Certificate Management vue d'ensemble

Le service Certificate Management centralisé est un service basé sur le Cloud qui permet d'afficher et de gérer les certificats de Cisco Unified Communications Manager, IM et Presence, Cisco Unity Connection et Cisco Emergency Responder sur plusieurs clusters.

Avant de commencer :

Vous devez activer le service Certificate Management sur la page Gestion des services du cluster concerné. Pour plus d'informations, reportez-vous à la section Activer les services UC Cloud-Connected dans le Control Hub.

Le service Certificate Management centralisé offre ces fonctionnalités clés :

  • Tableau de bord multi-cluster affichant l'état des certificats pour chaque cluster.

  • Vue détaillée des certificats d'identité et de confiance au niveau d'un cluster individuel.

  • Possibilité d'effectuer des opérations de certificat telles que générer des CSR, charger un certificat, renouveler, télécharger, copier, remplacer et supprimer.

  • Le tableau de bord des alertes permet d'afficher les certificats arrivés à expiration et arrivant bientôt à expiration.

  • Possibilité de configurer des notifications telles que la notification par courrier électronique pour l'expiration des certificats.

  • Répartissez les certificats entre plusieurs magasins d'approbations et clusters.

  • Définissez un profil de certificat avec différents paramètres et affectez-le à un cluster.

Vous ne pouvez pas distribuer et remplacer des certificats sur une application de Cisco Emergency Responder.

Accéder au service Certificate Management

Le service Certificate Management de la suite de services Cloud-Connected UC gère les certificats pour le déploiement sur site.

Pour accéder à Certificate Management, procédez comme suit :

1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche. La Certificate Management de cette page fournit les Certificate Management caractéristiques et fonctionnalités.

2

Sur la fi Certificate Management che , cliquez sur un lien quelconque pour accéder aux différentes fonctionnalités de gestion des certificats.

Le tableau ci-dessous répertorie les fonctionnalités disponibles dans Certificate Management :

Onglets

Description

Alertes

Affiche un résumé de tous les certificats expirés et en cours d'expiration. L'administrateur peut prendre les mesures nécessaires sur les certificats d'identité ou de confiance pour les mettre à jour.

Clusters

Affiche un résumé de l'état des certificats dans les clusters de l'organisation donnée et permet à l'administrateur de prendre les mesures nécessaires sur les certificats d'identité ou d'approbation.

  • Vous pouvez afficher tous les certificats d'identité et de confiance d'un cluster spécifique au sein d'une organisation.

  • L'onglet travaux affiche un résumé de toutes les actions effectuées sur les certificats.

Profils

Valide la conformité des certificats d'un cluster avec les paramètres configurés. Vous pouvez créer un profil Certificate Management personnalisé et l'associer à un cluster.

Paramètres

Configurez les adresses de courrier électronique des administrateurs afin qu'ils reçoivent les notifications d'expiration de certificat. Tous les champs peuvent être configurés dans la page Paramètres de Certificate Management.
Page Accès aux alertes

Utilisez la page Alertes pour faire ce qui suit :

  • Afficher les certificats arrivant à expiration ou expirés

  • Filtrer par certificat

  • Filtrer par produit pour afficher l'état du certificat.

1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Alertes à partir de la carte Certificate Management.

La page affiche à la fois les certificats expirés et arrivant à expiration. Les détails de la liste des certificats, tels que le nom du cluster, le nom commun, le type de certificat, l'état du certificat et la date d'expiration.

3

(Facultatif) Sélectionnez l'une des options suivantes :

  • Cliquez sur Rechercher pour rechercher un certificat spécifique.

  • Sélectionnez un ou plusieurs certificats dans la liste déroulante Filtrer les certificats .

  • Sélectionnez un ou plusieurs produits dans la liste déroulante Produits filtrer .

Les certificats sélectionnés apparaissent dans la liste des certificats ainsi que des détails tels que le cluster, le certificat, le nom commun, le produit, le type, le statut, le nom du serveur et l'expiration.

4

Sélectionnez un enregistrement dans la page de liste pour afficher les détails du certificat.

Un panneau latéral s'ouvre pour afficher les détails du certificat. Vous pouvez voir les détails du certificat ou copier le certificat au format PEM. Effectuez toutes les opérations répertoriées à l'étape 6 à partir de ce panneau.

5

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.

6

Placez le pointeur de la souris sur un enregistrement de certificat et cliquez sur les points de suspension pour effectuer diverses opérations sur les certificats d'identité et de magasin de confiance.

Les opérations sur les certificats d'identité sont les suivantes :

  • Renouveler le certificat pour l'auto-signature.

