Introducción a Certificate Management

El servicio Certificate Management (Administración de los certificados) centralizado es un servicio basado en la nube que ofrece un único lugar para ver y administrar los certificados de Cisco Unified Communications Manager, MI y Presence, Cisco Unity Connection y Cisco Emergency Responder a través de múltiples clústeres.

Antes de comenzar:

Debe habilitar el servicio Certificate Management (Administración de los certificados) en la página Service Management (Administración de los servicios) correspondiente al clúster que desee. Para obtener más información, consulte habilitar los servicios de UC conectados a la nube en el centro de control.

La Certificate Management (Administración de los certificados) centralizada ofrece las siguientes funcionalidades clave:

  • Panel de varios clústeres que muestra el estado de certificado para cada clúster.

  • Vista detallada de certificados de identidad y de confianza a nivel de clúster individual.

  • Capacidad de realizar operaciones de certificación, como generar CSR, cargar certificados, renovar, descargar, copiar, reemplazar y eliminar.

  • Panel de alertas para ver los certificados vencidos y que vencen pronto.

  • Capacidad de configurar notificaciones como la notificación por correo electrónico de vencimiento de certificados.

  • Distribución de los certificados entre varios almacenes de confianza y clústeres.

  • Definición del perfil de certificado con varias configuraciones y asígnación a un clúster.

No puede distribuir y reemplazar certificados en una aplicación de Cisco Emergency Responder.

Acceder al servicio de Certificate Management (Administración de los certificados)

El servicio de Certificate Management (Administración de los certificados) dentro del conjunto de servicios de UC conectado a la nube de servicios administra los certificados para la implementación en las instalaciones.

Para acceder a Certificate Management (Administración de los certificados), realice los siguientes pasos:

1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado). La tarjeta de Certificate Management de esta página proporciona las funciones y funcionalidades Certificate Management.

2

En la tarjeta de Certificate Management , haga clic en cualquier enlace para acceder a las distintas funciones de administración de certificados.

En la siguiente tabla se muestran las funciones disponibles en la Certificate Management (Administración de los certificados):

Pestañas

Descripción

Alertas

Muestra un resumen de todos los certificados vencidos y por vencer. El administrador puede realizar las acciones necesarias en los certificados de identidad o de confianza para mantenerlos al día.

Clústeres

Muestra un resumen del estado de certificado en todos los clústeres de la organización dada y permite que el administrador realice las acciones necesarias para los certificados de identidad o de confianza.

  • Puede ver todos los certificados de identidad y de confianza de un clúster específico en una organización.

  • La pestaña de trabajos muestra un resumen de todas las acciones que se llevan a cabo en los certificados.

Perfiles

Valida que los certificados de un clúster cumplen con los parámetros configurados. Puede crear un perfil de Certificate Management (Administración de los certificados) personalizado y asociarlo a un clúster.

Configuración

Configure las direcciones de correo electrónico de los administradores para que reciban las notificaciones de vencimiento de certificados. Todos los campos se pueden configurar en la página Settings (Configuración) de Certificate Management (Administración de los certificados).

Página de alertas de Access

Utilice la Página alertas para hacer lo siguiente:

  • Ver certificados vencidos o que vencen pronto

  • Filtrar por certificado

  • Filtrar por producto para ver el estado del certificado.

1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Alertas de la tarjeta Certificate Management (Administración de los certificados).

La página muestra los certificados caducados y por caducar. Los certificados muestran detalles como el nombre del clúster, el nombre común, el tipo de certificado, el estado del certificado y la fecha de caducidad.

3

(Opcional) Seleccione una de las siguientes opciones:

  • Haga clic en Search (Buscar) para buscar un certificado específico.

  • Seleccione uno o más certificados de la lista desplegable certificado de filtro.

  • Seleccione uno o más productos de la lista desplegable productos de filtro.

Los certificados seleccionados aparecen en la lista de certificados junto con detalles como el clúster, el certificado, el nombre común, el producto, el tipo, el estado, el nombre del servidor y el vencimiento.

4

Seleccione un registro de la página de listado para ver los detalles del certificado.

Se abre un panel lateral para mostrar los detalles del certificado. Puede ver los detalles del certificado o copiar el certificado con formato PEM. Realice todas las operaciones enumeradas en el paso 6 de este panel.

5

Haga clic en Close (Cerrar) para cerrar el panel lateral y volver a la página del listado.

6

Mantenga el mouse sobre un registro de certificado y haga clic en los puntos suspensivos para realizar varias operaciones en los certificados almacenados de identidad y confianza.

