将Expressway-Core的根/中间证书上传到CUCM

下载选项

  • PDF     (452.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (171.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (200.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 2 月 23 日
文档 ID:217748

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何将已签名Expressway-C证书的CA的根证书和中间证书上传到CUCM发布方。

    背景信息

    由于X14.0.2中Expressway上的流量服务器服务得到改进,即使CUCM处于非安全模式,只要服务器(CUCM)向它请求在8443以外的端口(例如6971,6972)上运行的服务,Expressway-C就会发送其客户端证书。由于此更改,需要将Expressway-C证书签名证书颁发机构(CA)同时作为tomcat-trust和callmanager-trust添加到CUCM中。

    在Expressway升级到X14.0.2或更高版本后,无法上传CUCM上的Expressway-C签名CA会导致MRA登录失败。

    要使CUCM信任Expressway-C发送的证书,tomcat-trust和callmanager-trust必须包括根CA和签署Expressway-C证书所涉及的任何中间CA。

    配置

    步骤1:获取签署Expressway C服务器证书的根证书和中间证书

    当您最初从签署该服务器证书的CA收到服务器证书时,您还拥有该服务器证书的根证书和中间证书,并将它们存储在安全位置。如果您仍拥有这些文件或可以再次从CA下载这些文件,则可转到第2步,在该步骤中您可以找到有关如何将其上传到CUCM的说明。

    如果您不再拥有这些文件,可以从Expressway-C Web界面下载它们。这有点复杂,因此强烈建议您联系您的CA以从他们下载信任库(如果可能)。

    在Expressway C上,导航到维护>安全>服务器证书,点击服务器证书旁边的显示(解码)按钮。这将打开一个包含Expressway-C服务器证书内容的新窗口/选项卡。您将在其中查找Issuer字段:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            55:00:00:02:21:bb:2d:41:60:55:d7:b2:27:00:01:00:00:02:21
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=DigiCert Inc, CN=DigiCert Global CA-1
        Validity
            Not Before: Dec  8 10:36:57 2021 GMT
            Not After : Dec  8 10:36:57 2023 GMT
        Subject: C=BE, ST=Flamish-Brabant, L=Diegem, O=Cisco, OU=TAC, CN=vcs-c1.vngtp.lab
        Subject Public Key Info:
    ...

    在本示例中,Expressway-C服务器证书由组织DigiCert Inc.颁发,其通用名为DigiCert Global CA-1。

    现在,导航到维护>安全>受信任CA证书,并在列表中查看您是否有证书与“主题”字段中的值完全相同。在本示例中,即Subject字段中的O=DigiCert Inc, CN=DigiCert Global CA-1。如果找到匹配项,则意味着这是一个中间CA。您需要此文件,并且需要继续查找,直到找到根CA。

    如果找不到匹配项,请在Issuer字段中搜索具有此值的证书,其主题与Matches Issuer匹配。如果找到匹配项,则意味着这是根CA文件,这是我们需要的唯一文件。

    Expressway信任库Expressway信任库

    在本示例中,在找到证书后,您会发现Subject字段与Issuer字段不匹配。这意味着这是一个中间CA证书。除了根证书之外,您还需要此证书。如果主题表明与颁发者匹配,则您将知道这是根证书颁发机构,也是您需要信任的唯一证书。

    如果您有中间证书,您需要继续操作,直到我们找到根证书。为此,请查看您的中间证书的Issuer字段。然后在Subject字段中查找具有相同值的证书。在我们的示例中,这是O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA -您将在Subject字段中查找具有此值的证书。如果无法找到匹配的证书,则在Issuer字段中查找此值,且Subject为Matches Issuer。

    在本示例中,您可以看到Expressway C服务器证书由中间CA O=DigiCert Inc.签署,CN=DigiCert Global CA-1由根CA O=DigiCert Inc.签署。OU=www.digicert.com,CN=DigiCert Global Root CA。由于您已经找到根CA,因此操作已完成。但是,如果您找到了另一个中间CA,则需要继续此过程,直到您确定了每个中间CA和根CA。

    要下载根证书文件和中间证书文件,请单击列表下的Show all (PEM file)按钮。这将以PEM格式显示所有根证书和中间证书。向下滚动,直至找到与您的中间证书或根证书之一匹配的证书。在本示例中,您首先找到的证书是O=DigiCert Inc, CN=DigiCert Global Root CA -您需要将此证书复制到一个文件中,然后将其保存到本地。

    ...
    Epn3o0WC4zxe9Z2etiefC7IpJ5OCBRLbf1wbWsaY71k5h+3zvDyny67G7fyUIhz
ksLi4xaNmjICq44Y3ekQEe5+NauQrz4wlHrQMz2nZQ/1/I6eYs9HRCwBXbsdtTLS
R9I4LtD+gdwyah617jzV/OeBHRnDJELqYzmp
-----END CERTIFICATE-----

O=DigiCert Inc, CN=DigiCert Global Root CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

O=The Go Daddy Group, Inc.
-----BEGIN CERTIFICATE-----
MIIEADCCAuigAwIBAgIBADANBgkqhkiG9w0BAQUFADBjMQswCQYDVQQGEwJVUzEh
MB8GA1UEChMYVGhlIEdvIERhZGR5IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBE
    ...