  • Générer un CSR pour la signature par l'autorité de certification.(AC)

  • Télécharger un certificat pour signature par l'autorité de certification et un CSR est généré sur le certificat.

  • Télécharger un CSR pour signature par l'autorité de certification et un CSR est généré sur le certificat.

  • Supprimer le CSR pour signature par l'autorité de certification et un CSR est généré sur le certificat.

Opération de certificat

Utilisation des certificats

Description

Renouveler le certificat

Utilisez Renouveler le certificat lorsque le certificat est auto- signé.

Utilisez l'option Réutiliser le certificat Tomcat lorsque vous souhaitez réutiliser le certificat Tomcat pour le service sélectionné.

La fenêtre Renouveler le certificat s'affiche en fonction des paramètres du profil.

Choisissez l'action Renouveler le certificat en fonction de la sélection effectuée dans la page Paramètres du profil, qui est :

  • Réutiliser le certificat Tomcat - sélectionnez Utiliser Tomcat sur le profil, l'option Réutiliser Tomcat est activée.

  • Renouveler le certificat - sélectionnez le type de certificat auto-signé, le renouvellement est activé.

Lisez le message d'avertissement et cliquez sur Réutiliser le certificat Tomcat pour renouveler le certificat.

Générer une demande CSR

Utilisez Générer une opération CSR lorsque le type de certificat est signé par une AC.

La fenêtre Générer CSR s'affiche.

Cliquez sur Générer pour générer le CSR.

Charger le certificat

Utiliser l'opération Charger lorsque le type de certificat est signé par une AC et que le CSR est déjà généré. Vous pouvez charger une chaîne de certificats au format. P7B ou le certificat d'identité au format .pem ou .der.

La fenêtre Charger le certificat s'affiche.

  1. Cliquez sur Choisir un fichier pour télécharger le certificat.

    Parcourez les dossiers et téléchargez le certificat à partir de votre machine locale.

  2. Cliquez sur Télécharger pour charger le certificat.

Distribuer le certificat

Utilisez l'opération de distribution pour distribuer le certificat à plusieurs clusters en une seule opération. Sélectionnez plusieurs clusters et magasins de confiance sur le Control Hub, le certificat est distribué aux clusters sélectionnés.

La fenêtre Distribuer le certificat s'affiche.

  1. Sélectionnez les clusters et approbations vers lesquels vous voulez distribuer les certificats.

  2. Cliquez sur Distribuer pour associer les certificats aux clusters et approbations sélectionnés.

  3. Cliquez sur OK pour fermer la fenêtre Distribuer le certificat.

Cette procédure ne fonctionne pas sur l'application CER.

Télécharger CSR

Utilisez Télécharger le CSR lorsque le type de certificat est signé par l'autorité de certification et que le CSR est déjà généré. Vous pouvez télécharger le CSR pour qu'il soit signé par une AC (Autorité de Certification).

Cliquez sur Télécharger CSR pour télécharger la demande de signature de certificat CSR sur votre ordinateur local.

Supprimer le CSR

Utilisez l'opération Supprimer le CSR lorsque le CSR doit être régénéré.

La fenêtre Supprimer le CSR s'ouvre.

Lisez le message d'avertissement et cliquez sur Supprimer pour supprimer la demande de signature de certificat CSR.

Si les paramètres du profil configurés par l'administrateur ne correspondent pas aux attributs du certificat, une icône d'avertissement apparaît en regard du certificat. Exemple : le certificat Tomcat est auto-signé mais dans les paramètres du profil, il est défini sur Signé par une AC, ce qui entraîne une incompatibilité.

Ne cliquez pas sur Soumettre sans le savoir sans vérifier les incohérences, car cela pourrait entraîner des problèmes.

Les opérations sur les certificats de banque d'approbations sont les suivantes :

  • Remplacer le certificat

  • Supprimer un certificat

Opération de certificat

Utilisation des certificats

Description

Remplacer le certificat

Utilisez Remplacer le certificat pour remplacer le certificat existant par un nouveau certificat.

La fenêtre Remplacer le certificat s'affiche.

  1. Cliquez sur Choisir un fichier pour sélectionner un nouveau certificat.

    Parcourez les dossiers et téléchargez le nouveau certificat à partir de votre machine locale.

  2. Cliquez sur Remplacer pour remplacer le certificat.

Cette procédure ne fonctionne pas sur l'application CER.

Supprimer un certificat

Utilisez Supprimer le certificat lorsque l'administrateur veut supprimer un certificat expirant bientôt ou expiré.

La fenêtre Supprimer le certificat s'affiche.

