Преглед на управлението на сертификати

Централизирано управление на сертификати е базирана на облак услуга, предлагаща едно място за преглед и управление на сертификати на Cisco Unified Communications Manager, IM и Presence и Cisco Unity Connection и Cisco Emergency Responder в множество клъстери.

Преди да започнете:

Трябва да активирате услугата за управление на сертификати на страницата за управление на услуги за желания клъстер. За повече информация вж Активирайте свързани с облак UC услуги в Control Hub.

Централизирано управление на сертификати предлага тези ключови функции:

  • Многоклъстерно табло за управление, показващо състоянието на сертификата за всеки клъстер.

  • Подробен изглед на удостоверенията за самоличност и доверие на ниво отделен клъстер.

  • Възможност за извършване на операции със сертификати, като генериране на CSR, качване на сертификат, подновяване, изтегляне, копиране, замяна и премахване.

  • Табло за управление на сигнали, за да видите изтекли и скоро изтичащи сертификати.

  • Възможност за конфигуриране на известия, като например известие по имейл за изтичане на сертификата.

  • Разпределете сертификатите в множество хранилища за доверие и клъстери.

  • Дефинирайте профил на сертификат с различни настройки и присвойте към клъстер.

Не можете да разпространявате и заменяте сертификати в приложението Cisco Emergency Responder.

Достъп до услугата за управление на сертификати

Услугата за управление на сертификати в рамките на Cloud-Connected UC пакета от услуги управлява сертификати за локално внедряване.

За достъп до управлението на сертификати изпълнете следните стъпки:

1

От гледна точка на клиента в Webex Control Hub, отидете на Услуги > Свързан UC.

В Свързан UC се появява страница. В Управление на сертификати картата на тази страница предоставя функциите и функциите за управление на сертификати.

2

На Управление на сертификати карта, щракнете върху която и да е връзка, за да получите достъп до различните функции на управлението на сертификати.

Следната таблица изброява функционалностите, които са налични в управлението на сертификати:

Раздели

Описание

Предупреждения

Показва обобщение на всички изтекли и изтичащи сертификати. Администраторът може да предприеме необходимите действия за удостоверения за самоличност или доверие, за да ги поддържа актуални.

Клъстери

Показва обобщение на статуса на сертификатите в клъстерите в дадената организация и позволява на администратора да предприема необходимите действия относно сертификатите за самоличност или доверени сертификати.

  • Можете да видите всички сертификати за самоличност и доверие на конкретен клъстер в рамките на организация.

  • Разделът Jobs показва обобщение на всички действия, които се извършват върху сертификатите.

Профили

Проверява дали сертификатите в клъстера отговарят на конфигурираните настройки. Можете да създадете персонализиран профил за управление на сертификати и да ги свържете с клъстер.

Настройки

Конфигурирайте имейл адресите на администраторите, за да получавате известия за изтичане на сертификата. Всички полета могат да се конфигурират в страницата Настройки на Управление на сертификати.
Достъп до страницата със сигнали

Използвай Сигнали страница, за да направите следното:

  • Вижте сертификати с изтекъл срок или изтичащи скоро

  • Сертификат на филтъра

  • Филтрирайте по продукт, за да видите състоянието на сертификата.

1

От гледна точка на клиента в Webex Control Hub, отидете на Услуги > Свързан UC.

В Свързан UC се появява страница.

2

Щракнете върху Сигнали от Управление на сертификати карта.

Страницата показва както изтекли сертификати, така и сертификати, които скоро ще изтекат. Сертификатите изброяват подробности като име на клъстер, общо име, тип сертификат, статус на сертификата и дата на изтичане.

3

(По избор) Изберете една от следните опции:

  • Щракнете върху Търсене за търсене на конкретен сертификат.

  • Изберете един или повече сертификати от Сертификат за филтър падащ списък.

  • Изберете един или повече продукти от Филтриращи продукти падащ списък.

Избраните сертификати се появяват в списъка със сертификати заедно с подробности като клъстер, сертификат, общо име, продукт, тип, състояние, име на сървър и срок на валидност.

4

Изберете запис от страницата със списък, за да видите подробностите за сертификата.

Отваря се страничен панел за показване на подробностите за сертификата. Можете да видите Подробности за сертификата или Копирайте сертификата за формат PEM. Изпълнете всички операции, изброени в стъпка 6 от този панел.

5

Щракнете върху Близо за да затворите страничния панел и да се върнете към страницата с обяви.

