將Expressway核心的根/中間證書上傳到CUCM

下載選項

  • PDF     (470.5 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (171.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (199.9 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 2 月 23 日
文件 ID:217748

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何將已簽名Expressway-C證書的CA的根證書和中間證書上傳到CUCM發佈伺服器。

    背景資訊

    由於X14.0.2中Expressway上的流量伺服器服務的改進,即使伺服器(CUCM)處於非安全模式,只要伺服器(CUCM)請求在8443以外的埠(例如,6971,6972)上運行的服務,Expressway-C就會傳送其客戶端證書。由於進行了此更改,因此需要將Expressway-C證書簽名證書頒發機構(CA)同時作為tomcat-trust和callmanager-trust增加到CUCM中。

    在Expressway升級到X14.0.2或更高版本後,無法上傳CUCM上的Expressway-C簽名CA導致MRA登入失敗。

    要使CUCM信任Expressway-C傳送的證書,tomcat-trust和callmanager-trust必須包含根CA以及參與簽署Expressway-C證書的任何中間CA。

    組態

    步驟 1.獲取簽署Expressway C伺服器證書的根證書和中間證書

    當您最初從簽署該伺服器證書的CA收到伺服器證書時,您還擁有該伺服器證書的根證書和中間證書,並將它們儲存在安全位置。如果您仍然擁有這些檔案或可以從您的CA再次下載這些檔案,則可以轉到第2步,在該步中可以找到有關如何將它們上傳到CUCM的說明。

    如果不再擁有這些檔案,您可以從Expressway-C Web介面下載它們。這有點複雜,因此強烈建議您聯絡您的CA,儘可能從他們下載信任庫。

    在Expressway-C上,導航到維護>安全>伺服器證書,然後按一下「伺服器證書」旁邊的顯示(解碼)按鈕。這將打開一個包含Expressway-C伺服器證書內容的新窗口/頁籤。您可以在此處查詢「頒發者」欄位:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            55:00:00:02:21:bb:2d:41:60:55:d7:b2:27:00:01:00:00:02:21
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=DigiCert Inc, CN=DigiCert Global CA-1
        Validity
            Not Before: Dec  8 10:36:57 2021 GMT
            Not After : Dec  8 10:36:57 2023 GMT
        Subject: C=BE, ST=Flamish-Brabant, L=Diegem, O=Cisco, OU=TAC, CN=vcs-c1.vngtp.lab
        Subject Public Key Info:
    ...

    在本示例中,Expressway-C伺服器證書由DigiCert Inc.組織頒發,其通用名稱為DigiCert Global CA-1。

    現在,導航到維護>安全>受信任CA證書,在清單中檢視您是否有證書在「主題」欄位中具有完全相同的值。在本示例中,這是Subject欄位中的O=DigiCert Inc, CN=DigiCert Global CA-1。如果找到匹配項,則表示這是中繼CA。您需要此檔案,並且需要繼續查詢,直到找到根CA。

    如果您找不到相符專案,請在「簽發者」欄位中搜尋具有此值的憑證,且其主旨與簽發者相符。如果您找到相符專案,則表示這是根CA檔案,是我們唯一需要的檔案。

    Expressway信任儲存Expressway信任儲存

    在本例中,在找到證書後,您注意到Subject欄位與Issuer欄位不匹配。這表示這是中繼CA憑證。除了根憑證之外,您還需要此憑證。如果主題表明與頒發者匹配,則您會知道這是根證書頒發機構,也是您需要信任的唯一證書。

    如果您有中間憑證,您必須繼續執行,直到我們找到根憑證為止。為此,請檢視您的中間證書的Issuer欄位。然後在Subject欄位中查詢具有相同值的證書。在我們的示例中,這是O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA -您將在Subject欄位中查詢具有此值的證書。如果找不到相符的憑證,請在主旨為相符簽發者的[簽發者]欄位中尋找此值。

    在本示例中,您可以看到我們的Expressway C伺服器證書由中間CA O=DigiCert Inc.簽署,CN=DigiCert Global CA-1由根CA O=DigiCert Inc.簽署。OU=www.digicert.com,CN=DigiCert Global Root CA。由於您已經找到根CA,因此您的工作已經完成。但是,如果您找到另一個中間CA,則需要繼續此過程,直到您辨識出每個中間CA和根CA。