Las operaciones en certificados de identidad son:

  • Renovar el certificado para firma automática.

  • Generar CSR para CA firmado.

  • Cargar certificado para CA firmado y se genera CSR en el certificado.

  • Descargar el CSR para CA firmado y se genera un CSR en el certificado.

  • Eliminar el CSR para CA firmado y se genera un CSR en el certificado.

Operación del certificado

Uso del certificado

Descripción
Renew Certificate (Renovar certificado)

Utilice Renovar certificado cuando el certificado esté firmado automáticamente.

Utilice Reuse Tomcat Certificate (Renovar certificado Tomcat) cuando desee volver a utilizar el certificado Tomcat para el servicio seleccionado.

La ventana renovar certificado se muestra en función de la configuración de perfil.

Seleccione la acción renovar certificado según la selección en la Página configuración de perfil, que es:

  • Reutilizar certificado Tomcat: seleccione usar Tomcat en el perfil , la opción reutilizar Tomcat está activada.

  • Renovar certificado: seleccione el tipo de certificado como autofirmado . la renovación está activada.

Lea el mensaje de advertencia y haga clic en volver a utilizar el certificado Tomcat para renovar el certificado.

Generate CSR (Generar CSR)

Utilice la operación de Generar CSR cuando el tipo de certificado está firmado por CA.

Aparece la ventana generar CSR.

Haga clic en generar para generar la CSR.

Upload Certificate (Cargar certificado)

Utilice la operación de Carga cuando el tipo de certificado esté firmado por CA y el CSR ya esté generado. Puede cargar una cadena de certificados en el formato. P7B o el certificado de identidad en el formato .PEM o. der.

Aparece la ventana Upload Certificate (Cargar certificado).

  1. Haga clic en elegir archivo para cargar el certificado.

    Examine y cargue el certificado desde su equipo local.

  2. Haga clic en cargar para cargar el certificado.

Distribute Certificate (Distribuir certificado)

Utilice la operación de distribución para distribuir el certificado a varios clústeres en una sola operación. Seleccionar varios clústeres y los almacenes de confianza en el Centro de control, el certificado se distribuye a los clústeres seleccionados.

Aparece la ventana distribuir certificado.

  1. Seleccione los clústeres y las confianzas a los cuales desee distribuir los certificados.

  2. Haga clic en distribuir para asociar los certificados con los clústeres y las confianzas seleccionados.

  3. Haga clic en Aceptar para cerrar la ventana distribuir certificado.


 

Este procedimiento no funciona en la aplicación CER.
Download CSR (Descargar CSR)

Utilice Descargar CSR cuando el tipo de certificado tiene una firma de CA y ya se ha generado el CSR. Puede descargar el CSR para conseguir que esté firmado por una entidad de certificación (CA).

Haga clic en descargar CSR para descargar la solicitud de firma de certificado CSR a su máquina local.

Delete CSR (Eliminar CSR)

Use la operación Eliminar CSR cuando se debe regenerar el CSR.

Aparece la ventana Delete CSR (Eliminar CSR).

Lea el mensaje de advertencia y haga clic en eliminar para eliminar la solicitud de firma de certificado CSR.


 

Si la configuración establecida por el administrador en el perfil no coincide con los atributos del certificado, aparecerá un icono de advertencia para el certificado. Ejemplo El certificado Tomcat está autofirmado, pero en la configuración de perfil se configura como CA firmada, esto conduce a una discrepancia.

No haga clic en enviar sin saberlo sin verificar las discrepancias, ya que puede causar problemas.

Las operaciones en los certificados de almacenamiento de confianza son:

  • Replace Certificate (Reemplazar certificado)

  • Remove Certificate (Quitar certificado)

Operación del certificado

Uso del certificado

Descripción

Replace Certificate (Reemplazar certificado)

Utilice Replace Certificate (Reemplazar certificado) para reemplazar el certificado existente con un certificado nuevo.

Aparece la ventana reemplazar certificado.

  1. Haga clic en elegir archivo para seleccionar un certificado nuevo.

    Examine y cargue el certificado nuevo desde su equipo local.

  2. Haga clic en reemplazar para reemplazar el certificado.


 

Este procedimiento no funciona en la aplicación CER.

Remove Certificate (Quitar certificado)

Utilice Quitar certificado cuando el administrador desee quitar el certificado que ya venció y el que está por vencer.

Aparece la ventana eliminar certificado.