6

Задръжте курсора на мишката върху запис на сертификат и щракнете върху многоточия, за да извършите различни операции върху сертификати за съхранение на самоличност и доверие.

Операции на Сертификати за самоличност са:

  • Подновяване на сертификат за самоподписан.

  • Генериране на CSR за подписан CA.

  • Качване на сертификат за CA Подписан и CSR се генерира на сертификата.

  • Изтеглете CSR за CA Signed и CSR се генерира на сертификата.

  • Изтрийте CSR за CA Signed и CSR се генерира върху сертификата.

Изтичане на сертификат

Използване на сертификата

Описание

Подновяване на сертификата

Използвайте Renew Certificate, когато сертификатът е самоподписан.

Използвайте повторно Tomcat сертификата, когато искате да използвате повторно сертификата Tomcat за избраната услуга.

В Подновяване на сертификат Прозорецът се показва въз основа на настройките на профила.

Изберете действието Подновяване на сертификата въз основа на избора в Настройки на профила страница, която е:

  • Използвайте повторно Tomcat Certificate- изберете Използвайте Tomcat в профила, опцията Reuse Tomcat е активирана.

  • Подновяване на сертификат- изберете Тип сертификат като самоподписан, Подновяването е активирано.

Прочетете предупредителното съобщение и щракнете Използвайте повторно Tomcat сертификат за подновяване на сертификата.

Генериране на CSR

Използвайте операция Генериране на CSR, когато типът сертификат е подписан от CA.

В Генерирайте CSR прозоречни дисплеи.

Щракнете върху Генерирайте за генериране на CSR.

Качване на сертификат

Използвайте операция Качване, когато типът сертификат е подписан от CA и CSR вече е генериран. Можете да качите верига от сертификати във формат .P7B или сертификата за самоличност във формат .pem или .der.

В Качване на сертификат прозоречни дисплеи.

  1. Щракнете върху Изберете файл за да качите сертификата.

    Прегледайте и качете сертификата от вашата локална машина.

  2. Щракнете върху Качване за да качите сертификата.

Разпространение на сертификата

Използвайте операция Разпределяне, за да разпределите сертификата до множество клъстери в една операция. Изберете множество клъстери и доверени магазини на Контролен център, сертификатът се разпространява към избраните клъстери.

В Раздайте сертификат прозоречни дисплеи.

  1. Изберете клъстери и тръстове, към които искате да разпределите сертификатите.

  2. Щракнете върху Разпределете за да асоциирате сертификатите с избраните клъстери и тръстове.

  3. Щракнете върху Добре за да затворите прозореца за разпространение на сертификат.

Тази процедура не работи при прилагане на CER.

Изтегляне на CSR

Използвайте Download CSR, когато типът сертификат е подписан от CA и CSR вече е генериран. Можете да изтеглите CSR, за да го подпишете от CA (сертифициращ орган).

Щракнете върху Изтеглете CSR, за да изтеглите заявката за подписване на CSR сертификат на вашата локална машина.

Изтриване на CSR

Използвайте операция Delete CSR, когато CSR трябва да бъде регенериран.

В Изтрийте CSR прозоречни дисплеи.

Прочетете предупредителното съобщение и щракнете Изтрий, за да изтриете заявката за подписване на CSR сертификат.

Ако настройките, конфигурирани от администратора в профила, не съвпадат с атрибутите на сертификата, срещу сертификата се появява икона за предупреждение. Пример: Tomcat сертификатът е самоподписан, но в настройките на профила е настроен на CA подписан, това води до несъответствие.

Не щракайте Изпращане несъзнателно, без да проверявате несъответствията, тъй като това може да доведе до проблеми.

Операции на Сертификати на Trust Store са:

  • Заместване на сертификат

  • Премахване на сертификата

Изтичане на сертификат

Използване на сертификата

Описание

Заместване на сертификат

Използвайте Замени сертификат, за да замените съществуващия сертификат с нов сертификат.

В Сменете сертификат прозоречни дисплеи.

  1. Щракнете върху Изберете файл за да изберете нов сертификат.

    Прегледайте и качете новия сертификат от вашата локална машина.

  2. Щракнете върху Сменете за замяна на сертификата.

Тази процедура не работи при прилагане на CER.

Премахване на сертификата

Използвайте Премахване на сертификат, когато администраторът иска да премахне скоро изтичащ и изтекъл сертификат.

В Премахване на сертификата прозоречни дисплеи.

  1. Изберете клъстери и тръстове, от които искате да изтриете сертификатите.

  2. Щракнете върху Следващия за да премахнете сертификата от избраните клъстери и тръстове.

