Descripción general de la administración de certificados

La Administración de certificados centralizada es un servicio basado en la nube que ofrece un único lugar para ver y administrar los certificados de Cisco Unified Communications Manager, IM and Presence, y Cisco Unity Connection y Cisco Emergency Responder a través de múltiples grupos.

Antes de comenzar:

Debe habilitar el servicio de Administración de certificados en la página Administración de servicios correspondiente al grupo deseado. Para obtener más información, consulte Habilitar servicios de UC conectados a la nube en el Concentrador de control.

La Administración de certificados centralizada ofrece estas funcionalidades clave:

  • Panel de varios clústeres que muestra el estado del certificado para cada clúster.

  • Vista detallada de certificados de identidad y confianza a nivel de clúster individual.

  • Capacidad para realizar operaciones de certificado como generar CSR, cargar certificados, renovar, descargar, copiar, reemplazar y eliminar.

  • Tablero de mandos de alertas para ver los certificados caducados y que caducan pronto.

  • Capacidad de configurar notificaciones como la notificación por correo electrónico para la caducidad de certificados.

  • Distribuya los certificados entre varias tiendas de confianza y grupos.

  • Defina el perfil de certificado con diversas configuraciones y asígnelo a un grupo.

No puede Distribuir y Reemplazar Certificados en la aplicación Cisco Emergency Responder.

Acceder al Servicio de administración de certificados

El servicio de administración de certificados dentro del conjunto de servicios de Cloud-Connected UC administra los certificados para la implementación local.

Para acceder a Certificate Management (Administración de certificados), realice los siguientes pasos:

1

Desde la vista del cliente en Webex Control Hub, vaya a Servicios > UC conectado.

Aparecerá la página UC conectada. La tarjeta Certificate Management (Administración de certificados) de esta página proporciona las características y funcionalidades de Certificate Management (Administración de certificados).

2

En la tarjeta Administración de certificados , haga clic en cualquier enlace para acceder a las diversas funcionalidades de la administración de certificados.

En la siguiente tabla se enumeran las funcionalidades disponibles en Certificate Management (Administración de certificados):

Fichas

Descripción

publicación

Muestra un resumen de todos los certificados caducados y que caducan. El administrador puede tomar las medidas necesarias en los certificados de identidad o de confianza para mantenerlos actualizados.

Grupos

Muestra un resumen del estado del certificado en todos los grupos de la organización determinada y permite que el administrador tome las medidas necesarias sobre los certificados de identidad o de confianza.

  • Puede ver todos los certificados de identidad y de confianza de un grupo específico dentro de una organización.

  • La pestaña Trabajos muestra un resumen de todas las acciones que se realizan en los certificados.

Perfiles

Valida que los certificados de un clúster cumplan con los ajustes configurados. Puede crear un perfil de administración de certificados personalizado y asociarlo a un grupo.

Configuración

Configure las direcciones de correo electrónico de los administradores para recibir las notificaciones de caducidad de certificados. Todos los campos se pueden configurar en la página Configuración de Certificate Management (Administración de certificados).
Acceder a la página Alertas

Utilice la página Alertas para hacer lo siguiente:

  • Ver certificados caducados o que caducan pronto

  • Filtrar por certificado

  • Filtre por producto para ver el estado del certificado.

1

Desde la vista del cliente en Webex Control Hub, vaya a Servicios > UC conectado.

Aparecerá la página UC conectada.

2

Haga clic en Alertas en la tarjeta de Administración de certificados .

En la página se muestran los certificados caducados y que caducarán pronto. Los certificados muestran detalles como el nombre del grupo, el nombre común, el tipo de certificado, el estado del certificado y la fecha de caducidad.

3

(Opcional) Elija una de las siguientes opciones:

  • Haga clic en Buscar para buscar un certificado específico.

  • Seleccione uno o más certificados de la lista desplegable Filtrar certificado .

  • Seleccione uno o más productos de la lista desplegable Filtrar productos .

Los certificados seleccionados aparecen en la lista de certificados junto con detalles como Grupo, Certificado, Nombre común, Producto, Tipo, Estado, Nombre del servidor y Caducidad.

4

Seleccione un registro de la página de listado para ver los detalles del certificado.

Se abre un panel lateral para mostrar los detalles del certificado. Puede ver los Detalles del certificado o Copiar el certificado con formato PEM. Realice todas las operaciones enumeradas en el paso 6 de este panel.

5

Haga clic en Cerrar para cerrar el panel lateral y volver a la página de listado.

