Certificate Management Visión general

El servicio Certificate Management (Administración de los certificados) centralizado es un servicio basado en la nube que ofrece un único lugar para ver y administrar los certificados de Cisco Unified Communications Manager, MI y Presence, Cisco Unity Connection y Cisco Emergency Responder a través de múltiples clústeres.

Antes de comenzar:

Debe habilitar el servicio Certificate Management (Administración de los certificados) en la página Service Management (Administración de los servicios) correspondiente al clúster que desee. Para obtener más información, consulte Habilitar los servicios de Cloud-Connected UC en Control Hub.

La Certificate Management (Administración de los certificados) centralizada ofrece las siguientes funcionalidades clave:

  • Panel de varios clústeres que muestra el estado de certificado para cada clúster.

  • Vista detallada de certificados de identidad y de confianza a nivel de clúster individual.

  • Capacidad de realizar operaciones de certificación, como generar CSR, cargar certificados, renovar, descargar, copiar, reemplazar y eliminar.

  • Panel de alertas para ver los certificados vencidos y que vencen pronto.

  • Capacidad de configurar notificaciones como la notificación por correo electrónico de vencimiento de certificados.

  • Distribución de los certificados entre varios almacenes de confianza y clústeres.

  • Definición del perfil de certificado con varias configuraciones y asígnación a un clúster.

No puede distribuir y reemplazar certificados en una aplicación de Cisco Emergency Responder.

Acceder al servicio de Certificate Management (Administración de los certificados)

El servicio de Certificate Management (Administración de los certificados) dentro del conjunto de servicios de UC conectado a la nube de servicios administra los certificados para la implementación en las instalaciones.

Para acceder a Certificate Management (Administración de los certificados), realice los siguientes pasos:

1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado). La tarjeta Certificate Management esta página proporciona las Certificate Management características y funcionalidades.

2

En Certificate Management la tarjeta, haga clic en cualquier vínculo para acceder a las distintas funcionalidades de la administración de certificados.

En la siguiente tabla se muestran las funciones disponibles en la Certificate Management (Administración de los certificados):

Pestañas

Descripción

Alertas

Muestra un resumen de todos los certificados vencidos y por vencer. El administrador puede realizar las acciones necesarias en los certificados de identidad o de confianza para mantenerlos al día.

Clústeres

Muestra un resumen del estado del certificado en todos los clústeres de la organización en cuestión y permite al administrador realizar las acciones necesarias en relación con los certificados de identidad o de confianza.

  • Puede ver todos los certificados de identidad y de confianza de un clúster específico en una organización.

  • La pestaña de trabajos muestra un resumen de todas las acciones que se llevan a cabo en los certificados.

Perfiles

Valida que los certificados de un clúster cumplan las opciones configuradas. Puede crear un perfil de Certificate Management (Administración de los certificados) personalizado y asociarlo a un clúster.

Configuración

Configure las direcciones de correo electrónico de los administradores para que reciban las notificaciones de vencimiento de certificados. Todos los campos se pueden configurar en la página Settings (Configuración) de Certificate Management (Administración de los certificados).
Página de alertas de acceso

Use la página Alertas para hacer lo siguiente:

  • Ver certificados vencidos o que vencen pronto

  • Filtrar por certificado

  • Filtrar por producto para ver el estado del certificado.

1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Alertas de la tarjeta Certificate Management (Administración de los certificados).

La página muestra los certificados caducados y por caducar. Los certificados muestran detalles como el nombre del clúster, el nombre común, el tipo de certificado, el estado del certificado y la fecha de caducidad.

3

(Opcional) Seleccione una de las siguientes opciones:

  • Haga clic en Search (Buscar) para buscar un certificado específico.

  • Seleccione uno o más certificados de la lista desplegable Filtrar certificado .

  • Seleccione uno o más productos de la lista desplegable Filtrar productos .

Los certificados seleccionados aparecen en la lista de certificados junto con detalles como el clúster, el certificado, el nombre común, el producto, el tipo, el estado, el nombre del servidor y el vencimiento.

4

Seleccione un registro de la página de listado para ver los detalles del certificado.

Se abre un panel lateral para mostrar los detalles del certificado. Puede ver los detalles del certificado o copiar el certificado en formato PEM . Realice todas las operaciones enumeradas en el paso 6 de este panel.

5

Haga clic en Close (Cerrar) para cerrar el panel lateral y volver a la página del listado.

6

Mantenga el mouse sobre un registro de certificado y haga clic en los puntos suspensivos para realizar varias operaciones en los certificados almacenados de identidad y confianza.