  3. Прочетете предупредителното съобщение и щракнете Премахване да премахнете сертификата.

Доверената операция Премахване на сертификат или замяна на сертификат може да е неуспешна с грешка Файлът не е намерен. Тази грешка се появява, когато операцията се изпълнява на много клъстери със смесени версии на версии 12.5 SU5 и 14 SU1.

Решение: Опитайте отново операцията на неуспешни възли. Проверете грешката на страницата с подробности за работни места за съответния клъстер, която гласи Сертификатът не можа да бъде премахнат, защото не присъства на този възел.

Общи операции на Сертификати на Trust Store и Сертификати за самоличност са:

  • Изтегляне на .der

  • Изтегляне на .pem

Тип операция на сертификата

Използване на сертификата

Описание

Изтегляне на .der

Използвайте Download.der, за да изтеглите двоичния формат на сертификата. DER (Distinguished Encoding Rules) е цифров сертификат.

Щракнете върху Изтеглете .der, за да изтеглите .der (двоичен) формат на сертификата.

Сертификатът .der се изтегля на вашата локална машина.

Изтегляне на .pem

Използвайте Download.pem, за да изтеглите сертификата във формат .pem. PEM (Privacy Enhanced Mail) е Base64 кодиран DER сертификат във формат ASCII.

Щракнете върху Изтеглете .pem, за да изтеглите формата .pem (ASCII) на сертификата.

Сертификатът .pem се изтегля на вашата локална машина.

7

Операцията със сертификат се добавя към списъка с работни места. Можете да видите напредъка под Работни места раздел.

ИЛИ

  1. Щракнете върху Работни места връзка, за да видите хода на операцията със сертификата.

  2. Щракнете върху Добре за да затворите прозореца на сертификата.

Достъп до страницата за клъстери

Страницата Клъстери изброява обобщение на статуса на сертификатите по клъстер за всички клъстери в организацията.

1

От гледна точка на клиента в Webex Control Hub, отидете на Услуги > Свързан UC.

В Свързан UC се появява страница.

2

Щракнете върху Клъстери от Управление на сертификати карта.

Страницата с обобщение на клъстера показва клъстери с подробности като име на клъстер, състояние, продукт и профил, свързан с клъстера. Администраторът може да промени асоциирането по подразбиране на стандартния профил с потребителския профил за клъстер.

3

(По избор) Изберете една от следните опции:

  • Щракнете върху Търсене за търсене на конкретен клъстер.

  • В Филтриращи продукти падащо меню, изберете един или повече продукти.

4

Щракнете върху запис на клъстер в страницата с обявата, за да посетите Подробности за клъстера страница, която показва сертификатите за самоличност, които са свързани с избрания клъстер.

Можете да навигирате до Доверен магазин раздел или Работни места раздел. Разделът Trust Store показва всички сертификати в клъстер в различни хранилища за доверие. Разделът Задачи изброява операциите, които се извършват върху сертификати и състоянието на действието.

Панелът на таблото за управление показва тези карти:

  1. Сертификати за самоличност

  2. Надеждни сертификати

  3. Още подробности

За картата със сертификати за самоличност и доверие се показва обобщение на валидни, изтекли и скоро изтичащи сертификати. За картата за работни места се показва обобщение на общите, завършените и чакащите задачи за текущия месец.

Раздел Сертификат за самоличност за достъп

Раздел Сертификат за самоличност за достъп

Използвай Сертификат за самоличност за да видите всички сертификати за самоличност, присъстващи в клъстер. Можете да търсите конкретен сертификат за самоличност или да видите подробностите за сертификат и да извършите необходимите операции.
1

От гледна точка на клиента в Webex Control Hub, отидете на Услуги> Свързан UC.

В Свързан UC се появява страница.

2

Щракнете върху Клъстери от Управление на сертификати карта.

3

Щракнете върху запис на клъстер в страницата с обявата, за да посетите Подробности за клъстера страница, която показва сертификатите за самоличност, които са свързани с клъстера.

За клъстери с версии на Cisco Emergency Responder 12.5 или 14 сертификатът tomcat-ECDSA не се поддържа.

4

(По избор) Щракнете върху Търсене , за да потърсите конкретен сертификат.

5

(По избор) В Сертификат за филтър падащо меню, изберете един или повече сертификати въз основа на техния тип.

Сертификатите се появяват в списъка със сертификати заедно с подробности като име на сървъра, общо име, тип сертификат, статус на сертификата и дата на изтичане.