  1. Sélectionnez les clusters et approbations dont vous voulez supprimer les certificats.

  2. Cliquez sur Suivant pour supprimer le certificat des clusters et approbations sélectionnés.

  3. Lisez le message d'avertissement et cliquez sur Supprimer pour supprimer le certificat.

Supprimer un certificat ou remplacer un certificat L'opération de confiance peut échouer avec une erreur Fichier introuvable. Cette erreur apparaît lorsque l'opération est effectuée sur plusieurs clusters avec des versions mixtes des versions 12.5 SU5 et 14 SU1.

Solution : retenter l'opération sur les nœuds qui ont échoué. Vérifiez l'erreur sur la page de détail des tâches pour le cluster correspondant, qui se lit comme suit : Le certificat n'a pas pu être supprimé car il n'est pas présent sur ce nœud.

Les opérations courantes sur les certificats de banque d'approbations et les certificats d'identité sont les suivantes :

  • Télécharger .der

  • Télécharger .pem

Type d'opération sur le certificat

Utilisation des certificats

Description

Télécharger .der

Utilisez Télécharger .der pour télécharger le format binaire du certificat. DER (Distinguished Encoding Rules) est un certificat numérique.

Cliquez sur Télécharger .der pour télécharger le format .der (binaire) du certificat.

Le certificat .der est téléchargé sur votre machine locale.

Télécharger .pem

Utilisez Télécharger .pem pour télécharger le certificat au format .pem. Le certificat PEM (Privacy Enhanced Mail) est un certificat DER codé en base64 au format ASCII.

Cliquez sur Télécharger .pem pour télécharger le format .pem (ASCII) du certificat.

Le certificat .pem est téléchargé sur votre machine locale.

7

L'opération sur le certificat est ajoutée à la liste des tâches. Vous pouvez voir la progression sous l'onglet Travaux .

OU

  1. Cliquez sur le lien Travaux pour afficher la progression de l'opération de certificat.

  2. Cliquez sur OK pour fermer la fenêtre du certificat.

Page Accès aux clusters

La page Clusters répertorie un résumé de l'état des certificats par cluster pour tous les clusters d'une organisation.

1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Clusters à partir de la carte Certificate Management.

La page de résumé des clusters affiche les clusters avec des détails tels que le nom du cluster, le statut, le produit et le profil associé au cluster. L'administrateur peut modifier l'association par défaut du profil standard avec le profil personnalisé pour un cluster.

3

(Facultatif) Sélectionnez l'une des options suivantes :

  • Cliquez sur Rechercher pour rechercher un cluster spécifique.

  • Sélectionnez un ou plusieurs produits dans la liste déroulante Filtrer les produits.

4

Cliquez sur un enregistrement de cluster dans la page de liste pour visiter la page Détails du cluster qui affiche les certificats d'identité associés au cluster sélectionné.

Vous pouvez accéder à l'onglet Trust Store ou à l'onglet Travaux . L'onglet Magasin de confiance affiche tous les certificats d'un cluster à travers différents magasins de confiance. L'onglet Travaux répertorie les opérations effectuées sur les certificats et le statut de l'action.

Le volet Tableau de bord affiche ces cartes :

  1. Certificats d'identité

  2. Certificats de confiance

  3. Détails des travaux

Pour la carte des certificats d'identité et de confiance, un résumé des certificats valides, expirés et en cours d'expiration est affiché. En ce qui concerne la carte Travaux, un résumé du total des travaux, achevés et en attente pour le mois en cours est affiché.

Accéder à l'onglet Certificat d'identité

Accéder à l'onglet Certificat d'identité

Utilisez le certificat d'identité pour afficher tous les certificats d'identité présents dans un cluster. Vous pouvez rechercher un certificat d'identité spécifique ou afficher les détails d'un certificat et effectuer les opérations nécessaires.
1

À partir de l'affichage client dans le Webex Control Hub, accédez à Services> UC connecté.

La page Connected UC s'affiche.

2

Cliquez sur Clusters à partir de la carte Certificate Management.

3

Cliquez sur un enregistrement de cluster dans la page de liste pour visiter la page Détails du cluster qui affiche les certificats d'identité associés au cluster.

Pour les clusters avec les versions 12.5 ou 14 de Cisco Emergency Responder, le certificat tomcat-ECDSA n'est pas pris en charge.

4

(Facultatif) Cliquez sur Rechercher pour rechercher un certificat spécifique.

5

(Facultatif) Dans la liste déroulante Filtrer les certificats , sélectionnez un ou plusieurs certificats en fonction de leur type.