Las operaciones sobre certificados de identidad son:

  • Renovar el certificado para firma automática.

  • Generar CSR para CA firmado.

  • Cargar certificado para CA firmado y se genera CSR en el certificado.

  • Descargar el CSR para CA firmado y se genera un CSR en el certificado.

  • Eliminar el CSR para CA firmado y se genera un CSR en el certificado.

Operación del certificado

Uso del certificado

Descripción

Renew Certificate (Renovar certificado)

Utilice Renovar certificado cuando el certificado esté firmado automáticamente.

Utilice Reuse Tomcat Certificate (Renovar certificado Tomcat) cuando desee volver a utilizar el certificado Tomcat para el servicio seleccionado.

La ventana Renovar certificado se muestra en función de la configuración del perfil.

Elija la acción Renovar certificado en función de la selección de la página Configuración de perfil, que es:

  • Reutilizar certificado Tomcat: seleccione Usar Tomcat en el perfil, la opción Reutilizar Tomcat está habilitada.

  • Renovar certificado: seleccione Tipo de certificado como autofirmado, Renovar está habilitado.

Lea el mensaje de advertencia y haga clic en Reutilizar certificado Tomcat para renovar el certificado.

Generate CSR (Generar CSR)

Utilice la operación de Generar CSR cuando el tipo de certificado está firmado por CA.

Aparece la ventana Generar CSR .

Haga clic en Generar para generar el CSR.

Upload Certificate (Cargar certificado)

Utilice la operación de Carga cuando el tipo de certificado esté firmado por CA y el CSR ya esté generado. Puede cargar una cadena de certificados en el formato. P7B o el certificado de identidad en el formato .PEM o. der.

Aparece la ventana Upload Certificate (Cargar certificado).

  1. Haga clic en Elegir archivo para cargar el certificado.

    Examine y cargue el certificado desde su equipo local.

  2. Haga clic en Cargar para cargar el certificado.

Distribute Certificate (Distribuir certificado)

Utilice la operación de distribución para distribuir el certificado a varios clústeres en una sola operación. Seleccione varios clústeres y los almacenes de confianza en el Hub de control, el certificado se distribuye a losclústeres seleccionados.

Aparece la ventana Distribuir certificado .

  1. Seleccione los clústeres y las confianzas a los cuales desee distribuir los certificados.

  2. Haga clic en Distribuir para asociar los certificados con los clústeres y confianzas seleccionados.

  3. Haga clic en Aceptar para cerrar la ventana Distribuir certificado.

Este procedimiento no funciona en la aplicación CER.

Download CSR (Descargar CSR)

Utilice Descargar CSR cuando el tipo de certificado tiene una firma de CA y ya se ha generado el CSR. Puede descargar el CSR para conseguir que esté firmado por una entidad de certificación (CA).

Haga clic en Descargar CSR para descargar la solicitud de firma de certificado de CSR en su equipo local.

Delete CSR (Eliminar CSR)

Use la operación Eliminar CSR cuando se debe regenerar el CSR.

Aparece la ventana Delete CSR (Eliminar CSR).

Lea el mensaje de advertencia y haga clic en Eliminar para eliminar la solicitud de firma de certificado CSR.

Si la configuración establecida por el administrador en el perfil no coincide con los atributos del certificado, aparecerá un icono de advertencia para el certificado. Por ejemplo: el certificado Tomcat se firma automáticamente, pero en la configuración de perfil se configura como firmado por CA y esto genera una falta de coincidencia.

No haga clic en Enviar sin saberlo sin verificar las discrepancias, ya que puede provocar problemas.

Las operaciones en certificados de almacén de confianza son:

  • Replace Certificate (Reemplazar certificado)

  • Remove Certificate (Quitar certificado)

Operación del certificado

Uso del certificado

Descripción

Replace Certificate (Reemplazar certificado)

Utilice Replace Certificate (Reemplazar certificado) para reemplazar el certificado existente con un certificado nuevo.

Aparece la ventana Reemplazar certificado .

  1. Haga clic en Elegir archivo para seleccionar un nuevo certificado.

    Examine y cargue el certificado nuevo desde su equipo local.

  2. Haga clic en Reemplazar para reemplazar el certificado.

Este procedimiento no funciona en la aplicación CER.

Remove Certificate (Quitar certificado)

Utilice Quitar certificado cuando el administrador desee quitar el certificado que ya venció y el que está por vencer.

Aparece la ventana Quitar certificado .