6

Щракнете върху запис от страницата с списъка, за да видите подробности за сертификата.

Отваря се страничен панел за показване на подробностите за сертификата. Можеш да видиш Подробности за сертификата или Копирайте сертификата за формат PEM. Можете също да извършите всички операции, изброени в стъпка 8 от този панел.

7

Щракнете върху Близо за да затворите страничния панел и да се върнете към страницата с обяви.

В Предупредителен знак се появява, когато съществуващият атрибут на сертификат не съвпада с профила и сертификатът е несъвместим.

8

Задръжте курсора на мишката върху записа на сертификата и щракнете върху многоточия, за да извършите различни операции. Виж Операции на Сертификати за самоличност за детайли.

9

(По избор) Щракнете Виж профил.

Показва се профилът, свързан с клъстера.

Достъп до раздела Trust Store

Достъп до раздела Trust Store

В Доверен магазин Разделът изброява всички сертификати в клъстер в различни хранилища за доверие.
1

От гледна точка на клиента в Webex Control Hub, отидете на Услуги > Свързан UC.

В Свързан UC се появява страница.

2

Щракнете върху Клъстери от Управление на сертификати карта.

3

Щракнете върху запис на клъстер в страницата с обявата, за да посетите Подробности за клъстера страница.

4

Щракнете върху Доверен магазин раздел, за да видите списъка със сертификати.

Сертификатите се появяват в списъка със сертификати с подробности като общо име, сериен номер, издадено от, състояние и дата на изтичане.

5

(По избор) Щракнете върху Търсене , за да потърсите конкретен сертификат.

6

(По избор) В Сертификат за филтър падащо меню, изберете един или повече сертификати.

Сертификатите се появяват в списъка със сертификати с подробности като общо име, сериен номер, издадено от, състояние и дата на изтичане.

7

Щракнете върху запис от страницата с списъка, за да видите подробности за сертификата.

Отваря се страничен панел за показване на подробностите за сертификата. За да видите всички клъстери, които са свързани със сертификата, вж Подробности за сертификата или Копирайте сертификата за формат PEM. Можете също да извършите всички операции, изброени в стъпка 9, от този панел.

8

Щракнете върху Близо за да затворите страничния панел и да се върнете към страницата с обяви.

9

Задръжте курсора на мишката върху запис на сертификат и щракнете върху многоточия, за да извършите различни операции.

Виж Операции на Сертификати на Trust Store за подробности.
10

Щракнете върху записа на сертификат с изтекъл статус, за да качите актуализиран сертификат в Trust Store.

11

Щракнете върху Качване в Trust.

В Качване на сертификат прозоречни дисплеи.

12

Изберете необходимите клъстери, които да свържете с хранилището за доверие.

Прочетете внимателно изведеното предупредително съобщение, преди да извършите операцията.

13

Щракнете върху Изберете файл за да потърсите сертификат.

14

Щракнете върху Качване за да качите сертификата в хранилището за доверие за необходимите клъстери.

Операциите за доверие за IPsec и CAPF не се поддържат чрез абонатни възли в Control Hub. Администраторът трябва да извърши тези операции на място.

Ограничения

Ограничение на CH за операции с надеждни сертификати:

  1. Ако има някаква услуга за доверие, за която не се извършва реплициране на възли от същия клъстер, администраторът трябва да извърши тези операции на място. Напр. capf, ipsec.
  2. Всички операции, свързани с тръста, се изпращат само до възела на издателя на клъстера, така че операцията може да се извърши само през възела на кръчмата, не може да се извърши от подвъзли.
    1. Премахване на доверието
    2. Заместване на доверието
    3. Разпределяне на тръста
    4. Качване на тръст

Ограничение за премахване на доверени операции:

  1. Операцията може да се извърши само през възела Pub.
  2. Ако сертификатът не присъства във възела на кръгчето и присъства в подвъзли, операцията не може да се извърши чрез Control Hub. Операцията трябва да се извърши на място.

Достъп до раздела за работни места

Достъп до раздела за работни места

Разделът Задания показва обобщение на всички операции, които се изпълняват. Разделът Задачи показва обобщение на общите, завършените и чакащите работни места за текущия месец.

1

От гледна точка на клиента в Webex Control Hub, отидете на Услуги > Свързан UC.

В Свързан UC се появява страница.

2

Щракнете върху Клъстери от Управление на сертификати карта.

3

Щракнете върху запис на клъстер в страницата с обявата, за да посетите Подробности за клъстера страница.

4

Щракнете върху Работни места раздел, за да видите списъка със задачи, изпълнени през текущия месец.

