Přehled správy certifikátů

Centralizovaná správa certifikátů je služba založená na cloudu, která nabízí jediné místo pro prohlížení a správu certifikátů Cisco Unified Communications Manager, IM a Presence a Cisco Unity Connection a Cisco Emergency Responder napříč více klastry.

Dříve než začnete:

Musíte povolit službu Správa certifikátů na stránce Správa služeb pro požadovaný cluster. Další informace naleznete v části Enable Cloud-Connected UC Services in Control Hub.

Centralizovaná správa certifikátů nabízí tyto klíčové funkce:

  • Řídicí panel více clusterů zobrazující stav certifikátu pro každý cluster.

  • Detailní pohled na identifikační a svěřenecké certifikáty na úrovni jednotlivých klastrů.

  • Schopnost provádět certifikační operace, jako je generování CSR, nahrávání certifikátů, obnovování, stahování, kopírování, nahrazování a odstraňování.

  • Nástěnka upozornění pro zobrazení certifikátů, jejichž platnost vypršela a brzy vyprší.

  • Možnost konfigurovat oznámení, jako je e-mailové oznámení o vypršení platnosti certifikátu.

  • Rozdělte certifikáty mezi více důvěryhodných obchodů a klastrů.

  • Definujte profil certifikátu s různými nastaveními a přiřaďte jej ke klastru.

Nemůžete distribuovat a nahrazovat certifikáty v aplikaci Cisco Emergency Responder.

Přístup ke službě správy certifikátů

Služba Správa certifikátů v rámci cloudové sady služeb UC spravuje certifikáty pro nasazení v provozu.

Pro přístup ke správě certifikátů proveďte následující kroky:

1

Z pohledu zákazníka v řídicím centru Webex přejdětedo nabídky Služby > Připojená UC.

Zobrazí se stránka Connected UC. Karta správy certifikátů na této stránce poskytuje funkce a funkce správy certifikátů.

2

Na kartě Správa certifikátů klikněte na libovolný odkaz pro přístup k různým funkcím správy certifikátů.

Následující tabulka uvádí funkce, které jsou k dispozici ve správě certifikátů:

Karty

Popis

Upozornění

Zobrazí souhrn všech certifikátů, jejichž platnost vypršela. Správce může přijmout nezbytná opatření týkající se průkazů totožnosti nebo svěřeneckých certifikátů, aby je průběžně aktualizoval.

Clustery

Zobrazuje souhrn stavu certifikátů napříč clustery v dané organizaci a umožňuje správci provádět nezbytné akce s certifikáty identity nebo důvěryhodnosti.

  • Můžete zobrazit všechny certifikáty totožnosti a důvěry pro konkrétní klastr v rámci organizace.

  • Karta Úlohy zobrazuje souhrn všech akcí, které jsou prováděny na certifikátech.

Profily

Ověří, zda jsou certifikáty v clusteru v souladu s nakonfigurovaným nastavením. Můžete vytvořit vlastní profil správy certifikátů a přiřadit je ke klastru.

Nastavení

Pro příjem oznámení o vypršení platnosti certifikátu nakonfigurujte e-mailové adresy administrátorů. Všechna pole jsou konfigurovatelná na stránce Nastavení správy certifikátů.
Stránka přístupových upozornění

Na stránce Upozornění můžete provést následující kroky:

  • Zobrazit certifikáty, jejichž platnost vypršela nebo brzy vyprší

  • Filtrovat certifikát

  • Filtrovat podle produktu pro zobrazení stavu certifikátu.

1

Z pohledu zákazníka v řídicím centru Webex přejdětedo nabídky Služby > Připojená UC.

Zobrazí se stránka Connected UC.

2

Na kartě Správa certifikátů klikněte na Upozornění.

Stránka zobrazuje jak certifikáty, jejichž platnost vypršela, tak certifikáty, jejichž platnost brzy vyprší. Certifikáty obsahují podrobnosti, jako je název klastru, obecný název, typ certifikátu, stav certifikátu a datum vypršení platnosti.

3

(Volitelně) Vyberte jednu z následujících možností:

  • Pro vyhledávání konkrétního certifikátu klikněte na tlačítko Hledat.

