Présentation de la gestion des certificats

La gestion centralisée des certificats est un service basé sur le Cloud qui offre un emplacement unique pour afficher et gérer les certificats de Cisco Unified Communications Manager, IM et Presence, Cisco Unity Connection et Cisco Emergency Responder sur plusieurs clusters.

Avant de commencer :

Vous devez activer le service Certificate Management sur la page Gestion des services pour le cluster souhaité. Pour plus d’informations, voir Activer les services UC connectés au Cloud dans Control Hub.

La gestion centralisée des certificats offre ces fonctionnalités clés :

  • Tableau de bord multi-clusters affichant l'état des certificats pour chaque cluster.

  • Vue détaillée des certificats d'identité et de confiance au niveau d'un cluster individuel.

  • Possibilité d'effectuer des opérations de certificat telles que générer un CSR, charger un certificat, renouveler, télécharger, copier, remplacer et supprimer.

  • Le tableau de bord des alertes permet d'afficher les certificats expirés et arrivant bientôt à expiration.

  • Possibilité de configurer des notifications telles que la notification par courrier électronique pour l'expiration des certificats.

  • Distribuez les certificats entre plusieurs trust stores et groupes.

  • Définissez un profil de certificat avec différents paramètres et affectez-le à un cluster.

Vous ne pouvez pas distribuer et remplacer des certificats sur l'application Cisco Emergency Responder.

Accéder au service de gestion des certificats

Le service de gestion des certificats de la suite de services Cloud-Connected UC gère les certificats pour le déploiement sur site.

Pour accéder à Certificate Management, procédez comme suit :

1

À partir de l’affichage du client dans Webex Control Hub, allez dans Services > Connected UC.

La page UC connectée apparait. La carte Certificate Management de cette page fournit les caractéristiques et fonctionnalités de Certificate Management.

2

Sur la carte Certificate Management , cliquez sur un lien pour accéder aux différentes fonctionnalités de la gestion des certificats.

Le tableau suivant répertorie les fonctionnalités disponibles dans Certificate Management :

Onglets

Description

Alertes

Affiche un résumé de tous les certificats expirés et en cours d'expiration. L'administrateur peut prendre les mesures nécessaires sur les certificats d'identité ou de confiance pour les maintenir à jour.

Configurer la chaine de distribution par défaut

Affiche un résumé de l'état des certificats dans les clusters de l'organisation donnée et permet à l'administrateur de prendre les mesures nécessaires sur les certificats d'identité ou de confiance.

  • Vous pouvez afficher tous les certificats d'identité et de confiance d'un cluster spécifique au sein d'une organisation.

  • L'onglet Travaux affiche un résumé de toutes les actions effectuées sur les certificats.

Profils

Valide que les certificats d'un cluster sont conformes aux paramètres configurés. Vous pouvez créer un profil de gestion des certificats personnalisé et les associer à un cluster.

Paramètres

Configurez les adresses électroniques des administrateurs pour recevoir les notifications d'expiration des certificats. Tous les champs sont configurables dans la page Paramètres de Certificate Management.
Accéder à la page des alertes

Utilisez la page Alertes pour effectuer les actions suivantes :

  • Afficher les certificats expirés ou arrivant à expiration

  • Filtrer par certificat

  • Filtrer par produit pour afficher l'état du certificat.

1

À partir de l’affichage du client dans Webex Control Hub, allez dans Services > Connected UC.

La page UC connectée apparait.

2

Cliquez sur Alertes à partir de la carte Certificate Management .

La page affiche à la fois les certificats expirés et arrivant à expiration. Les détails de la liste des certificats tels que le nom du cluster, le nom commun, le type de certificat, l'état du certificat et la date d'expiration.

3

(Facultatif) Choisissez l'une des options suivantes :

  • Cliquez sur Rechercher pour rechercher un certificat spécifique.

  • Sélectionnez un ou plusieurs certificats dans la liste déroulante Filtrer les certificats .

  • Sélectionnez un ou plusieurs produits dans la liste déroulante Filtrer les produits .

Les certificats sélectionnés apparaissent dans la liste des certificats avec des détails tels que le groupe, le certificat, le nom commun, le produit, le type, le statut, le nom du serveur et l'expiration.

4

Sélectionnez un enregistrement dans la page de liste pour afficher les détails du certificat.

Un panneau latéral s'ouvre pour afficher les détails du certificat. Vous pouvez voir les Détails du certificat ou Copier le certificat au format PEM. Effectuez toutes les opérations répertoriées à l'étape 6 à partir de ce panneau.

5

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.

6

Placez le pointeur de la souris sur un enregistrement de certificat et cliquez sur les points de suspension pour effectuer diverses opérations sur les certificats d'identité et de magasin de confiance.

Les opérations sur les Certificats d'identité sont :

  • Renouveler le certificat pour auto-signé.

  • Générer une demande de signature de certificat (CSR) pour la signature par l'autorité de certification.

  • Télécharger le certificat pour signature par l'autorité de certification et un CSR est généré sur le certificat.

  • Télécharger le CSR pour signature par l'autorité de certification et un CSR est généré sur le certificat.

  • Supprimer le CSR pour signature par l'autorité de certification et un CSR est généré sur le certificat.

Opération de certificat

Utilisation du certificat

Description

Renouveler le certificat

Utilisez Renouveler le certificat lorsque le certificat est auto-signé.