    要下載根證書檔案和中間證書檔案,請按一下清單下的Show all (PEM file)按鈕。這會以PEM格式顯示所有根和中間證書。向下滾動,直到找到符合其中一個中間憑證或根憑證的憑證。在本示例中,您首先找到的是O=DigiCert Inc, CN=DigiCert Global Root CA -您需要將此證書複製到一個檔案並將其儲存在本地。

    ...
    Epn3o0WC4zxe9Z2etiefC7IpJ5OCBRLbf1wbWsaY71k5h+3zvDyny67G7fyUIhz
ksLi4xaNmjICq44Y3ekQEe5+NauQrz4wlHrQMz2nZQ/1/I6eYs9HRCwBXbsdtTLS
R9I4LtD+gdwyah617jzV/OeBHRnDJELqYzmp
-----END CERTIFICATE-----

O=DigiCert Inc, CN=DigiCert Global Root CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

O=The Go Daddy Group, Inc.
-----BEGIN CERTIFICATE-----
MIIEADCCAuigAwIBAgIBADANBgkqhkiG9w0BAQUFADBjMQswCQYDVQQGEwJVUzEh
MB8GA1UEChMYVGhlIEdvIERhZGR5IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBE
    ...

    對於每個根和最終的中間證書,複製所有以(包括)-----BEGIN CERTIFICATE-----開頭(包括)-----END CERTIFICATE-----結尾的內容。將每個檔案放在不同的文字檔案中,並在底部加上1個額外的空白行(在-----END CERTIFICATE-----行之後)。以.pem副檔名儲存這些檔案:root.pem、intermediate1.pem、intermediate2.pem、...每個根/中間憑證都需要一個單獨的檔案。在上一個範例中,我們的root.pem檔案將包含:

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
    附註圖示

    注意:底部必須有一個空行。

    步驟 2.上傳CUCM上的根證書和中間證書(如果適用)

    • 登入您的CUCM發佈伺服器的Cisco Unified OS Administration頁面。
    • 導航到安全>證書管理
    • 按一下Upload Certificate/Certificate chain按鈕。
    • 在新視窗中,開始從步驟1上傳根憑證。上傳至tomcat-trust。

    CUCM Tomcat-Trust上傳

    • 按一下Upload按鈕,然後必須看到Success: Certificate Uploaded。忽略要求您立即重新啟動Tomcat的消息。
    • 現在使用CallManager-trust上傳相同的根檔案以用於證書目的。
    • 對Expressway-C上使用的所有中間證書重複上述步驟(上傳到tomcat-trust和CallManager-trust)。

    步驟 3.在CUCM上重新啟動必要的服務

    需要在CUCM集群中的每個CUCM節點上重新啟動這些服務:

    • Cisco CallManager
    • Cisco TFTP
    • Cisco Tomcat

    可以從CUCM的Cisco Unified Serviceability頁面重新啟動Cisco CallManager和Cisco TFTP:

    • 登入到CUCM發佈伺服器的Cisco Unified Serviceability頁面。
    • 導航到工具>控制中心-功能服務
    • 選擇您的Publisher作為伺服器。
    • 選擇Cisco CallManager服務,然後按一下Restart按鈕。
    • 重新啟動Cisco CallManager服務後,選擇Cisco TFTP service,然後按一下Restart按鈕。

    Cisco Tomcat只能從CLI重新啟動:

    • 打開與CUCM發佈伺服器的命令列連線。
    • 使用命令utils service restart Cisco Tomcat。 

    相關資訊

    技術支援與檔案- Cisco Systems

    修訂記錄

    修訂 發佈日期 意見
    3.0
    23-Feb-2024
    更新技術內容,讓內容更清晰、資訊更豐富。 更新了Introduction 、 PII 、 SEO和Formatting。
    2.0
    03-Jul-2023
    已更新標題、簡介、PII、SEO、機器翻譯、拼字與格式設定。 增加了「相關資訊」部分。
    1.0
    19-Mar-2022
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Peter Kums
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您