Les certificats apparaissent dans la liste des certificats avec des détails comme le nom du serveur, le nom commun, le type de certificat, le statut du certificat et la date d'expiration.

6

Sélectionnez un enregistrement dans la page de liste pour afficher les détails du certificat.

Un panneau latéral s'ouvre pour afficher les détails du certificat. Vous pouvez voir les détails du certificat ou copier le certificat au format PEM. Vous pouvez également effectuer toutes les opérations répertoriées à l'étape 8 à partir de ce panneau.

7

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.

Le signe d'avertissement apparaît lorsque l'attribut de certificat existant ne correspond pas au profil et que le certificat n'est pas conforme.

8

Placez le pointeur de la souris sur un enregistrement de certificat et cliquez sur les points de suspension pour effectuer diverses opérations. Voir Opérations sur les certificats d'identité pour plus de détails.

9

(Facultatif) Cliquez sur Afficher le profil.

Le profil associé au cluster est affiché.

Accéder à l'onglet Magasin de confiance

Accéder à l'onglet Magasin de confiance

L'onglet Magasin d'approbations répertorie tous les certificats d'un cluster dans divers magasins d'approbations.
1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Clusters à partir de la carte Certificate Management.

3

Cliquez sur un enregistrement de cluster dans la page de liste pour accéder à la page de détails du cluster.

4

Cliquez sur l'onglet Magasin de confiance pour afficher la liste des certificats.

Les certificats apparaissent dans la liste des certificats avec des informations telles que le nom usuel, le numéro de série, l'émetteur, le statut et la date d'expiration.

5

(Facultatif) Cliquez sur Rechercher pour rechercher un certificat spécifique.

6

(Facultatif) Dans la liste déroulante Filtrer le certificat, sélectionnez un ou plusieurs certificats.

Les certificats apparaissent dans la liste des certificats avec des informations telles que le nom usuel, le numéro de série, l'émetteur, le statut et la date d'expiration.

7

Sélectionnez un enregistrement dans la page de liste pour afficher les détails du certificat.

Un panneau latéral s'ouvre pour afficher les détails du certificat. Pour afficher tous les clusters associés au certificat, consultez Détails du certificat ou Copier le certificat au format PEM. Vous pouvez également effectuer toutes les opérations répertoriées à l'étape 9 à partir de ce panneau.

8

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.

9

Placez le pointeur de la souris sur un enregistrement de certificat et cliquez sur les points de suspension pour effectuer diverses opérations.

Voir Opérations sur les certificats Trust Store pour les détails.
10

Cliquez sur l'enregistrement de certificat dont le statut est expiré pour télécharger un certificat mis à jour dans le magasin de confiance.

11

Cliquez sur Télécharger dans le magasin de confiance.

La fenêtre Charger le certificat s'affiche.

12

Sélectionnez les clusters à associer au magasin de confiance.

Lisez attentivement le message d'avertissement affiché avant d'effectuer l'opération.

13

Cliquez sur choisir un fichier pour accéder à un nouveau certificat.

14

Cliquez sur Télécharger pour télécharger le certificat dans le magasin de confiance pour les clusters requis.

Les opérations d'approbation pour IPsec et CAPF ne sont pas prises en charge via les nœuds d'abonné dans Control Hub. L'administrateur devra effectuer ces opérations sur site.

Limitations

Limitation des opérations CH pour les certificats de confiance :

  1. S'il existe un service d'approbation pour lequel la réplication ne se produit pas sur les nœuds du même cluster, l'administrateur doit effectuer ces opérations sur site. Par exemple CAPF, IPSEC.
  2. Toutes les opérations liées à l'approbation sont envoyées uniquement au nœud éditeur du cluster, de sorte que l'opération ne peut être effectuée que via le nœud pub, ne peut pas être effectuée à partir de sous-nœuds.
    1. Supprimer la confiance
    2. Remplacer la confiance
    3. Distribuer la confiance
    4. Upload Trust

Limitation des opérations de suppression de l'approbation :

  1. L'opération ne peut être effectuée que via le nœud Pub.
  2. Si le certificat n'est pas présent dans le nœud Pub et présent dans les sous-nœuds, l'opération ne peut pas être effectuée via le concentrateur de contrôle. L'opération doit se faire sur site.

Accéder à l'onglet Travaux

Accéder à l'onglet Travaux

L'onglet Travaux affiche un résumé de toutes les actions effectuées sur les certificats. L'onglet Travaux présente un résumé du total des travaux, des travaux terminés et des travaux en attente pour le mois en cours.

1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Clusters à partir de la carte Certificate Management.

3

Cliquez sur un enregistrement de cluster dans la page de liste pour accéder à la page de détails du cluster.