  1. Seleccione los clústeres y las confianzas a los cuales desee quitarle los certificados.

  2. Haga clic en siguiente para eliminar el certificado de los clústeres y confianzas seleccionados.

  3. Lea el mensaje de advertencia y haga clic en eliminar para eliminar el certificado.


 

La operación eliminar certificado o reemplazar la operación de confianza del certificado puede fallar con un archivo de error no encontrado. Este error aparece cuando la operación se realiza en muchos clústeres con versiones mixtas de las versiones 12.5 SU5 y 14 SU1.

Solución: Vuelva a intentar la operación en los nodos con error. Compruebe el error en la página Detalles de la tarea para el clúster correspondiente, que lee el certificado no se ha podido eliminar porque no está presente en este nodo.

Las operaciones comunes en los certificados de los almacenes de confianza y certificados de identidad son:

  • Download .der (Descargar .der)

  • Download .pem (Descargar .pem)

Tipo de operación de certificado

Uso del certificado

Descripción

Download .der (Descargar .der)

Utilice Download .der (Descargar .der) para descargar el formato binario del certificado. Reglas de codificación distinguidas (Distinguished Encoding Rules, DER) es un certificado digital.

Haga clic en download. der para descargar el formato. der (binario) del certificado.

El certificado .der se descarga en el equipo local.

Download. pem (Descargar .pem)

Utilice Download .pem (Descargar .pem) para descargar el certificado en formato .pem. Correo de privacidad mejorado (Privacy Enhanced Mail, PEM) es un certificado DER codificado Base64 en formato ASCII.

Haga clic en download. pem para descargar el formato. pem (ASCII) del certificado.

El certificado .pem se descarga en el equipo local.

7

La operación de certificado se agrega a la lista Trabajos. Puede ver el progreso en la ficha trabajos.

O BIEN

  1. Haga clic en el enlace trabajos para ver el progreso de la operación del certificado.

  2. Haga clic en OK (Aceptar) para cerrar la ventana Certificate (Certificado).

Página de clusters de Access

La página de clusters muestra un resumen del estado de certificado por cada clúster para todos los clústeres de una organización.

1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Clústeres en la tarjeta de Certificate Management (Administración de los certificados).

La página Resumen del clúster muestra los clústeres con detalles como el nombre del clúster, el estado, el producto y el perfil asociado al clúster. El administrador puede cambiar la asociación predeterminada del perfil estándar con el perfil personalizado de un clúster.

3

(Opcional) Seleccione una de las siguientes opciones:

  • Haga clic en Search (Buscar) para buscar un clúster específico.

  • Seleccione uno o más productos de la lista desplegable Filter Products (Filtrar productos ).

4

Haga clic en un registro de clúster en la página listado para visitar la página Detalles del clúster que muestra los certificados de identidad asociados al clúster seleccionado.

Puede navegar a la ficha almacén de confianza o a la ficha trabajos. La pestaña Almacén de confianza muestra todos los certificados de un clúster en varios almacenes de confianza. La pestaña Trabajos enumera las operaciones que se realizan en los certificados y el estado de la acción.

El panel muestra estas tarjetas:

  1. Certificados de identidad

  2. Certificados de confianza

  3. Detalles del trabajo

Para la tarjeta de certificados de identidad y confianza, se muestra un resumen de los certificados válidos, expirados y que expiran pronto. En la tarjeta Trabajos se muestra un resumen de los trabajos totales, completos y pendientes del mes actual.

Acceder a la pestaña Certificado de identidad

Utilice el certificado de identidad para ver todos los certificados de identidad presentes en un clúster. Puede buscar un certificado de identidad específico o ver los detalles de un certificado y realizar las operaciones necesarias.

1

En el centro de Control de Webex de customer view , vaya a servicios > UC conectados.

Aparece la página Connected UC (UC conectado).

2

Haga clic en Clústeres en la tarjeta de Certificate Management (Administración de los certificados).

3

Haga clic en un registro de clúster en la página listado para visitar la página Detalles del clúster que muestra los certificados de identidad asociados al clúster.


 

Para clústeres con Cisco Emergency Responder versiones 12.5 o 14, no se admite el certificado tomcat-ECDSA.

4

(Opcional) Haga clic en Search (Buscar) para buscar un certificado específico.

5

Facultativo En la lista desplegable certificado de filtro, seleccione uno o más certificados basados en su tipo.

Los certificados aparecen en listas de certificados junto con detalles como el nombre del clúster, el nombre común, el tipo de certificado, el estado del certificado y la fecha de caducidad.

6

Haga clic en un registro de la página de listado para ver los detalles del certificado.

Se abre un panel lateral para mostrar los detalles del certificado. Puede ver los detalles del certificado o copiar el certificado con formato PEM. También puede realizar todas las operaciones que se enumeran en el paso 8 desde este panel.

