Regeringsproces voor certificaten voor Cisco Unified Communications Manager (CUCM)

(1)

Regeringsproces voor certificaten voor Cisco Unified Communications Manager (CUCM)

Inhoud

Inleiding Voorwaarden Vereisten

Gebruikte componenten Achtergrondinformatie RTMT installeren

Monitorendpoints met RTMT

Identificeer of uw cluster in gemengde of niet-beveiligde modus is Invloed op de certificaatwinkel

CallManager 3.00 m Tomcat.pem

CAPF.pem IPSec.pem

TVS (Vertrouwsverificatiedienst) ITL en CTL

Regeneratieproces van certificaten Tomkaaimatum

IPSEC-certificaat CAPF-certificaat

CallManager-certificaat TVS-certificaat

ITLR-certificaat

Verlopen vertrouwen certificaten verwijderen Verifiëren

Problemen oplossen

Inleiding

Dit document biedt een aanbevolen stap-voor-stap procedure voor het regenereren van certificaten in de Cisco Unified Communications Manager (CUCM) release 8.X en hoger. Dit proces maakt geen gebruik van de back-up naar versies vóór de 8.0-functionaliteit en werkt certificaten per functie bij. De standaardinstelling is dat Identity Trust List (ITL) is en de optie Gemengde mode is dat certificaatlijst (CTL) is aangepakt om registratieproblemen te voorkomen.

Bijgedragen door Ken Ryder, Cisco TAC Engineer.

Voorwaarden

Vereisten

(2)

Cisco raadt kennis van de volgende onderwerpen aan:

Real Time Monitoring Tool (RTMT)

●

CUCM-certificaten

●

Gebruikte componenten

CUCM release 8.X en hoger

●

De informatie in dit document is gebaseerd op de apparaten in een specifieke

laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

Achtergrondinformatie

RTMT installeren

RTMT-gereedschap downloaden en installeren vanaf Call Manager Navigeren in naar Call Manager (CM) beheerApplication > plug-ins > Zoeken > Cisco Unified Real-Time

bewakingsprogramma - Windows > Download Installatie en start

●

Monitorendpoints met RTMT

Start RTMT en voer het IP-adres in of Full Qualified Domain Name (FQDN), dan

gebruikersnaam en wachtwoord voor toegang tot het gereedschap Selecteer het tabblad Spraak/videoSelecteer apparaatoverzicht In dit gedeelte wordt het totale aantal geregistreerde eindpunten aangegeven en wordt aangegeven hoeveel punten bij elk knooppuntMonitor terwijl u een endpoints opnieuw instelt om registratie te garanderen voordat u het volgende

certificaat opnieuw start

●

Tip: Het regeneratieproces van bepaalde certificaten kan van invloed zijn op het eindpunt.

Overweeg een actieplan na normale openingstijden vanwege de vereiste om de diensten opnieuw op te starten en telefoons opnieuw op te starten. Het controleren van de

telefoonregistratie via RTMT wordt ten zeerste aanbevolen.

Waarschuwing: Endpoints met huidige ongelijke ITL-omstandigheden kunnen na dit proces registratieproblemen hebben. Het schrappen van de ITL op het eindpunt is een typische best practice-oplossing nadat het regeneratieproces is voltooid en alle andere telefoons zijn geregistreerd.

(3)

Identificeer of uw cluster in gemengde of niet-beveiligde modus is

Navigeren naar CM-beheer Systeem > Enterprise-parameters > Security parameters >

Cluster security modus

●

(4)

Invloed op de certificaatwinkel

Voor een goede functionaliteit van het systeem is het van cruciaal belang dat alle certificaten in de CUCM-cluster worden bijgewerkt. Als certificaten verlopen of ongeldig zijn, kunnen ze de normale functionaliteit van het systeem aanzienlijk beïnvloeden. Hier wordt een lijst weergegeven van diensten voor de specifieke certificaten die ongeldig of verlopen zijn. Het effect kan afhankelijk van de instelling van uw systeem verschillen.