  1. Seleccione los clústeres y las confianzas a los cuales desee quitarle los certificados.

  2. Haga clic en Siguiente para quitar el certificado de los clústeres y confianzas seleccionados.

  3. Lea el mensaje de advertencia y haga clic en Quitar para quitar el certificado.

La operación de confianza Quitar certificado o Reemplazar certificado puede fallar con un error Archivo no encontrado . Este error aparece cuando la operación se realiza en muchos clústeres con versiones mixtas de las versiones 12.5 SU5 y 14 SU1.

Solución: vuelva a intentar la operación en los nodos con errores. Compruebe el error en la página de detalles de trabajos para el clúster correspondiente, que dice El certificado no se pudo quitar porque no está presente en este nodo.

Las operaciones comunes en certificados de almacén de confianza y certificados de identidad son:

  • Download .der (Descargar .der)

  • Download .pem (Descargar .pem)

Tipo de operación de certificado

Uso del certificado

Descripción

Download .der (Descargar .der)

Utilice Download .der (Descargar .der) para descargar el formato binario del certificado. Reglas de codificación distinguidas (Distinguished Encoding Rules, DER) es un certificado digital.

Haga clic en Descargar .der para descargar el formato .der (binario) del certificado.

El certificado .der se descarga en el equipo local.

Download. pem (Descargar .pem)

Utilice Download .pem (Descargar .pem) para descargar el certificado en formato .pem. Correo de privacidad mejorado (Privacy Enhanced Mail, PEM) es un certificado DER codificado Base64 en formato ASCII.

Haga clic en Descargar .pem para descargar el formato .pem (ASCII) del certificado.

El certificado .pem se descarga en el equipo local.

7

La operación de certificado se agrega a la lista Trabajos. Puede ver el progreso en la pestaña Trabajos .

O BIEN

  1. Haga clic en el vínculo Trabajos para ver el progreso de la operación de certificado.

  2. Haga clic en OK (Aceptar) para cerrar la ventana Certificate (Certificado).

Página Clústeres de acceso

La página Clústeres muestra un resumen del estado del certificado por clúster para todos los clústeres de una organización.

1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Clústeres en la tarjeta de Certificate Management (Administración de los certificados).

La página Resumen del clúster muestra los clústeres con detalles como el nombre del clúster, el estado, el producto y el perfil asociado al clúster. El administrador puede cambiar la asociación predeterminada del perfil estándar con el perfil personalizado de un clúster.

3

(Opcional) Seleccione una de las siguientes opciones:

  • Haga clic en Search (Buscar) para buscar un clúster específico.

  • Seleccione uno o más productos de la lista desplegable Filter Products (Filtrar productos ).

4

Haga clic en un registro de clúster en la página de listado para visitar la página Detalles del clúster, que muestra los certificados de identidad asociados al clúster seleccionado.

Puede navegar a la pestaña Almacén de confianza o a la pestaña Trabajos . La pestaña Almacén de confianza muestra todos los certificados de un clúster en varios almacenes de confianza. La pestaña Trabajos enumera las operaciones que se realizan en los certificados y el estado de la acción.

El panel muestra estas tarjetas:

  1. Certificados de identidad

  2. Certificados de confianza

  3. Detalles del trabajo

Para la tarjeta de certificados de identidad y confianza, se muestra un resumen de los certificados válidos, expirados y que expiran pronto. En la tarjeta Trabajos se muestra un resumen de los trabajos totales, completos y pendientes del mes actual.

Acceder a la pestaña Certificado de identidad

Acceder a la pestaña Certificado de identidad

Utilice el certificado de identidad para ver todos los certificados de identidad presentes en un clúster. Puede buscar un certificado de identidad específico o ver los detalles de un certificado y realizar las operaciones necesarias.
1

En la vista del cliente en el Centro de control Webex, vaya aServicios > UC conectada.

Aparece la página Connected UC (UC conectado).

2

Haga clic en Clústeres en la tarjeta de Certificate Management (Administración de los certificados).

3

Haga clic en un registro de clúster en la página de listado para visitar la página Detalles del clúster, que muestra los certificados de identidad asociados al clúster.

Para clústeres con Cisco Emergency Responder versiones 12.5 o 14, no se admite el certificado tomcat-ECDSA.

4

(Opcional) Haga clic en Search (Buscar) para buscar un certificado específico.

5

(Opcional) En el menú desplegable Certificado de filtro, seleccione uno o más certificados según su tipo.

Los certificados aparecen en listas de certificados junto con detalles como el nombre del clúster, el nombre común, el tipo de certificado, el estado del certificado y la fecha de caducidad.

6

Haga clic en un registro de la página de listado para ver los detalles del certificado.