5

В падащия списък Текущ месец изберете необходимия период, за да видите резюмето на заданието.

Състоянието на заданието се появява в резюмето на заданието заедно с подробности като тип работа, възел, времеви печат, сертификат и информация за продукта.

6

Щракнете върху запис от страницата с обяви, за да видите подробностите за работата.

Отваря се страничен панел, за да се покажат подробностите за заданието.

7

Щракнете върху Близо за да затворите страничния панел и да се върнете към страницата с обяви.

Достъп до страницата с профили

Страницата Профили ви позволява да дефинирате настройки, като например Multi-Server/Multi-SAN, CA-подписан или самоподписан, период на валидност, RSA или ECDSA, дължина на ключа, алгоритъм за хеширане.

Използвайте отделни профили за всяка версия на клъстера. Например, ако клъстерът работи с версия 12.x, трябва да виждате само функции 12.x, докато извършвате операции със сертификат.

При създаването на персонализирания профил администраторът може да свърже новосъздадения персонализиран профил към клъстер.

1

От гледна точка на клиента в Cisco Webex Control Hub, отидете на Услуги > Свързан UC.

В Свързан UC се появява страница.

2

Щракнете върху Профили от Управление на сертификати карта.

В Профили се появява страница със списък на създадените профили.

По подразбиране услугата за управление на сертификати предоставя стандартния профил и всички клъстери, активирани за услугата за управление на сертификати, са свързани с този профил. Това е профил само за преглед. Задръжте курсора на мишката върху профила и щракнете върху многоточия, за да видите или копирате профила.

3

Задръжте курсора на мишката върху име на профил и щракнете върху многоточия, за да извършите различни операции като:

  • Редактиране

    1. Щракнете върху редактиране за да редактирате избрания профил.

  • Изтриване

    1. Прочетете предупредителното съобщение и щракнете Изтрий за да изтриете избрания профил.

  • Копирай

    1. Щракнете върху копие за да копирате избрания профил.

      В Копие на потребителски профил се появява прозорец.

    2. Щракнете върху Създайте за да актуализирате или промените настройките за всеки от продуктите, ако е необходимо. В противен случай създайте копие на избрания профил.

4

Щракнете върху Добавяне на профил за да създадете нов персонализиран профил.

5

Въведете име на профила

6

Поставете отметка в квадратчето, ако искате да зададете профила по подразбиране.

7

Въведи а Описание за профила.

8

Определете различните настройки на сертификата за всеки от продуктите

9

Щракнете върху Създайте за да създадете профила.

Ако сте задали персонализиран профил по подразбиране, премахнете отметката от квадратчето по подразбиране в потребителския профил, за да превключите обратно към стандартния профил по подразбиране.

10

(По избор) Свързване на профил с клъстер. Щракнете върху Клъстери раздела от горното меню, се показва страницата със списък с клъстери. Можете да свържете профил към клъстер от страницата с обяви.

Периодът на валидност за версиите 11.5x и 12.5x е 5 години независимо от стойността, избрана в падащия списък за валидност. Издание 14 нататък, срокът на валидност може да бъде между 5-20 години.

Не изпълнявайте операции, които са посочени като N в таблицата, в противен случай операциите се провалят.

Изтичане на сертификат

Поддържана версия

Функциониране на операцията

11.5

12.5

14 и по-късно

Подновяване на мулти сървърнNYВъпреки че тази операция се извършва на самоподписан сертификат с множество сървъри, тя работи само на един възел.
Повторна употребанNYОперацията работи само на Call Manager и Call Manager ECDSA в приложението Cisco Unified CM. Тази операция работи както за многосървърен сертификат, подписан от CA, така и за самоподписан сертификат за няколко сървъра.
Достъп до страницата с настройки

Системата автоматично изпраща имейл съобщение до получателите, когато даден сертификат е близо до датата на изтичане.

1

От гледна точка на клиента в Webex Control Hub, отидете на Услуги > Свързан UC.

В Свързан UC се появява страница.

2

Щракнете върху Настройки от Управление на сертификати карта.

3

Комплект Начален час за известяване.

Можете да зададете началния час за известяване между 30-365 дни.

4

Комплект Честота на уведомяване.

Можете да зададете честотата на уведомяване между 1-30 дни.

5

Въведете имейл адреса на Получатели на известия.

Можете да въведете максимум 25 имейл адреса.

6

Щракнете върху Запиши.

Всички получатели получават известие по имейл, както е показано на изображението, когато сертификатите са близо до датата на изтичане.