CallManager 3.00 m

Versleutelde/geverifieerde telefoons registreren niet

●

Trial File Transfer Protocol (TFTP) is niet vertrouwd (telefoons accepteren geen ondertekende configuratiebestanden en/of ITL-bestanden)

●

De telefoondiensten kunnen worden aangetast

●

Secure Session Initiation Protocol (SIP)-trunks of media-bronnen (conferentiebruggen, Media Termination Point (MTP), Xcoders, enzovoort) registreren of werken niet.

●

Het AXL-verzoek mislukt.

●

Tomcat.pem

Telefoons kunnen geen toegang krijgen tot HTTP-services die opgeslagen worden op het CUCM-knooppunt, zoals Corporate Directory

●

CUCM kan verschillende webproblemen hebben, zoals het niet mogelijk maken om servicepagina's van andere knooppunten in de cluster te benaderen

●

Extension Mobility (EM) voor Extension Mobility Cross-Cluster-kwesties

●

Single aanmelding (SSO)

●

CAPF.pem

Telefonieën zijn niet echt voor telefoon VPN, 802.1x of telefoonproxy

●

Kan geen LSC-certificaten (Local Significant certificaatcertificaat) uitgeven voor de telefoons.

●

Versleutelde configuratiebestanden werken niet

●

IPSec.pem

Noodherstelsysteem (DRS)/Noodherstelkader (DRF) werkt mogelijk niet goed

●

IPsec-tunnels naar Gateway (GW) naar andere CUCM-clusters werken niet

●

TVS (Vertrouwsverificatiedienst)

TVS (Trust Verification Service) is de belangrijkste component van veiligheid per default. TVS maakt Cisco Unified IP-telefoons mogelijk om toepassingsservers, zoals EM-services, directory en MIDlet te authentiseren wanneer HTTPS wordt opgericht.

TVS biedt de volgende functies:

schaalbaarheid - de middelen van Cisco Unified IP-telefoon worden niet beïnvloed door het aantal certificaten om te vertrouwen

●

(5)

Flexibiliteit - Toevoeging of verwijdering van trustcertificaten wordt automatisch in het systeem weerspiegeld

●

Security per default - de beveiligingsfuncties die geen media of signaal bevatten, maken deel uit van de standaardinstallatie en behoeven niet te worden ingegrepen door de gebruiker

●

ITL en CTL

ITL bevat de certificeringsrol voor Call Manager TFTP, alle TVS-certificaten in de cluster en de Proxy-functie (CAPF) van de certificaatinstantie wanneer deze wordt uitgevoerd

●

CTL bevat waarden voor System Administrator Security Token (SAST), Cisco CallManager en Cisco TFTP-services die op dezelfde server, CAPF, TFTP-server(s) en Adaptieve security applicatie (ASA) worden uitgevoerd. TVS wordt niet genoemd in CTL

●

Regeneratieproces van certificaten

Tomkaaimatum

Vermeld of certificaten van derden in gebruik zijn.

Navigeren naar elke server in uw cluster (in afzonderlijke tabbladen van uw webbrowser) begint met de uitgever, gevolgd door elke abonnee. Navigeren in naar Cisco Unified OS- beheer > Beveiliging > certificaatbeheer > Zoeken

Uit de kolom Omschrijving halen indien Tomcat zelf een door het systeem gegenereerd certificaat aangeeft. Als Tomcat een derde is die getekend heeft, volgt u de aangeboden link en voert u deze stappen uit na de regeneratie van TomcatDoor derden ondertekende

certificaten - https://supportforums.Cisco.com/docs/DOC-6119 1.

Selecteer Zoeken om alle certificaten weer te geven Selecteer het certificaat van de

TomkpemSelecteer na openen de optie Opnieuw genereren en wacht tot u het Success pop- up ziet, sluit dan de pop-up of ga terug en selecteer Zoeken/Lijst

2.

Ga door met elke volgende abonnee, volg dezelfde procedure in stap 2 en compleet op alle abonnees in uw cluster

3.