7

Haga clic en Close (Cerrar) para cerrar el panel lateral y volver a la página del listado.


 

El signo de advertencia aparece cuando el atributo de certificado existente no coincide con el perfil y el certificado no es compatible.

8

Coloque el cursor sobre el registro de certificado y haga clic en los puntos suspensivos para realizar varias operaciones. Consulte operaciones en certificados de identidad para obtener más información.

9

(Opcional) Haga clic en Ver perfil.

Se muestra el perfil asociado al clúster.

Acceder a la pestaña Almacén de confianza

La ficha almacén de confianza muestra todos los certificados de un clúster entre varios almacenes de confianza.

1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Clústeres en la tarjeta de Certificate Management (Administración de los certificados).

3

Haga clic en un registro de clúster en la página listado para visitar la página Detalles del clúster.

4

Haga clic en la pestaña Almacén de confianza para ver la lista de certificados.

Los certificados aparecen en la lista de certificados con detalles como el nombre común, el número de serie, el número de emisión, el estado y la fecha de caducidad.

5

(Opcional) Haga clic en Search (Buscar) para buscar un certificado específico.

6

(Opcional) En el menú desplegable Filter Certificate (Filtrar certificado), seleccione uno o más certificados.

Los certificados aparecen en la lista de certificados con detalles como el nombre común, el número de serie, el número de emisión, el estado y la fecha de caducidad.

7

Haga clic en un registro de la página de listado para ver los detalles del certificado.

Se abre un panel lateral para mostrar los detalles del certificado. Para ver todos los clústeres asociados al certificado, consulte los detalles del certificado o copie el certificado con formato PEM. También puede realizar todas las operaciones que se enumeran en el paso 9 desde este panel.

8

Haga clic en Close (Cerrar) para cerrar el panel lateral y volver a la página del listado.

9

Coloque el cursor sobre el registro de certificado y haga clic en los puntos suspensivos para realizar varias operaciones.

Consulte operaciones en los certificados de almacenamiento de confianza para detials.
10

Haga clic en el registro de certificado con estado expirado para cargar un certificado actualizado en el almacén de confianza.
11

Haga clic en Upload to Trust (Cargar en confianza).

Aparece la ventana Upload Certificate (Cargar certificado).

12

Seleccione los clústeres necesarios para asociarlos al almacén de confianza.


 

Lea detenidamente el mensaje de advertencia que se muestra antes de realizar la operación.
13

Haga clic en Chose File (Elegir archivo) para buscar un certificado.

14

Haga clic en Load (Cargar) para cargar el certificado en el almacén de confianza de los clústeres requeridos.


 
Las operaciones de confianza para IPsec y CAPF no se admiten a través de nodos de suscriptor en el Hub de control. El administrador tiene que realizar estas operaciones en las instalaciones.

Limitación de las operaciones de canal de confianza de certificados:

  1. Si hay algún servicio de confianza para el cual la replicación no sucede en los nodos del mismo clúster, el administrador debe realizar estas operaciones de forma local. Por ejemplo, CAPF, IPSEC.
  2. Todas las operaciones relacionadas con la confianza se envían sólo al nodo de la editorial del clúster, de manera que la operación sólo se puede realizar mediante el nodo pub.
    1. Eliminar confianza
    2. Reemplazar confianza
    3. Distribuir confianza
    4. Cargar confianza

Limitación para eliminar operaciones de confianza:

  1. La operación sólo se puede realizar mediante el nodo pub.
  2. Si el certificado no está presente en el nodo pub y está presente en los subnodos, la operación no se puede realizar mediante control Hub. Es necesario realizar la operación a través de una local.

Acceder a la pestaña Trabajos

La pestaña Trabajos muestra un resumen de todas las acciones que se llevan a cabo en los certificados. La pestaña Trabajos muestra un resumen de los trabajos totales, completos y pendientes del mes en curso.

1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Clústeres en la tarjeta de Certificate Management (Administración de los certificados).

3

Haga clic en un registro de clúster en la página listado para visitar la página Detalles del clúster.

4

Haga clic en la pestaña Jobs (Trabajos) para ver la lista de trabajos ejecutados en el mes actual.

5

En el menú desplegable Current Month (Mes actual), seleccione el período necesario para ver el resumen del trabajo.

El estado del trabajo aparece en el Resumen de trabajo, junto con los detalles, como el tipo de trabajo, el nodo, la marca de tiempo, el certificado y la información de producto.

6

Haga clic en un registro de la página de listado para ver los detalles del trabajo.