  • Z rozevíracího seznamu Filtrovat certifikát vyberte jeden nebo více certifikátů.

  • V rozevíracím seznamu Filtrovat produkty vyberte jeden nebo více produktů.

Vybrané certifikáty se zobrazí v seznamu certifikátů spolu s podrobnostmi, jako je cluster, certifikát, obecný název, produkt, typ, stav, název serveru a vypršení platnosti.

4

Pro zobrazení podrobností o certifikátu vyberte záznam ze stránky nabídky.

Otevře se boční panel pro zobrazení podrobností certifikátu. Můžete si prohlédnout podrobnosti o certifikátu nebo zkopírovat certifikát ve formátu PEM. V tomto panelu proveďte všechny operace uvedené v kroku 6.

5

Kliknutím na tlačítko Zavřít zavřeš boční panel a vrátíš se na stránku nabídky.

6

Najeďte myší na záznam certifikátu a klikněte na elipsu, abyste provedli různé operace na certifikátech obchodu Identity a Trust Store.

Operace na osvědčeních totožnosti jsou:

  • Obnovit certifikát pro vlastnoruční podpis.

  • Generování CSR pro CA Podepsáno.

  • Nahrát certifikát pro CA Podepsáno a CSR je vygenerována na certifikátu.

  • Stáhněte si CSR pro CA Podepsáno a CSR se vygeneruje na certifikátu.

  • Odstranit CSR pro CA Podepsáno a CSR je vygenerována v certifikátu.

Uplynutí platnosti certifikátu

Využití certifikátu

Popis

Obnovit certifikát

Použít obnovovací certifikát, když je certifikát podepsán sám.

Použijte certifikát Tomcat pro opakované použití, pokud chcete znovu použít certifikát Tomcat pro vybranou službu.

Okno Obnovit certifikát se zobrazí na základě nastavení profilu.

Vyberte akci Obnovit certifikát na základě výběru na stránce Nastavení profilu, což je:

  • Opětovné použití Tomcat certifikátu- vyberte Použít Tomcat na profilu, možnost Opětovné použití Tomcat je povolena.

  • Obnovit certifikát - vyberte typ certifikátu jako vlastnoručně podepsaný, obnovení je povoleno.

Pro obnovení certifikátu si přečtěte varovnou zprávu a klikněte na tlačítko Znovu použít certifikát Tomcat.

Generovat požadavek CSR

Použít generování CSR operace, když je typ certifikátu CA podepsán.

Zobrazí se okno Generovat CSR.

Klepnutím na tlačítko Generovat vygenerujte CSR.

Nahrát certifikát

Použijte operaci Nahrát, pokud je typ certifikátu CA podepsán a CSR je již vygenerována. Řetězec certifikátů můžete nahrát ve formátu .P7B nebo certifikát totožnosti ve formátu .pem nebo .der.

Zobrazí se okno Nahrát certifikát.

  1. Pro nahrání certifikátu klikněte na tlačítko Vybrat soubor.

    Procházejte a nahrávejte certifikát z místního počítače.

  2. Pro nahrání certifikátu klikněte na tlačítko Nahrát.

Distribuovat certifikát

Použijte Distribuovat operaci k distribuci certifikátu do více klastrů v jedné operaci. Vyberte více klastrů a úložišť důvěry v ovládacím centru, certifikát je distribuován do vybraných klastrů.

Zobrazí se okno Distribuovat certifikát.

  1. Vyberte klastry a trusty, do kterých chcete distribuovat certifikáty.

  2. Klepnutím na tlačítko Distribuovat přiřadíte certifikáty k vybraným klastrům a trustům.

  3. Kliknutím na tlačítko OK zavřete okno Distribuční certifikát.

Tento postup nefunguje na aplikaci CER.

Stáhnout soubor CSR

Použijte Stáhnout CSR, pokud je typ certifikátu CA podepsán a CSR je již generována. CSR si můžete stáhnout a nechat si ji podepsat CA(certifikační autoritou).

Klepnutím na tlačítko Stáhnout CSR stáhněte žádost o podepsání certifikátu CSR do místního přístroje.

Odstranit požadavek CSR

Použijte operaci Smazat CSR, když je nutné CSR obnovit.