Nadat alle knooppunten het certificaat van Tomcat hebben geregenereerd, start u de

Tomcat-service opnieuw op alle knooppunten. Beginnen met de uitgever en daarna door de abonnees. Om te beginnen moet u een CLI-sessie voor elk knooppunt openen en de

opdrachtutistenservice van Cisco Tomcat opnieuw uitvoeren 4.

IPSEC-certificaat

Opmerking: CUCM/Instant Messaging and Presence (IM&P) voor versie 10.X wordt op DRF Master Agent zowel op CUCM Publisher als IM&P Publisher geleid. DRF Local Service loopt respectievelijk op de abonnees. versies 10.X en hoger, DRF Master Agent werkt

(6)

alleen op CUCM Publisher en DRF Local Service is op CUCM Subscriber en IM&P Publisher en Subscriber.

Opmerking: Het Noodherstelsysteem gebruikt een beveiligde Socket Layer (SSL)

gebaseerde communicatie tussen de Master Agent en de Local Agent voor verificatie en encryptie van gegevens tussen de CUCM-clusterknooppunten. DRS maakt gebruik van de IPSec-certificaten voor haar publiek-private sleutelencryptie. Houd er rekening mee dat als u het bestand IPSEC truststore (hostname.pem) uit de certificaatbeheerpagina verwijdert, DRS niet werkt zoals verwacht. Als u het bestand IPSEC-trust handmatig verwijdert, moet u ervoor zorgen dat u het IPSEC-certificaat naar de IPSEC-trustwinkel uploadt. Raadpleeg de Help-pagina voor certificaatbeheer in de Cisco Unified Communications Manager-

beveiligingshandleidingen voor meer informatie.

Navigeren naar elke server in uw cluster (in afzonderlijke tabbladen van uw webbrowser) begint met de uitgever, gevolgd door elke abonnee. Navigeren in naar Cisco Unified OS- beheer > Beveiliging > certificaatbeheer > Zoeken

Selecteer het IPSEC-pem-certificaat.Selecteer na openen de optie Opnieuw genereren en wacht tot u het Success pop-up ziet, sluit dan de pop-up of ga terug en selecteer

Zoeken/Lijst 1.

Doorgaan met volgende abonnees; Volg dezelfde procedure in stap 1 en compleet op alle abonnees in uw cluster

2.

Nadat alle knooppunten het IPSEC-certificaat hebben geregenereerd, start u de services opnieuw.

Navigeren naar de Cisco Unified Services van de Uitgever Cisco Unified Services > Tools >

Control Center - Network ServicesSelecteer Start opnieuw op Cisco DRF Master

ServiceNadat de service opnieuw is gestart, selecteert u Start op de lokale service van Cisco DRF op de uitgever. Ga dan verder met de abonnees en selecteer Start op het lokale

servicecentrum van Cisco DRF 3.

Het IPSEC.pem certificaat in de uitgever moet geldig zijn en in alle abonnees als IPSEC trustwinkels aanwezig zijn. Het certificaat van de abonnees IPSEC.pem zal niet aanwezig zijn in de uitgever als IPSEC truststore in een standaardplaatsing. Om de geldigheid te verifiëren vergelijk de serienummers in het certificaat IPSEC.pem van PUB met de IPSEC-trust in de SUBs.

Ze moeten overeenkomen.

CAPF-certificaat

Waarschuwing: Zorg ervoor dat u hebt geïdentificeerd als uw Cluster in Gemengde modus is voordat u doorgaat. Raadpleeg sectie Identificeren als uw cluster in Mix-mode of niet-

beveiligde modus is.

Navigeer naar de Cisco Unified CM-beheerder > Systeem > Enterprise-parameters.

Controleer de sectie Security parameters en controleer of de Cluster Security Mode is

ingesteld op 0 of 1. Als de waarde 0 is en het cluster in niet-beveiligde modus staat. Als het 1 is dan is de cluster in gemengde modus en u moet het CTL bestand updaten voordat u de services opnieuw start. Zie onderstaande koppelingen voor Token en Tokenless.

1.