6

Desplácese sobre un registro de certificado y haga clic en los puntos suspensivos para realizar diversas operaciones en los certificados de Identidad y Almacén de confianza.

Las operaciones en certificados de identidad son las siguientes:

  • Renovar certificado para firma automática.

  • Generar CSR para CA firmado.

  • Cargar certificado para una CA firmada y se genera un CSR en el certificado.

  • Descargar CSR para CA firmado y se genera un CSR en el certificado.

  • Eliminar CSR para CA firmado y se genera una CSR en el certificado.

Operación del certificado

Uso del certificado

Descripción

Renovar certificado

Utilice Renovar certificado cuando el certificado esté firmado automáticamente.

Utilice Reuse Tomcat Certificate (Volver a usar certificado Tomcat) cuando desee volver a usar el certificado Tomcat para el servicio seleccionado.

La ventana Renovar certificado se muestra en función de la configuración del perfil.

Elija la acción Renovar certificado según la selección de la página Configuración del perfil , que es:

  • Volver a usar certificado Tomcat: seleccione Usar Tomcat en el perfil, la opción Volver a usar Tomcat está habilitada.

  • Renovar certificado: seleccione Tipo de certificado como firmado automáticamente, la opción Renovar está habilitada.

Lea el mensaje de advertencia y haga clic en Volver a utilizar certificado Tomcat para renovar el certificado.

Generar CSR

Utilice la operación Generar CSR cuando el tipo de certificado esté firmado por CA.

Aparece la ventana Generar CSR .

Haga clic en Generar para generar la CSR.

Cargar certificado

Utilice la operación de carga cuando el tipo de certificado esté firmado por CA y el CSR ya esté generado. Puede cargar una cadena de certificados en el formato .P7B o el certificado de identidad en el formato .pem o .der.

Aparece la ventana Cargar certificado .

  1. Haga clic en Elegir archivo para cargar el certificado.

    Examine y cargue el certificado desde su máquina local.

  2. Haga clic en Cargar para cargar el certificado.

Distribuir certificado

Utilice la operación Distribuir para distribuir el certificado a varios grupos en una sola operación. Seleccione varios grupos y almacenes de confianza en Control Hub; el certificado se distribuye a los grupos seleccionados.

Aparece la ventana Distribuir certificado .

  1. Seleccione los grupos y las confianzas a los que desee distribuir los certificados.

  2. Haga clic en Distribuir para asociar los certificados con los grupos y las confianzas seleccionados.

  3. Haga clic en Aceptar para cerrar la ventana Distribuir certificado.

Este procedimiento no funciona en la aplicación CER.

Descargar CSR

Utilice Descargar CSR cuando el tipo de certificado esté firmado por CA y ya esté generado. Puede descargar la CSR para que la firme una CA (autoridad de certificación).

Haga clic en Descargar CSR para descargar la solicitud de firma de certificado de CSR en su máquina local.

Eliminar CSR

Utilice la operación Eliminar CSR cuando se deba volver a generar la CSR.

Aparece la ventana Eliminar CSR .

Lea el mensaje de advertencia y haga clic en Eliminar para eliminar la solicitud de firma de certificado de CSR.

Si la configuración configurada por el administrador en el perfil no coincide con los atributos del certificado, aparecerá un icono de advertencia contra el certificado. Ejemplo: El certificado Tomcat se firma automáticamente, pero en la configuración del perfil se establece como firmado por CA, esto conduce a una falta de coincidencia.

No haga clic en Enviar sin saberlo sin verificar las discrepancias, ya que puede ocasionar problemas.

Las operaciones en Certificados de almacén de confianza son las siguientes:

  • Sustituir certificado

  • Eliminar certificado

Operación del certificado

Uso del certificado

Descripción

Sustituir certificado

Utilice la opción Reemplazar certificado para reemplazar el certificado existente por un certificado nuevo.

Aparece la ventana Reemplazar certificado .

  1. Haga clic en Elegir archivo para seleccionar un nuevo certificado.

    Examine y cargue el nuevo certificado desde su máquina local.

  2. Haga clic en Reemplazar para reemplazar el certificado.

Este procedimiento no funciona en la aplicación CER.

Eliminar certificado

Utilice Eliminar certificado cuando el administrador desee eliminar el certificado que está por caducar y el certificado que ha caducado.

Aparece la ventana Eliminar certificado .