    对于根证书和最终中间证书,复制所有以(包含)-----BEGIN CERTIFICATE-----开头并以(包含)-----END CERTIFICATE-----结尾的证书。将每个证书放入单独的文本文件中,并在底部添加1个额外的空行(在带有-----END CERTIFICATE-----的行之后)。使用.pem扩展名保存这些文件:root.pem、intermediate1.pem、intermediate2.pem、...每个根/中间证书都需要单独的文件。对于上一个示例,我们的root.pem文件将包含:

    -----BEGIN CERTIFICATE-----
MIIDrzCCApegAwIBAgIQCDvgVpBCRrGhdWrJWZHHSjANBgkqhkiG9w0BAQUFADBh
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBD
QTAeFw0wNjExMTAwMDAwMDBaFw0zMTExMTAwMDAwMDBaMGExCzAJBgNVBAYTAlVT
MRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxGTAXBgNVBAsTEHd3dy5kaWdpY2VydC5j
b20xIDAeBgNVBAMTF0RpZ2lDZXJ0IEdsb2JhbCBSb290IENBMIIBIjANBgkqhkiG
9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4jvhEXLeqKTTo1eqUKKPC3eQyaKl7hLOllsB
CSDMAZOnTjC3U/dDxGkAV53ijSLdhwZAAIEJzs4bg7/fzTtxRuLWZscFs3YnFo97
nh6Vfe63SKMI2tavegw5BmV/Sl0fvBf4q77uKNd0f3p4mVmFaG5cIzJLv07A6Fpt
43C/dxC//AH2hdmoRBBYMql1GNXRor5H4idq9Joz+EkIYIvUX7Q6hL+hqkpMfT7P
T19sdl6gSzeRntwi5m3OFBqOasv+zbMUZBfHWymeMr/y7vrTC0LUq7dBMtoM1O/4
gdW7jVg/tRvoSSiicNoxBN33shbyTApOB6jtSj1etX+jkMOvJwIDAQABo2MwYTAO
BgNVHQ8BAf8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUA95QNVbR
TLtm8KPiGxvDl7I90VUwHwYDVR0jBBgwFoAUA95QNVbRTLtm8KPiGxvDl7I90VUw
DQYJKoZIhvcNAQEFBQADggEBAMucN6pIExIK+t1EnE9SsPTfrgT1eXkIoyQY/Esr
hMAtudXH/vTBH1jLuG2cenTnmCmrEbXjcKChzUyImZOMkXDiqw8cvpOp/2PV5Adg
06O/nVsJ8dWO41P0jmP6P6fbtGbfYmbW0W5BjfIttep3Sp+dWOIrWcBAI+0tKIJF
PnlUkiaY4IBIqDfv8NZ5YBberOgOzW6sRBc4L0na4UU+Krk2U886UAb3LujEV0ls
YSEY1QSteDwsOoBrp+uvFRTp2InBuThs4pFsiv9kuXclVzDAGySj4dzp30d8tbQk
CAUw7C29C79Fv1C5qfPrmAESrciIxpg0X40KPMbp1ZWVbd4=
-----END CERTIFICATE-----
    注释图标

    注意:底部必须有一个空行。

    第二步:在CUCM上上传根证书和中间证书(如果适用)

    • 登录到CUCM Publisher的Cisco Unified OS Administration页面。
    • 导航到安全>证书管理
    • 单击Upload Certificate/Certificate chain按钮。
    • 在新窗口中,开始从第1步上传根证书。将其上传到tomcat-trust。

    CUCM Tomcat-Trust上传

    • 单击Upload按钮,然后必须看到Success: Certificate Uploaded。忽略要求您立即重新启动Tomcat的消息。
    • 现在使用CallManager-trust上传相同的根文件作为证书用途。
    • 对Expressway-C上正在使用的所有中间证书重复上述步骤(上传到tomcat-trust和CallManager-trust)。

    第三步:在CUCM上重新启动必要的服务

    需要在CUCM集群中的每个CUCM节点上重新启动这些服务:

    • Cisco CallManager
    • Cisco TFTP
    • Cisco Tomcat

    Cisco CallManager和Cisco TFTP可以从CUCM的Cisco Unified Serviceability页面重新启动:

    • 登录到CUCM Publisher的Cisco Unified serviceability页面。
    • 导航到工具>控制中心-功能服务
    • 选择Publisher作为服务器。
    • 选择Cisco CallManager服务,然后单击Restart按钮。
    • 重新启动Cisco CallManager服务后,选择Cisco TFTP service,然后单击Restart按钮。

    Cisco Tomcat只能从CLI重新启动:

    • 打开与CUCM发布服务器的命令行连接。
    • 使用命令utils service restart Cisco Tomcat。 

    相关信息

    技术支持和文档- 思科系统

    修订历史记录

    版本 发布日期 备注
    3.0
    23-Feb-2024
    更新了技术内容,以便更清晰和更丰富的信息。 更新了简介、PII、SEO和格式。
    2.0
    03-Jul-2023
    更新了标题、简介、PII、SEO、机器翻译、拼写和格式。 添加了“相关信息”部分。
    1.0
    19-Mar-2022
    初始版本
    TAC Authored

    由思科工程师提供

    • 彼得·库姆斯
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们