Navigeer naar elke server in uw cluster (in afzonderlijke tabbladen van uw webbrowser) begint met de uitgever en dan elke abonnee. Navigeren in naar Cisco Unified OS-beheer >

Beveiliging > certificaatbeheer > Zoeken 2.

(7)

Selecteer het CAPF-pem-certificaat.Selecteer na openen de optie Opnieuw genereren en wacht tot u het Success pop-up ziet, sluit dan de pop-up of ga terug en selecteer

Zoeken/Lijst

Doorgaan met volgende abonnees; Volg dezelfde procedure in stap 2 en compleet op alle abonnees in uw cluster Als het cluster alleen in gemengde modus is en de CAPF is

geregenereerd - update het CTL voordat u verder gaat met Token - Token zonder TokenAls cluster in Gemengde Modus is, moet de Call Manager-service ook opnieuw worden gestart voordat andere services opnieuw worden opgestart

3.

Nadat alle knooppunten het CAPF-certificaat hebben gereproduceerd, kunt u de services opnieuw opstarten

Navigeren naar de Cisco Unified Services van de uitgever Cisco Unified Services > Tools >

Control Center - functieservicesBegin met de uitgever en selecteer Start alleen de functie Proxy van de Cisco certificaatinstantie alleen in bedrijf

4.

Navigeren in naar Cisco Unified Services > Tools > Control Center - Network Services Begin met de uitgever en ga verder met de abonnees en selecteer Start op Cisco Trustverificatie- serviceNavigeren in naar Cisco Unified Services > Tools > Control Center -

functieservicesBeginnen met de uitgever en doorgaan met de abonnees, Cisco TFTP-service opnieuw opstarten alleen wanneer deze actief is.

5.

Herstart alle telefoons Cisco Unified CM-beheer > Systeem > Enterprise-

parametersSelecteer Reset en dan ziet u een pop-up met de verklaring die U op het punt staat alle apparaten in het systeem opnieuw in te stellen. Deze actie kan niet worden ongedaan gemaakt. Doorgaan?,selecteer OK en selecteer vervolgens Beginwaarden 6.

De telefoons worden nu opnieuw ingesteld. Controleer hun acties via RTMT-gereedschap om er zeker van te zijn dat de reset geslaagd is en dat apparaten zich terugregistreren op CUCM.

Wacht tot de telefoonregistratie is voltooid voordat u naar het volgende certificaat gaat. Dit proces van het registreren van telefoons kan enige tijd in beslag nemen. Aanbevolen wordt dat apparaten die voor het regeneratieproces slechte ITL's hadden, zich mogelijk niet meer terugschrijven naar het cluster.

CallManager-certificaat

Waarschuwing: Zorg ervoor dat u hebt geïdentificeerd als uw Cluster in Gemengde modus is voordat u doorgaat. Raadpleeg sectie Identificeren als uw cluster in Mix-mode of niet-veilige modus is.

Waarschuwing: Regenereren niet tegelijkertijd CallManager.PEM- en TVS.PEM-certificaten.

Dit zal een onherstelbare mismatch van het geïnstalleerde ITL op eindpunten veroorzaken waardoor de ITL uit ALLE eindpunten in het cluster moet worden verwijderd.

Navigeer naar de Cisco Unified CM-beheerder > Systeem > Enterprise-parameters.

Controleer de sectie Security parameters en controleer of de Cluster Security Mode is

ingesteld op 0 of 1. Als de waarde 0 is en het cluster in niet-beveiligde modus staat. Als het 1 is dan is de cluster in gemengde modus en u moet het CTL bestand updaten voordat u de services opnieuw start. Zie onderstaande koppelingen voor Token en Tokenless.

1.

Beveiliging > certificaatbeheer > Zoeken 2.

(8)

Selecteer het CallManager-pem-certificaat.Selecteer na openen de optie Opnieuw genereren en wacht tot u het Success pop-up ziet, sluit dan de pop-up of ga terug en selecteer

Zoeken/Lijst

Doorgaan met volgende abonnees; Volg dezelfde procedure in stap 2 en compleet voor alle abonnees in uw cluster. Als het cluster alleen in gemengde modus is en de CAPF is

geregenereerd - update het CTL voordat u verder gaat met Token - Token zonder Token 3.