Zobrazí se okno Smazat CSR.

Přečtěte si varovnou zprávu a kliknutím natlačítko Odstranit odstraňte požadavek na podpis certifikátu CSR.

Pokud se nastavení nakonfigurovaná administrátorem v profilu neshodují s atributy certifikátu, objeví se u certifikátu ikona varování. Příklad: Certifikát Tomcat je vlastnoručně podepsán, ale v nastavení profilu je nastaven na CA podepsán, což vede k nesouladu.

Neklikejte na tlačítko Odeslat nevědomky bez ověření nesouladu, protože to může vést k problémům.

Operace s certifikáty Trust Store jsou:

  • Nahradit certifikát

  • Odebrat certifikát

Uplynutí platnosti certifikátu

Využití certifikátu

Popis

Nahradit certifikát

Použijte Nahradit certifikát k nahrazení stávajícího certifikátu novým certifikátem.

Zobrazí se okno Replace Certificate (Nahradit certifikát).

  1. Klepnutím na tlačítko Vybrat soubor vyberte nový certifikát.

    Procházejte a nahrávejte nový certifikát z místního počítače.

  2. Pro nahrazení certifikátu klikněte na tlačítko Nahradit.

Tento postup nefunguje na aplikaci CER.

Odebrat certifikát

Použijte Odstranit certifikát, pokud chce administrátor brzy odstranit vypršení platnosti a vypršení platnosti certifikátu.

Zobrazí se okno Odebrat certifikát.

  1. Vyberte skupiny a trusty, ze kterých chcete odstranit certifikáty.

  2. Pro odebrání certifikátu z vybraných klastrů a trustů klikněte na tlačítko Další.

  3. Pro odebrání certifikátu si přečtěte varovnou zprávu a klikněte na Odebrat.

Operace odstranění certifikátu nebo nahrazení certifikátu důvěryhodnosti může selhat s chybou Soubor nebyl nalezen. Tato chyba se objeví, když je operace prováděna na mnoha klastrech se smíšenými verzemi vydání 12.5 SU5 a 14 SU1.

Řešení: Opakovat operaci na neúspěšných uzlech. Ověřte chybu na stránce Job detail pro odpovídající cluster, který čte Certifikát nemohl být odstraněn, protože není přítomen v tomto uzlu.

Běžné operace na osvědčeních Trust Store a osvědčeních totožnosti jsou:

  • Stáhnout soubor DER

  • Stáhnout soubor PEM

Typ operace certifikátu

Využití certifikátu

Popis

Stáhnout soubor DER

Pro stažení binárního formátu certifikátu použijte Download.der. DER (Distinguished Encoding Rules) je digitální certifikát.

Klikněte na Stáhnout.der a stáhněte si .der (binární) formát certifikátu.

Certifikát .der je stažen do vašeho místního počítače.

Stáhnout soubor PEM

Použijte Download.pem ke stažení certifikátu ve formátu .pem. PEM (Privacy Enhanced Mail) je Base64 kódovaný DER certifikát ve formátu ASCII.

Pro staženíformátu .pem (ASCII) certifikátu klikněte na Stáhnout .pem.

Certifikát .pem je stažen do vašeho místního počítače.

7

Operace certifikátu je přidána do seznamu úloh. Průběh můžete zobrazit na kartě Úlohy.

NEBO

  1. Kliknutím na odkaz Úlohy zobrazíte průběh operace s certifikátem.

  2. Kliknutím na tlačítko OK zavřete okno Certifikát.

Stránka přístupových klastrů

Stránka Clustery obsahuje souhrn stavu certifikátů pro jednotlivé clustery v organizaci.

1

Z pohledu zákazníka v řídicím centru Webex přejdětedo nabídky Služby > Připojená UC.

Zobrazí se stránka Connected UC.

2

Na kartě Správa certifikátů klikněte na možnost Seskupení.

Stránka Shrnutí klastru zobrazuje klastry s podrobnostmi, jako je název klastru, stav, produkt a profil přiřazený ke klastru. Správce může změnit výchozí přiřazení standardního profilu k vlastnímu profilu pro klastr.

3

(Volitelně) Vyberte jednu z následujících možností:

  • Kliknutím na tlačítko Hledat vyhledáte konkrétní skupinu.