  1. Seleccione los grupos y las confianzas de los que desee eliminar los certificados.

  2. Haga clic en Siguiente para eliminar el certificado de las listas de confianza y los grupos seleccionados.

  3. Lea el mensaje de advertencia y haga clic en Quitar para quitar el certificado.

La operación Eliminar certificado o Reemplazar certificado de confianza puede fallar con un error Archivo no encontrado. Este error aparece cuando la operación se realiza en muchos grupos con versiones mixtas de las versiones 12.5 SU5 y 14 SU1.

Solución: Reintente la operación en nodos con errores. Verifique el error en la página de detalles de trabajos del clúster correspondiente, que dice que El certificado no se pudo eliminar porque no está presente en este nodo.

Las operaciones comunes en Certificados de almacenamiento de confianza y Certificados de identidad son las siguientes:

  • Download .der

  • Download .pem

Tipo de operación de certificado

Uso del certificado

Descripción

Download .der

Utilice Download.der (Descargar.der) para descargar el formato binario del certificado. DER (reglas de codificación distinguidas) es un certificado digital.

Haga clic en Descargar .der para descargar el formato .der (binario) del certificado.

El certificado .der se descarga en su máquina local.

Download .pem

Utilice Download.pem (Descargar.pem) para descargar el certificado en formato .pem. PEM (Privacy Enhanced Mail) es un certificado DER codificado Base64 en formato ASCII.

Haga clic en Descargar .pem para descargar el formato .pem (ASCII) del certificado.

El certificado .pem se descarga en su máquina local.

7

La operación de certificado se agrega a la lista de trabajos. Puede ver el progreso en la ficha Trabajos .

O BIEN

  1. Haga clic en el enlace Trabajos para ver el progreso de la operación del certificado.

  2. Haga clic en Aceptar para cerrar la ventana Certificado.

Acceder a la página Grupos

En la página Grupos se muestra un resumen del estado del certificado por grupo para todos los grupos de una organización.

1

Desde la vista del cliente en Webex Control Hub, vaya a Servicios > UC conectado.

Aparecerá la página UC conectada.

2

Haga clic en Grupos en la tarjeta de Administración de certificados .

La página Resumen del clúster muestra los clústeres con detalles como el nombre del clúster, el estado, el producto y el perfil asociado al clúster. El administrador puede cambiar la asociación predeterminada del perfil estándar con el perfil personalizado de un clúster.

3

(Opcional) Elija una de las siguientes opciones:

  • Haga clic en Buscar para buscar un grupo específico.

  • En el menú desplegable Filtrar productos , seleccione uno o más productos.

4

Haga clic en un registro de clúster en la página de listado para visitar la página Detalles del clúster que muestra los certificados de identidad asociados al clúster seleccionado.

Puede navegar hasta la ficha Almacén de confianza o la ficha Trabajos . La ficha Almacén de confianza muestra todos los certificados de un grupo en varias tiendas de confianza. La pestaña Trabajos enumera las operaciones que se realizan en los certificados y el estado de la acción.

En el panel del tablero de mandos se muestran las siguientes tarjetas:

  1. Certificados de identidad

  2. Certificados de confianza

  3. Detalles del trabajo

Para la tarjeta de certificados de identidad y confianza, se muestra un resumen de los certificados válidos, caducados y que caducan pronto. Para la tarjeta de trabajos se muestra un resumen de los trabajos totales, completos y pendientes del mes en curso.

Acceder a la ficha Certificado de identidad

Acceder a la ficha Certificado de identidad

Utilice el Certificado de identidad para ver todos los certificados de identidad presentes en un grupo. Puede buscar un certificado de identidad específico o ver los detalles de un certificado y realizar las operaciones necesarias.
1

Desde la vista del cliente en Webex Control Hub, vaya a Servicios> UC conectado.

Aparecerá la página UC conectada.

2

Haga clic en Grupos en la tarjeta de Administración de certificados .

3

Haga clic en un registro de clúster en la página de listado para visitar la página Detalles del clúster que muestra los certificados de identidad asociados al clúster.

Para grupos con versiones 12.5 o 14 de Cisco Emergency Responder, no se admite el certificado tomcat-ECDSA.

4

(Opcional) Haga clic en Buscar para buscar un certificado específico.

5

(Opcional) En el menú desplegable Filtrar certificado , seleccione uno o más certificados según su tipo.

Los certificados aparecen en la lista de certificados junto con detalles como el nombre del servidor, el nombre común, el tipo de certificado, el estado del certificado y la fecha de caducidad.

6

Haga clic en un registro de la página de listado para ver los detalles del certificado.

Se abre un panel lateral para mostrar los detalles del certificado. Puede ver Detalles del certificado o Copiar el certificado con formato PEM. También puede realizar todas las operaciones que se enumeran en el paso 8 desde este panel.