Meld u aan bij Cisco Unified Services Navigeren in naar Cisco Unified Services > Tools >

Control Center - functieservicesBegin met de uitgever en ga verder met de abonnees, start de Cisco CallManager Service opnieuw op het moment dat deze actief is.

4.

Navigeren in naar Cisco Unified Services > Tools > Control Center - functieservices Beginnen met de uitgever en doorgaan met de abonnees, Cisco CTIManager Service opnieuw opstarten alleen wanneer deze actief is

5.

Navigeren in naar Cisco Unified Services > Tools > Control Center - Network Services Beginnen met de uitgever en doorgaan met de abonnees, Cisco Trust Verification Service opnieuw opstarten

6.

Navigeren in naar Cisco Unified Services > Tools > Control Center - functieservices Beginnen met de uitgever en doorgaan met de abonnees, Cisco TFTP-service opnieuw opstarten alleen wanneer deze actief is

7.

TVS-certificaat

Waarschuwing: Regenereren niet tegelijkertijd CallManager.PEM- en TVS.PEM-

certificaten. Dit zal een onherstelbare mismatch van het geïnstalleerde ITL op eindpunten veroorzaken waardoor de ITL uit ALLE eindpunten in het cluster moet worden verwijderd.

Opmerking: TVS authenticeert certificaten namens Call Manager. Leve dit certificaat opnieuw genereren.

Navigeer naar elke server in uw cluster (in afzonderlijke tabbladen van uw webbrowser) begint met de uitgever en vervolgens elke abonnee. Navigeren in naar Cisco Unified OS- beheer > Beveiliging > certificaatbeheer > Zoeken

Selecteer het TVS pem Certificate.Selecteer na openen de optie Opnieuw genereren en wacht tot u het Success pop-up ziet, sluit dan de pop-up of ga terug en selecteer

Zoeken/Lijst 1.

Doorgaan met volgende abonnees; Volg dezelfde procedure in stap 1 en compleet op alle abonnees in uw cluster Nadat alle knooppunten het TVS-certificaat opnieuw hebben

gegenereerd, start u de services opnieuw: Meld u aan bij Cisco Unified Services Navigeren 2.

(9)

in naar Cisco Unified Services > Tools > Control Center - Network ServicesSelecteer in de uitgeverij Start op Cisco Trustverificatieservice.Nadat de service opnieuw is gestart, gaat u door met de abonnees en start u de Cisco Trust Verification Service opnieuw.

Begin met de uitgever en ga vervolgens met de abonnees verder. Start Cisco TFTP-service alleen wanneer deze actief is.

3.

ITLR-certificaat

Opmerking: Het ITLR-certificaat wordt gebruikt wanneer apparaten hun vertrouwde status verliezen. Het certificaat verschijnt zowel in het ITL als in het CTL (wanneer CTL provider actief is).

Als apparaten hun vertrouwenstatus verliezen, kunt u de opdracht gebruiken om localkey opnieuw in te stellen voor niet-beveiligde clusters en de opdracht utils ctl localkey opnieuw instellen voor mix-mode clusters. Lees de Security Guide voor uw Call Manager versie om bekend te worden met de manier waarop het ITLR-certificaat wordt gebruikt en het proces dat vereist is om de vertrouwde status te herstellen.

Als het cluster is geüpgraded naar een versie die een sleutellengte van 2048 ondersteunt en de clusters servercertificaten zijn teruggebracht naar 2048 en de ITLRrecovery niet is

geregenereerd en momenteel de 1024-sleutellengte is, zal de ITL-terugwinningsopdracht mislukken en zal de ITLRterugwinningsmethode niet kunnen worden gebruikt.

Beveiliging > certificaatbeheer > Zoeken

Selecteer het ITLR-certificaat voor herstel.Selecteer na openen de optie Opnieuw genereren en wacht tot u het Success pop-up ziet, sluit dan de pop-up of ga terug en selecteer

Zoeken/Lijst 1.