  • V rozevírací nabídce Filtr produktů vyberte jeden nebo více produktů.

4

Kliknutím na záznam klastru na stránce nabídky navštivte stránku Podrobnosti klastru, která zobrazuje certifikáty totožnosti přiřazené k vybranému klastru.

Můžete přejít na kartu Trust Store nebo Jobs . Karta Trust Store zobrazuje všechny certifikáty v klastru napříč různými obchody důvěry. Na kartě Úlohy jsou uvedeny operace, které se provádějí na certifikátech, a stav akce.

Na panelu přístrojové desky se zobrazí tyto karty:

  1. Certifikáty identity

  2. Důvěryhodné certifikáty

  3. Další informace

U karty identity a důvěryhodných certifikátů se zobrazí přehled platných certifikátů, jejichž platnost vypršela a jejichž platnost brzy vyprší. Pro kartu úloh se zobrazí souhrn celkových, úplných a nevyřízených úloh pro aktuální měsíc.

Karta Access Identity Certificate

Karta Access Identity Certificate

Pomocí certifikátu totožnosti zobrazte všechny certifikáty totožnosti přítomné v klastru. Můžete vyhledat konkrétní identifikační certifikát nebo zobrazit podrobnosti o certifikátu a provést nezbytné operace.
1

Z pohledu zákazníka v řídicím centru Webex přejdětedonabídky Služby > Připojená UC.

Zobrazí se stránka Connected UC.

2

Na kartě Správa certifikátů klikněte na možnost Seskupení.

3

Klikni na záznam o skupině na stránce nabídky a navštiv stránku s podrobnostmi o skupině, která zobrazuje certifikáty totožnosti přiřazené ke skupině.

Pro klastry s verzemi Cisco Emergency Responder 12.5 nebo 14 není certifikát tomcat-ΩSA podporován.

4

(Volitelné) Pokud chcete vyhledat konkrétní certifikát, klikněte na tlačítko Hledat .

5

(Volitelné) V rozevírací nabídce Filtr certifikátů vyberte jeden nebo více certifikátů podle jejich typu.

Certifikáty se objevují v seznamu certifikátů spolu s podrobnostmi, jako je název serveru, obecný název, typ certifikátu, stav certifikátu a datum vypršení platnosti.

6

Kliknutím na záznam ze stránky nabídky zobrazíte podrobnosti o certifikátu.

Otevře se boční panel pro zobrazení podrobností certifikátu. Můžete si prohlédnout Podrobnosti o certifikátu nebo zkopírovat certifikát ve formátu PEM. Z tohoto panelu můžete také provádět všechny operace, které jsou uvedeny v kroku 8.

7

Kliknutím na tlačítko Zavřít zavřeš boční panel a vrátíš se na stránku nabídky.

Varovná značka se zobrazí, když se stávající atribut certifikátu neshoduje s profilem a certifikát není v souladu.

8

Najeďte myší na záznam certifikátu a kliknutím na elipsu proveďte různé operace. Podrobnosti naleznete v části Operace na osvědčeních o totožnosti.

9

(Volitelné) Klikněte na položku Zobrazit profil.

Zobrazí se profil přiřazený ke klastru.

Přístup k záložce Trust Store

Přístup k záložce Trust Store

Karta Trust Store uvádí všechny certifikáty ve skupině napříč různými obchody důvěry.
1

Z pohledu zákazníka v řídicím centru Webex přejdětedo nabídky Služby > Připojená UC.

Zobrazí se stránka Connected UC.

2

Na kartě Správa certifikátů klikněte na možnost Seskupení.

3

Klikni na záznam o seskupení na stránce nabídky a navštiv stránku s podrobnostmi o seskupení.

4

Kliknutím na kartu Trust Store zobrazíte seznam certifikátů.

Certifikáty jsou uvedeny v seznamu certifikátů s podrobnostmi, jako je obecný název, sériové číslo, vydaný, stav a datum vypršení platnosti.

5

(Volitelné) Pokud chcete vyhledat konkrétní certifikát, klikněte na tlačítko Hledat .

6

(Volitelné) V rozevírací nabídce Filtr certifikátů vyberte jeden nebo více certifikátů.