4

Cliquez sur l'onglet Travaux pour afficher la liste des travaux exécutés pendant le mois en cours.

5

Dans la liste déroulante Mois en cours, sélectionnez la période requise pour afficher le résumé du travail.

L'état du travail apparaît dans le résumé du travail avec des détails tels que le type de travail, le nœud, l'horodatage, le certificat et les informations sur le produit.

6

Sélectionnez un enregistrement dans la page de liste pour afficher les détails de la tâche.

Un panneau latéral s'ouvre pour afficher les détails de la tâche.

7

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.

Page Accéder aux profils

La page Profils vous permet de définir des paramètres tels que Multi-Server/Multi-SAN, CA-Signed vs Self-Signed, période de validité, RSA vs ECDSA, Key Length, Hash algorithm.

Utilisez des profils distincts pour chaque version du cluster. Par exemple, si le cluster exécute la version 12.x, vous devez voir uniquement les fonctionnalités 12.x lorsque vous effectuez des opérations de certificats.

Lors de la création du profil personnalisé, l'administrateur peut associer le profil personnalisé nouvellement créé à un cluster.

1

À partir de la vue client du Cisco Webex Control Hub , accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Profils à partir de la carte Certificate Management.

La page Profils apparaît avec la liste des profils créés.

Par défaut, le service Certificate Management fournit le profil standard et tous les clusters activés pour le service Certificate Management sont associés à ce profil. Il s'agit d'un profil en lecture uniquement. Placez le pointeur de la souris sur le profil et cliquez sur les points de suspension pour afficher ou copier le profil.

3

Placez le pointeur de la souris sur un nom de profil et cliquez sur les points de suspension pour effectuer diverses opérations telles que :

  • Modifier

    1. Cliquez sur Modifier pour modifier le profil sélectionné.

  • Supprimer

    1. Lisez le message d'avertissement et cliquez sur Supprimer pour supprimer le profil sélectionné.

  • Copier

    1. Cliquez sur Copier pour copier le profil sélectionné.

      La fenêtre Copie du profil personnalisé apparaît.

    2. Cliquez sur Créer pour mettre à jour ou modifier les paramètres de chacun des produits, si nécessaire. Sinon, créez une copie du profil sélectionné.

4

Cliquez sur Ajouter un profil pour créer un nouveau profil.

5

Saisissez un nom de profil.

6

Cochez la case si vous souhaitez définir le profil par défaut.

7

Saisissez une Description du profil.

8

Définissez les différents paramètres de certificat pour chaque produit.

9

Cliquez sur Créer pour créer un profil.

Si vous avez défini un profil personnalisé par défaut, décochez la case par défaut dans le profil personnalisé pour revenir au profil standard par défaut.

10

(Facultatif) Associer un profil à un cluster. Cliquez sur l'onglet Clusters dans le menu supérieur, la page de liste Clusters s'affiche. Vous pouvez associer un profil à un cluster à partir de la page de liste.

La période de validité des versions 11.5 x et 12.5 x est de 5 ans, quelle que soit la valeur choisie dans la liste déroulante de validité. À partir de la version 14, la période de validité peut être comprise entre 5 et 20 ans.

N'exécutez pas les opérations corespondant à N dans le tableau, sinon elles échouent.

Opération de certificat

Version prise en charge

Fonctionnement de l'opération

11.5

12.5

Version 14 et ultérieures

Renouvellement de plusieurs serveursNNOBien que cette opération soit effectuée sur un certificat auto-signé multi-serveur, elle ne fonctionne que sur un seul nœud.
RéutiliserNNOL'opération ne fonctionne que sur Call Manager et Call Manager ECDSA sur l'application Cisco Unified CM. Cette opération fonctionne à la fois pour un certificat signé par une autorité de certification multi-serveurs et pour un certificat auto-signé multi-serveurs.
Page Paramètres d'accès

Le système envoie automatiquement un message électronique aux destinataires lorsqu'un certificat est proche de sa date d'expiration.

1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Paramètres à partir de la carte Certificate Management.

3

Définir l'heure de début de la notification.

Vous pouvez définir l'heure de début de la notification entre 30 et 365 jours.

4

Définir la fréquence de notification.

Vous pouvez définir la fréquence de notification entre 1 et 30 jours.

5

Saisissez l'adresse électronique des destinataires de la notification.

Vous pouvez saisir 25 adresses électroniques maximum.

6

Cliquez sur Enregistrer.

Tous les destinataires reçoivent une notification par courrier électronique, comme indiqué dans l'image lorsque les certificats sont proches de la date d'expiration.