Se abre un panel lateral para mostrar los detalles del certificado. Puede ver Detalles del certificado o Copiar el certificado en formato PEM. También puede realizar todas las operaciones que se enumeran en el paso 8 desde este panel.

7

Haga clic en Close (Cerrar) para cerrar el panel lateral y volver a la página del listado.

La señal de advertencia aparece cuando el atributo de certificado existente no coincide con el perfil y el certificado no es conforme.

8

Coloque el cursor sobre el registro de certificado y haga clic en los puntos suspensivos para realizar varias operaciones. Consulte Operaciones sobre certificados de identidad para obtener más información.

9

(Opcional) Haga clic en Ver perfil.

Se muestra el perfil asociado al clúster.

Acceder a la pestaña Almacén de confianza

Acceder a la pestaña Almacén de confianza

La pestaña Almacén de confianza enumera todos los certificados de un clúster en varios almacenes de confianza.
1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Clústeres en la tarjeta de Certificate Management (Administración de los certificados).

3

Haga clic en un registro de clúster en la página de listado para visitar la página Detalles del clúster.

4

Haga clic en la pestaña Almacén de confianza para ver la lista de certificados.

Los certificados aparecen en la lista de certificados con detalles como el nombre común, el número de serie, el número de emisión, el estado y la fecha de caducidad.

5

(Opcional) Haga clic en Search (Buscar) para buscar un certificado específico.

6

(Opcional) En el menú desplegable Filter Certificate (Filtrar certificado), seleccione uno o más certificados.

Los certificados aparecen en la lista de certificados con detalles como el nombre común, el número de serie, el número de emisión, el estado y la fecha de caducidad.

7

Haga clic en un registro de la página de listado para ver los detalles del certificado.

Se abre un panel lateral para mostrar los detalles del certificado. Para ver todos los clústeres asociados al certificado, consulte Detalles del certificado o Copiar el certificado con formato PEM. También puede realizar todas las operaciones que se enumeran en el paso 9 desde este panel.

8

Haga clic en Close (Cerrar) para cerrar el panel lateral y volver a la página del listado.

9

Coloque el cursor sobre el registro de certificado y haga clic en los puntos suspensivos para realizar varias operaciones.

Consulte Operaciones en certificados de almacén de confianza para detials.
10

Haga clic en el registro de certificado con estado expirado para cargar un certificado actualizado en el almacén de confianza.

11

Haga clic en Upload to Trust (Cargar en confianza).

Aparece la ventana Upload Certificate (Cargar certificado).

12

Seleccione los clústeres necesarios para asociarlos al almacén de confianza.

Lea detenidamente el mensaje de advertencia que se muestra antes de realizar la operación.

13

Haga clic en Chose File (Elegir archivo) para buscar un certificado.

14

Haga clic en Load (Cargar) para cargar el certificado en el almacén de confianza de los clústeres requeridos.

Las operaciones de confianza para IPsec y CAPF no se admiten a través de nodos de suscriptor en el Centro de control. El administrador tiene que realizar estas operaciones en las instalaciones.

Limitaciones

Limitación de CH para operaciones de Certificados de Confianza:

  1. Si hay algún servicio de confianza para el que la replicación no se produce en nodos del mismo clúster, el administrador tiene que realizar estas operaciones localmente. Por ejemplo, CAPF, IPSEC.
  2. Todas las operaciones relacionadas con la confianza se envían solo al nodo Publisher del clúster, por lo que la operación solo se puede realizar a través del nodo pub y no se puede realizar desde subnodos.
    1. Quitar confianza
    2. Reemplazar confianza
    3. Distribuir confianza
    4. Cargar confianza

Limitación de las operaciones de eliminación de confianza:

  1. La operación sólo se puede realizar a través del nodo Pub.
  2. Si el certificado no está presente en el nodo Pub y presente en los subnodos, la operación no se puede realizar a través del Centro de control. La operación debe realizarse a través de las instalaciones.

Acceder a la pestaña Trabajos

Acceder a la pestaña Trabajos

La pestaña Trabajos muestra un resumen de todas las acciones que se llevan a cabo en los certificados. La pestaña Trabajos muestra un resumen de los trabajos totales, completos y pendientes del mes en curso.

1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Clústeres en la tarjeta de Certificate Management (Administración de los certificados).

3

Haga clic en un registro de clúster en la página de listado para visitar la página Detalles del clúster.

4

Haga clic en la pestaña Jobs (Trabajos) para ver la lista de trabajos ejecutados en el mes actual.

5

En el menú desplegable Current Month (Mes actual), seleccione el período necesario para ver el resumen del trabajo.