Certifikáty jsou uvedeny v seznamu certifikátů s podrobnostmi, jako je obecný název, sériové číslo, vydaný, stav a datum vypršení platnosti.

7

Kliknutím na záznam ze stránky nabídky zobrazíte podrobnosti o certifikátu.

Otevře se boční panel pro zobrazení podrobností certifikátu. Chcete-li zobrazit všechny klastry, které jsou přiřazeny k certifikátu, viz Podrobnosti certifikátu nebo Kopírovat certifikát formátu PEM. Můžete také provést všechny operace, které jsou uvedeny v kroku 9 z tohoto panelu.

8

Kliknutím na tlačítko Zavřít zavřeš boční panel a vrátíš se na stránku nabídky.

9

Najeďte myší na záznam certifikátu a kliknutím na elipsu proveďte různé operace.

Viz Operace na Trust Store Certifikáty pro dětials.
10

Kliknutím na záznam certifikátu s prošlým stavem nahrajete aktualizovaný certifikát do Trust Store.

11

Klikněte na tlačítko Nahrát do Trust.

Zobrazí se okno Nahrát certifikát.

12

Vyberte požadované klastry, které chcete přiřadit k úložišti důvěry.

Před provedením operace si pečlivě přečtěte zobrazenou výstražnou zprávu.

13

Pro vyhledání certifikátu klikněte na tlačítko Vybrat soubor.

14

Kliknutím na tlačítko Nahrát nahrajete certifikát do úložiště důvěry pro požadované skupiny.

Důvěryhodné operace pro IPsec a CAPF nejsou podporovány prostřednictvím předplatitelských uzlů v Control Hubu. Správce musí tyto operace provádět přímo na místě.

Omezení

Omezení na CH pro operace s důvěryhodnými certifikáty:

  1. Pokud existuje služba důvěryhodnosti, pro kterou replikace v uzlech stejného clusteru neprobíhá, Musí správce provádět tyto operace lokálně. např. capf, IPS
  2. Všechny operace související s úložištěm Trust jsou odesílány pouze do uzlu vydavatele clusteru, takže operaci lze provést pouze prostřednictvím uzlu hospody, nelze ji provést z dílčích uzlů.
    1. Odebrat důvěru
    2. Nahradit důvěru
    3. Distribuovat důvěru
    4. Nahrát důvěryhodné certifikáty

Omezení při odebrání operací důvěryhodnosti:

  1. Operaci lze provést pouze prostřednictvím uzlu Pub.
  2. Pokud certifikát není přítomen v uzlu Pub a je přítomen v dílčích uzlech, operaci nelze provést přes centrum Control Hub. Operaci je třeba provádět na místě.

Přístup k záložce Úlohy

Přístup k záložce Úlohy

Na kartě Úlohy se zobrazuje souhrn všech provedených operací. Karta Úlohy zobrazuje souhrn celkových, úplných a nevyřízených úloh pro aktuální měsíc.

1

Z pohledu zákazníka v řídicím centru Webex přejdětedo nabídky Služby > Připojená UC.

Zobrazí se stránka Connected UC.

2

Na kartě Správa certifikátů klikněte na možnost Seskupení.

3

Klikni na záznam o seskupení na stránce nabídky a navštiv stránku s podrobnostmi o seskupení.

4

Kliknutím na kartu Úlohy zobrazíte seznam úloh provedených v aktuálním měsíci.

5

V rozevíracím seznamu Aktuální měsíc vyberte požadované období pro zobrazení přehledu úloh.

Stav úlohy se zobrazí v souhrnu úloh spolu s podrobnostmi, jako je typ úlohy, uzel, časové razítko, certifikát a informace o produktu.

6

Kliknutím na záznam ze stránky nabídky zobrazíte podrobnosti o práci.

Otevře se boční panel pro zobrazení detailů úlohy.

7

Kliknutím na tlačítko Zavřít zavřeš boční panel a vrátíš se na stránku nabídky.

Stránka přístupových profilů

Stránka Profily umožňuje definovat nastavení, jako je Multi-Server/Multi-SAN, CA-Signed vs. Self-Signed, doba platnosti, RSA vs. ECDSA, délka klíče, hash algoritmus.