7

Haga clic en Cerrar para cerrar el panel lateral y volver a la página de listado.

El signo de advertencia aparece cuando el atributo de certificado existente no coincide con el perfil y el certificado no es compatible.

8

Desplácese sobre el registro de certificado y haga clic en los puntos suspensivos para realizar diversas operaciones. Consulte Operaciones en Certificados de identidad para obtener detalles.

9

(Opcional) Haga clic en Ver perfil.

Se muestra el perfil asociado al clúster.

Acceder a la ficha Almacén de confianza

Acceder a la ficha Almacén de confianza

La ficha Almacén de confianza enumera todos los certificados de un grupo en varios almacenes de confianza.
1

Desde la vista del cliente en Webex Control Hub, vaya a Servicios > UC conectado.

Aparecerá la página UC conectada.

2

Haga clic en Grupos en la tarjeta de Administración de certificados .

3

Haga clic en un registro de clúster en la página de listado para visitar la página Detalles del clúster .

4

Haga clic en la ficha Almacén de confianza para ver la lista de certificados.

Los certificados aparecen en la lista de certificados con detalles como el nombre común, el número de serie, la fecha de emisión, el estado y la fecha de caducidad.

5

(Opcional) Haga clic en Buscar para buscar un certificado específico.

6

(Opcional) En el menú desplegable Filtrar certificado , seleccione uno o más certificados.

Los certificados aparecen en la lista de certificados con detalles como el nombre común, el número de serie, la fecha de emisión, el estado y la fecha de caducidad.

7

Haga clic en un registro de la página de listado para ver los detalles del certificado.

Se abre un panel lateral para mostrar los detalles del certificado. Para ver todos los grupos asociados al certificado, consulte Detalles del certificado o Copiar el certificado con formato PEM. También puede realizar todas las operaciones que se enumeran en el paso 9 desde este panel.

8

Haga clic en Cerrar para cerrar el panel lateral y volver a la página de listado.

9

Desplácese sobre un registro de certificado y haga clic en los puntos suspensivos para realizar varias operaciones.

Consulte Operaciones en Certificados de almacén de confianza para conocer los detalles.
10

Haga clic en el registro de certificado con estado caducado para cargar un certificado actualizado en el almacén de confianza.

11

Haga clic en Cargar a confianza.

Aparece la ventana Cargar certificado .

12

Seleccione los grupos necesarios para asociarlos al almacén de confianza.

Lea detenidamente el mensaje de advertencia que se muestra antes de realizar la operación.

13

Haga clic en Elegir archivo para buscar un certificado.

14

Haga clic en Cargar para cargar el certificado en el almacén de confianza para los grupos requeridos.

Las operaciones de confianza para IPsec y CAPF no son compatibles a través de nodos de suscriptor en Control Hub. El administrador debe realizar estas operaciones en las instalaciones.

Limitaciones

Limitación de CH para operaciones de certificados de confianza:

  1. Si hay algún servicio de confianza para el que no se produce la replicación en nodos del mismo grupo, El administrador debe realizar estas operaciones en las instalaciones. E.g. capf, ipsec.
  2. Todas las operaciones relacionadas con la confianza se envían solo al nodo editor del grupo, por lo que la operación se puede realizar solo a través del nodo pub, no se puede realizar desde subnodos.
    1. Eliminar confianza
    2. Sustituir confianza
    3. Distribuir confianza
    4. Cargar lista de confianza

Limitación de las operaciones de eliminación de confianza:

  1. La operación solo se puede realizar a través del nodo Pub.
  2. Si el certificado no está presente en el nodo Pub y en los subnodos, la operación no se puede realizar a través de Control Hub. La operación debe realizarse a través de las instalaciones.

Acceder a la ficha Trabajos

Acceder a la ficha Trabajos

La ficha Trabajos muestra un resumen de todas las operaciones que se realizan. La ficha Trabajos muestra un resumen de los trabajos totales, completos y pendientes del mes en curso.

1

Desde la vista del cliente en Webex Control Hub, vaya a Servicios > UC conectado.

Aparecerá la página UC conectada.

2

Haga clic en Grupos en la tarjeta de Administración de certificados .

3

Haga clic en un registro de clúster en la página de listado para visitar la página Detalles del clúster .

4

Haga clic en la ficha Trabajos para ver la lista de trabajos ejecutados en el mes actual.

5

En el menú desplegable Mes actual , seleccione el período necesario para ver el resumen del trabajo.

El estado del trabajo aparece en el resumen del trabajo junto con detalles como el tipo de trabajo, el nodo, la marca de hora, el certificado y la información del producto.