El estado del trabajo aparece en el Resumen de trabajo, junto con los detalles, como el tipo de trabajo, el nodo, la marca de tiempo, el certificado y la información de producto.

6

Haga clic en un registro de la página de listado para ver los detalles del trabajo.

Se abre un panel lateral para mostrar los detalles del trabajo.

7

Haga clic en Close (Cerrar) para cerrar el panel lateral y volver a la página del listado.

Página Perfiles de acceso

La página Perfiles le permite definir configuraciones como Multi-Server/Multi-SAN, CA-Signed vs. Self-Signed, período de validez, RSA vs. ECDSA, Longitud de clave, Algoritmo hash.

Utilice perfiles independientes para cada versión del clúster. Por ejemplo, si el clúster ejecuta la versión 12.x, debe ver sólo las funciones de 12.x al mismo tiempo que realiza operaciones de certificado.

Al crear el perfil personalizado, el administrador puede asociar el perfil personalizado recién creado a un clúster.

1

En la vista del cliente en Cisco Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Profiles (Perfiles) de la tarjeta Certificate Management (Administración de los certificados).

Aparece la página Perfiles con la lista de perfiles creados.

De forma predeterminada, el servicio de Certificate Management (Administración de los certificados) proporciona el perfil estándar y todos los clústeres habilitados para el servicio de Certificate Management (Administración de los certificados) se relacionan con este perfil. Es un perfil de sólo vista. Mantenga el mouse sobre el perfil y haga clic en los puntos suspensivos para ver o copiar el perfil.

3

Coloque el cursor sobre el nombre del perfil y haga clic en los puntos suspensivos para realizar varias operaciones como:

  • Editar

    1. Haga clic en Editar para editar el perfil seleccionado.

  • Eliminar

    1. Lea el mensaje de advertencia y haga clic en Eliminar para eliminar el perfil seleccionado.

  • Copiar

    1. Haga clic en Copiar para copiar el perfil seleccionado.

      Aparece la ventana Copy of Custom Profile (Copia de perfil personalizado).

    2. Haga clic en Crear para actualizar o modificar la configuración de cada uno de los productos, si es necesario. De lo contrario, cree una copia del perfil seleccionado.

4

Haga clic en Add Profile (Agregar perfil) para crear un perfil personalizado nuevo.

5

Introduzca un nombre de perfil.

6

Marque la casilla de verificación si desea configurar el perfil como predeterminado.

7

Escriba una descripción para el perfil.

8

Defina las distintas configuraciones de certificado para cada uno de los productos

9

Haga clic en Create (Crear) para crear el perfil.

Si ha configurado un perfil personalizado como predeterminado, anule la selección de la casilla de verificación predeterminada en el perfil personalizado para volver al perfil estándar como predeterminado.

10

(Opcional) Asocie un perfil a un clúster. Haga clic en la ficha Clústeres del menú superior y aparezca la página Lista de clústeres. Puede asociar un perfil a un clúster desde la página de listado.

El período de validez para las versiones 11.5x y 12.5x es de 5 años, independientemente del valor seleccionado en la lista desplegable validez. Versión 14 en adelante, el período de validez puede ser entre 5 a 20 años.

No ejecute operaciones que se muestran como N en la tabla, de lo contrario, fallarán las operaciones.

Operación del certificado

Versión compatible

Funcionamiento de la operación

11.5

12.5

14 y versiones posteriores

Renovar multiservidorNNSAunque esta operación se realiza en un certificado de servidor múltiple firmado automáticamente, funciona únicamente en un nodo simple.
Volver a utilizarNNSLa operación solo funciona en el administrador de llamadas y en el administrador de llamadas ECDSA en la aplicación Cisco Unified CM. Esta operación funciona para los certificados de servidores múltiples firmados por CA y los certificados de servidores múltiples firmados automáticamente.
Página Configuración de acceso

El sistema envía automáticamente un mensaje de correo electrónico a los destinatarios cuando el certificado se encuentra cerca de la fecha de caducidad.

1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Settings (Configuración) de la tarjeta Certificate Management (Administración de los certificados).

3

Establezca la hora de inicio de la notificación.

Puede configurar la hora de inicio de la notificación entre 30 a 365 días.

4

Establezca la frecuencia de notificación.

Puede configurar la frecuencia de notificación entre 1 a 30 días.

5

Introduzca la dirección de correo electrónico de los destinatarios de la notificación.

Puede introducir un máximo de 25 direcciones de correo electrónico.

6

Haga clic en Guardar.

Todos los destinatarios reciben una notificación por correo electrónico, tal como se muestra en la imagen, cuando los certificados están cerca de la fecha de caducidad.