Se abre un panel lateral para mostrar los detalles del trabajo.
7

Haga clic en Close (Cerrar) para cerrar el panel lateral y volver a la página del listado.

Página de perfiles de acceso

La página de perfiles le permite definir configuraciones como multiservidor/multi-San, entidades emisoras de certificados firmadas frente a Autofirmado, período de validez, RSA vs. ECDSA, longitud de clave, algoritmo hash.

Utilice perfiles independientes para cada versión del clúster. Por ejemplo, si el clúster ejecuta la versión 12.x, debe ver sólo las funciones de 12.x al mismo tiempo que realiza operaciones de certificado.

Al crear el perfil personalizado, el administrador puede asociar el perfil personalizado recién creado a un clúster.

1

En la vista del cliente en Cisco Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Profiles (Perfiles) de la tarjeta Certificate Management (Administración de los certificados).

Aparece la página Perfiles con la lista de perfiles creados.


 

De forma predeterminada, el servicio de Certificate Management (Administración de los certificados) proporciona el perfil estándar y todos los clústeres habilitados para el servicio de Certificate Management (Administración de los certificados) se relacionan con este perfil. Es un perfil de sólo vista. Mantenga el mouse sobre el perfil y haga clic en los puntos suspensivos para ver o copiar el perfil.

3

Coloque el cursor sobre el nombre del perfil y haga clic en los puntos suspensivos para realizar varias operaciones como:

  • Editar

    1. Haga clic en Editar para modificar el perfil seleccionado.

  • Eliminar

    1. Lea el mensaje de advertencia y haga clic en eliminar para eliminar el perfil seleccionado.

  • Copiar

    1. Haga clic en copiar para copiar el perfil seleccionado.

      Aparece la ventana Copy of Custom Profile (Copia de perfil personalizado).

    2. Haga clic en crear para actualizar o modificar la configuración de cada uno de los productos, si es necesario. De lo contrario, cree una copia del perfil seleccionado.

4

Haga clic en Add Profile (Agregar perfil) para crear un perfil personalizado nuevo.

5

Introduzca un nombre de perfil.

6

Marque la casilla de verificación si desea configurar el perfil como predeterminado.
7

Escriba una descripción para el perfil.

8

Defina las distintas configuraciones de certificado para cada uno de los productos
9

Haga clic en Create (Crear) para crear el perfil.

Si ha configurado un perfil personalizado como predeterminado, anule la selección de la casilla de verificación predeterminada en el perfil personalizado para volver al perfil estándar como predeterminado.

10

(Opcional) Asocie un perfil a un clúster. Haga clic en la ficha clusters en el menú superior, aparece la página lista de clústeres. Puede asociar un perfil a un clúster desde la página de listado.


 

El período de validez para las versiones 11.5x y 12.5x es de 5 años, independientemente del valor seleccionado en la lista desplegable validez. Versión 14 en adelante, el período de validez puede ser entre 5 a 20 años.

No ejecute operaciones que se muestran como N en la tabla, de lo contrario, fallarán las operaciones.

Operación del certificado

Versión compatible

Funcionamiento de la operación

11.5

12.5

14 y versiones posteriores
Renovar multiservidor N N S Aunque esta operación se realiza en un certificado de servidor múltiple firmado automáticamente, funciona únicamente en un nodo simple.
Volver a utilizar N N S La operación solo funciona en el administrador de llamadas y en el administrador de llamadas ECDSA en la aplicación Cisco Unified CM. Esta operación funciona para los certificados de servidores múltiples firmados por CA y los certificados de servidores múltiples firmados automáticamente.

Página de configuración de acceso

El sistema envía automáticamente un mensaje de correo electrónico a los destinatarios cuando el certificado se encuentra cerca de la fecha de caducidad.

1

En la vista del cliente en Webex Control Hub, vaya a Services (Servicios) > Connected UC (UC conectado).

Aparece la página Connected UC (UC conectado).

2

Haga clic en Settings (Configuración) de la tarjeta Certificate Management (Administración de los certificados).

3

Establezca la hora de inicio de la notificación.

Puede configurar la hora de inicio de la notificación entre 30 a 365 días.
4

Establezca la frecuencia de notificación.

Puede configurar la frecuencia de notificación entre 1 a 30 días.
5

Introduzca la dirección de correo electrónico de los destinatarios de la notificación.

Puede introducir un máximo de 25 direcciones de correo electrónico.
6

Haga clic en Guardar.

Todos los destinatarios reciben una notificación por correo electrónico, tal como se muestra en la imagen, cuando los certificados están cerca de la fecha de caducidad.