Doorgaan met volgende abonnees; Volg dezelfde procedure in stap 2 en compleet op alle abonnees in uw cluster

2.

Nadat alle knooppunten het ITLRecertificaat opnieuw hebben gegenereerd, zullen de

diensten als volgt moeten worden herstart: Als u in Gemengde Modus bent - update het CTL voordat u Token verdergaat - Token zonder verbindingMeld u aan bij Cisco Unified Services Navigeren in naar Cisco Unified Services > Tools > Control Center - Network

ServicesSelecteer in de uitgeverij Start op Cisco Trustverificatieservice. Nadat de service opnieuw is gestart, gaat u door met de abonnees en start u de Cisco Trust Verification Service opnieuw.

3.

parametersSelecteer Reset en dan ziet u een pop-up met de verklaring die U op het punt staat alle apparaten in het systeem opnieuw in te stellen. Deze actie kan niet worden 4.

(10)

ongedaan gemaakt. Doorgaan?,selecteer OK en selecteer vervolgens Beginwaarden Telefoons zullen nu het nieuwe ITL/CTL uploaden terwijl ze resetten.

5.

Verlopen vertrouwen certificaten verwijderen

Opmerking: Vermeld de trust certificaten die moeten worden verwijderd, niet langer vereist of verlopen. Verwijder de vijf basiscertificaten niet die CallManager.pem, tomcat.pem,

ipsec.pem, CAPF.pem en TVS.pem omvatten. Trustcertificaten kunnen in voorkomend geval worden verwijderd. De service start hieronder om alle informatie over oude certificaten binnen deze services te wissen.

Navigeren in naar Cisco Unified Services > Tools > Control Center - Network Services Selecteer vanuit de vervolgkeuzelijst de CUCM PublisherSelecteer Kennisgeving stoppen met wijzigen van certificaatDoe dit voor elk knooppunt van Call Manager in uw clusterAls u een IMP-server hebt Selecteer uw IMP-servers één voor één in het uitrolmenu en selecteer Stop Platform Management Web Services en Cisco Intercluster Sync Agent

1.

Navigeren in naar Cisco Unified OS-beheer > Beveiliging > certificaatbeheer > Zoeken

Zoek de verlopen trust certificaten. (Voor versies 10.X en hoger kunt u filteren door Verlopen.

Voor versies onder 10.0 dient u de specifieke certificaten handmatig te identificeren of, indien ontvangen, via de RTMT-waarschuwingen)Hetzelfde vertrouwenscertificaat kan in meerdere knooppunten worden weergegeven. Het moet afzonderlijk van elk knooppunt worden

verwijderd.Selecteer het vertrouwelijkheidscertificaat dat moet worden verwijderd (afhankelijk van de versie krijgt u een pop-up-toets of wordt u naar het certificaat op dezelfde pagina bladeren) Selecteer Verwijderen (u krijgt een pop-up die met u begint en u wilt dit certificaat permanent verwijderen...)Selecteer OK

2.

Herhaal de procedure voor het verwijderen van elk trustcertificaat 3.

Na voltooiing zullen de diensten opnieuw moeten worden opgestart die rechtstreeks verband houden met de verwijderde certificaten. U hoeft de telefoons in deze sectie niet opnieuw op te starten. Call Manager en CAPF zullen een invloed hebben op endpoints. Tomcat-trust:

Start Tomcat-service via opdrachtregel (zie Tomcat-sectie) opnieuw opCAPF-trust: Start Cisco certificaatproxy-functie (zie CAPF-sectie) niet opnieuw opstarten

endpointsCallManager-trust: CallManager Service/CTIMManager (zie sectie CallManager) herstart geen endpoints Invloed op eindpunten en veroorzaakt herstartIPSEC-trust: Lokale DRF-master/DRF (zie sectie IPSEC)TVS (zelfgetekend) heeft geen vertrouwenscertificaten 4.

Eerder opgeslagen herstartservices in stap 1 5.

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.