Generate,並驗證下面列出的所有節點 CSR export operation successful 消息。按一下 Close.
生成多SAN CSR Tomcat成功消息
步驟 4.按一下 Download CSR > Certificate Purpose: tomcat > Download.
下載Tomcat CSR螢幕
步驟 5.將CSR傳送到您的CA進行簽名。
步驟 6.若要上傳CA信任鏈,請導覽 Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust. 設定證書的描述並瀏覽信任鏈檔案。
步驟 7.上傳CA簽名的證書,導航至 Certificate Management > Upload certificate > Certificate Purpose: tomcat.設定證書描述並瀏覽CA簽名的證書檔案。
步驟 8.重新啟動Tomcat服務,開啟與群集所有節點的CLI會話,然後運行 utils service restart Cisco Tomcat 指令。
步驟 9. 導航至 Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services 並重新啟動 Cisco DRF Master Service 和 Cisco DRF Local Service.
步驟 10.導航至每個 Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services 和重新啟動 Cisco DRF Local Service.
2.重用CallManager的Tomcat證書
注意:對於CUCM 14,新的企業引數 Phone Interaction on Certificate Update 介紹。使用此欄位可在更新其中一個TVS、CAPF或TFTP(CallManager/ITLRecovery)證書時手動或自動重置電話(如果適用)。預設情況下,此引數設定為 reset the phones automatically
步驟 1.導航到您的CUCM發佈者,然後導航到 Cisco Unified OS Administration > Security > Certificate Management.
步驟 2.按一下 Reuse Certificate.
步驟 3.從 choose Tomcat type 下拉選單,選擇 tomcat.
步驟 4.從 Replace Certificate for the following purpose 窗格,請檢查 CallManager 覈取方塊。
「為其他服務重複使用Tomcat證書」螢幕
註:如果選擇Tomcat作為證書型別,則會啟用CallManager作為替代項。如果選擇tomcat-ECDSA作為證書型別,則會啟用CallManager-ECDSA作為替代項。
步驟 5.按一下 Finish 以便使用Tomcat Multi-SAN證書替換CallManager證書。
重新使用Tomcat證書成功消息
步驟 6. 重新啟動Cisco HAProxy服務,開啟到群集所有節點的CLI會話,然後運行 utils service restart Cisco HAProxy 指令。
註:要確定集群是否處於混合模式,請導航至 Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode (0==非安全;1==混合模式)。
步驟 7.如果您的群集處於混合模式,請開啟與發佈伺服器節點的CLI會話,然後運行 utils ctl update CTLFile 命令,並重置集群的所有電話以使CTL檔案更新生效。
驗證
步驟 1.導航到您的CUCM發佈者,然後導航到 Cisco Unified OS Administration > Security > Certificate Management.
步驟 2.篩選依據 Find Certificate List where: Usage > begins with: identity 然後按一下 Find.
步驟 3.CallManager和Tomcat證書必須以相同結尾 Common Name_Serial Number 價值.
驗證CallManager的Tomcat證書重複使用
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
11-Oct-2023 |
初始版本 |
意見