6

Haga clic en un registro de la página de listado para ver los detalles del trabajo.

Se abre un panel lateral para mostrar los detalles del trabajo.

7

Haga clic en Cerrar para cerrar el panel lateral y volver a la página de listado.

Acceder a la página Perfiles

La página Perfiles le permite definir configuraciones como servidor múltiple/SAN, firmado por CA frente a firmado automáticamente, período de validez, RSA frente a ECDSA, longitud de clave, algoritmo hash.

Utilice perfiles separados para cada versión del grupo. Por ejemplo, si el grupo ejecuta la versión 12.x, debe ver solo las características 12.x mientras realiza operaciones de certificado.

Al crear el perfil personalizado, el administrador puede asociar el perfil personalizado recién creado a un grupo.

1

Desde la vista del cliente en Cisco Webex Control Hub, vaya a Servicios > UC conectado.

Aparecerá la página UC conectada.

2

Haga clic en Perfiles en la tarjeta de Administración de certificados .

Aparecerá la página Perfiles con la lista de perfiles creados.

De forma predeterminada, el servicio de administración de certificados proporciona el perfil estándar y todos los grupos habilitados para el servicio de administración de certificados están asociados a este perfil. Es un perfil de solo vista. Desplácese sobre el perfil y haga clic en los puntos suspensivos para ver o copiar el perfil.

3

Desplácese sobre el nombre de un perfil y haga clic en los puntos suspensivos para realizar varias operaciones como:

  • Editar

    1. Haga clic en Editar para editar el perfil seleccionado.

  • Eliminar

    1. Lea el mensaje de advertencia y haga clic en Eliminar para eliminar el perfil seleccionado.

  • Copiar

    1. Haga clic en Copiar para copiar el perfil seleccionado.

      Aparecerá la ventana Copia del perfil personalizado .

    2. Haga clic en Crear para actualizar o modificar la configuración de cada uno de los productos, si es necesario. De lo contrario, cree una copia del perfil seleccionado.

4

Haga clic en Agregar perfil para crear un nuevo perfil personalizado.

5

Introduzca un Nombre de perfil.

6

Marque la casilla de verificación si desea establecer el perfil en predeterminado.

7

Introduzca una Descripción para el perfil.

8

Definir las distintas configuraciones de certificados para cada uno de los productos

9

Haga clic en Crear para crear el perfil.

Si ha establecido un perfil personalizado como predeterminado, anule la selección de la casilla de verificación predeterminada en el perfil personalizado para volver al perfil estándar como predeterminado.

10

(Opcional) Asocie un perfil a un grupo. Haga clic en la ficha Grupos en el menú superior; aparecerá la página Lista de grupos. Puede asociar un perfil a un clúster desde la página de listado.

El período de validez para las versiones 11.5x y 12.5x es de 5 años, independientemente del valor elegido en la lista desplegable de validez. Versión 14 en adelante, el período de validez puede ser entre 5-20 años.

No ejecute operaciones que estén listadas como N en la tabla, de lo contrario fallarán las operaciones.

Operación del certificado

Versión compatible

Funcionamiento de la operación

11.5

12.5

14 y versiones posteriores

Renovar múltiples servidoresNNSAunque esta operación se realiza en un certificado de múltiples servidores auto-firmado, solo funciona en un único nodo.
Volver a usarNNSLa operación solo funciona en el administrador de llamadas y en el administrador de llamadas ECDSA en la aplicación Cisco Unified CM. Esta operación funciona tanto para el certificado multiservidor firmado por una CA y el certificado multiservidor firmado automáticamente.
Acceder a la página Configuración

El sistema envía automáticamente un mensaje de correo electrónico a los destinatarios cuando se aproxima la fecha de caducidad de un certificado.

1

Desde la vista del cliente en Webex Control Hub, vaya a Servicios > UC conectado.

Aparecerá la página UC conectada.

2

Haga clic en Configuración en la tarjeta de Administración de certificados .

3

Defina la Hora de inicio de la notificación.

Puede configurar la hora de inicio de la notificación entre 30 y 365 días.

4

Defina Frecuencia de notificación.

Puede configurar la frecuencia de notificación entre 1 y 30 días.

5

Introduzca la dirección de correo electrónico de los Destinatarios de la notificación.

Puede introducir un máximo de 25 direcciones de correo electrónico.

6

Haga clic en Guardar.

Todos los destinatarios reciben una notificación por correo electrónico como se muestra en la imagen cuando los certificados están cerca de la fecha de caducidad.