Pro každou verzi clusteru použijte samostatné profily. Pokud například klastr běží ve verzi 12.x, musíte při provádění certifikačních operací vidět pouze funkce 12.x.

Při vytváření vlastního profilu může administrátor nově vytvořený vlastní profil přiřadit ke klastru.

1

Z pohledu zákazníka v Cisco Webex Control Hubupřejděte na Services > Connected UC.

Zobrazí se stránka Connected UC.

2

Klepněte na položku Profily na kartě správy certifikátů.

Zobrazí se stránka Profily se seznamem vytvořených profilů.

Služba správy certifikátů ve výchozím nastavení poskytuje standardní profil a k tomuto profilu jsou přiřazeny všechny skupiny povolené pro službu správy certifikátů. Je to pouze pohled na profil. Přejeďte myší na profil a kliknutím na elipsu zobrazte nebo zkopírujte profil.

3

Najeďte myší na název profilu a klikněte na elipsu, abyste provedli různé operace, jako například:

  • Upravit

    1. Pro úpravu vybraného profilu klikněte na tlačítko Upravit.

  • Odstranit

    1. Přečtěte si varovnou zprávu a pro odstranění vybraného profilu klikněte na tlačítko Odstranit.

  • Kopírovat

    1. Kliknutím na tlačítko Kopírovat zkopírujte vybraný profil.

      Zobrazí se okno Kopie vlastního profilu.

    2. Klepnutím na tlačítko Create (Vytvořit) můžete v případě potřeby aktualizovat nebo upravit nastavení každého z produktů. Jinak vytvořte kopii vybraného profilu.

4

Kliknutím na tlačítko Přidat profil vytvořte nový vlastní profil.

5

Zadat název profilu

6

Zaškrtněte políčko, pokud chcete nastavit profil jako výchozí.

7

Zadejte popis profilu.

8

Definujte různá nastavení certifikátů pro každý z produktů

9

Pro vytvoření profilu klikněte na tlačítko Vytvořit.

Pokud jste nastavili vlastní profil na výchozí, zrušte zaškrtnutí výchozího políčka ve vlastním profilu a přepněte zpět na standardní profil jako výchozí.

10

(Volitelné) Přiřadit profil ke klastru. Klepněte na kartu Clusters (Klastry) v horní nabídce a zobrazí se stránka Clusters list (seznam klastrů). Profil můžeš přiřadit ke klastru na stránce nabídky.

Doba platnosti pro verze 11.5x a 12.5x je 5 let bez ohledu na hodnotu zvolenou v rozbalovacím seznamu platnosti. Vydání od 14 let, doba platnosti může být mezi 5-20 lety.

Nespouštějte operace, které jsou v tabulce uvedeny jako N, jinak operace selžou.

Uplynutí platnosti certifikátu

Podporovaná verze

Fungování operace

11.5

12.5

14 a násl.

Obnovit více serverůNNAAčkoli je tato operace prováděna na samo-podepsaném certifikátu více serverů, funguje pouze na jednom uzlu.
Opětovné použitíNNAProvoz funguje pouze na Call Manager a Call Manager ECDSA na aplikaci Cisco Unified CM. Tato operace funguje jak pro víceserverové CA podepsané, tak pro víceserverové samopodepsané certifikáty.
Stránka nastavení přístupu

Systém automaticky odešle příjemcům e-mailovou zprávu, když se certifikát blíží datu vypršení platnosti.

1

Z pohledu zákazníka v řídicím centru Webex přejdětedo nabídky Služby > Připojená UC.

Zobrazí se stránka Connected UC.

2

Na kartě Správa certifikátů klikněte na položku Nastavení.

3

Nastavit počáteční čas oznámení.

Čas zahájení oznámení můžeš nastavit mezi 30-365 dny.

4

Nastavit frekvenci oznámení.

Frekvenci oznámení můžete nastavit mezi 1-30 dny.

5

Zadejte e-mailovou adresu příjemců oznámení.

Můžete zadat maximálně 25 e-mailových adres.

6

Klikněte na možnost Uložit.

Všichni příjemci obdrží e-mailové oznámení, jak je znázorněno na obrázku, když jsou certifikáty blízko data vypršení platnosti.