Utilisez le Réutiliser le certificat Tomcat lorsque vous souhaitez réutiliser le certificat Tomcat pour le service sélectionné.

La fenêtre Renouveler le certificat s'affiche en fonction des paramètres du profil.

Choisissez l'action Renouveler le certificat en fonction de la sélection dans la page Paramètres du profil , qui est :

  • Réutiliser le certificat Tomcat - sélectionnez Utiliser Tomcat sur le profil, l'option Réutiliser Tomcat est activée.

  • Renouveler le certificat - sélectionnez Type de certificat auto-signé, le renouvellement est activé.

Lisez le message d'avertissement et Cliquez sur Réutiliser le certificat Tomcat pour renouveler le certificat.

Générer la demande de signature de certificat (CSR)

Utilisez Générer l'opération CSR lorsque le type de certificat est signé par une autorité de certification.

La fenêtre Générer le CSR s'affiche.

Cliquez sur Générer pour générer le CSR.

Charger un certificat

Utilisez l'opération Charger lorsque le type de certificat est signé par une autorité de certification et que le CSR est déjà généré. Vous pouvez charger une chaine de certificats au format .P7B ou le certificat d’identité au format .pem ou .der.

La fenêtre Charger le certificat s'affiche.

  1. Cliquez sur Choisir un fichier pour charger le certificat.

    Parcourez et téléchargez le certificat à partir de votre machine locale.

  2. Cliquez sur Charger pour charger le certificat.

Distribuer le certificat

Utilisez l'opération Distribuer pour distribuer le certificat à plusieurs clusters en une seule opération. Sélectionnez plusieurs groupes et magasins de confiance sur le Control Hub, le certificat est distribué aux groupes sélectionnés.

La fenêtre Distribuer le certificat s'affiche.

  1. Sélectionnez les clusters et les approbations vers lesquels vous souhaitez distribuer les certificats.

  2. Cliquez sur Distribuer pour associer les certificats aux clusters et approbations sélectionnés.

  3. Cliquez sur OK pour fermer la fenêtre Distribuer les certificats.

Cette procédure ne fonctionne pas sur l'application CER.

Télécharger la demande de signature de certificat (CSR)

Utilisez Télécharger le CSR lorsque le type de certificat est signé par une autorité de certification et que le CSR est déjà généré. Vous pouvez télécharger le CSR pour qu'il soit signé par une autorité de certification (autorité de certification).

Cliquez sur Télécharger le CSR, pour télécharger la demande de signature du certificat CSR sur votre machine locale.

Supprimer la demande de signature de certificat (CSR)

Utilisez l'opération Supprimer le CSR lorsque le CSR doit être à nouveau généré.

La fenêtre Supprimer le CSR s'affiche.

Lisez le message d'avertissement et Cliquez sur Supprimer, pour supprimer la demande de signature de certificat CSR.

Si les paramètres configurés par l'administrateur dans le profil ne correspondent pas aux attributs du certificat, une icône d'avertissement apparaît en regard du certificat. Exemple : Le certificat Tomcat est auto-signé mais dans les paramètres du profil, il est défini sur signé par une autorité de certification, ce qui entraîne une discordance.

Ne cliquez pas sur Soumettre sans vérifier les incompatibilités car cela peut entraîner des problèmes.

Les opérations sur les certificats du magasin de confiance sont :

  • Remplacer le certificat

  • Supprimer le certificat

Opération de certificat

Utilisation du certificat

Description

Remplacer le certificat

Utilisez Remplacer le certificat pour remplacer le certificat existant par un nouveau certificat.

La fenêtre Remplacer le certificat s'affiche.

  1. Cliquez sur Choisir un fichier pour sélectionner un nouveau certificat.

    Parcourez et téléchargez le nouveau certificat à partir de votre machine locale.

  2. Cliquez sur Remplacer pour remplacer le certificat.

Cette procédure ne fonctionne pas sur l'application CER.

Supprimer le certificat

Utilisez Supprimer le certificat lorsque l'administrateur souhaite supprimer un certificat expirant prochainement et expiré.

La fenêtre Supprimer le certificat s'affiche.

  1. Sélectionnez les groupes et les approbations dont vous souhaitez supprimer les certificats.

  2. Cliquez sur Suivant pour supprimer le certificat des clusters et approbations sélectionnés.

  3. Lisez le message d'avertissement et Cliquez sur Supprimer pour supprimer le certificat.

L'opération de vérification Supprimer le certificat ou Remplacer le certificat peut échouer avec une erreur Fichier non trouvé. Cette erreur apparaît lorsque l'opération est effectuée sur de nombreux clusters avec des versions mixtes des versions 12.5 SU5 et 14 SU1.

Solution : Retenter l’opération sur les nœuds ayant échoué. Vérifiez l’erreur sur la page des détails des tâches pour le cluster correspondant, qui indique que Le certificat n’a pas pu être supprimé car il n’est pas présent sur ce nœud.

Les opérations courantes sur les certificats du magasin de confiance et les certificats d'identité sont :

  • Télécharger le fichier .der

  • Télécharger le fichier .pem

Type d'opération de certificat

Utilisation du certificat

Description

Télécharger le fichier .der

Utilisez Download.der pour télécharger le format binaire du certificat. DER (Distinguished Encoding Rules) est un certificat numérique.

Cliquez sur Télécharger .der, pour télécharger le format .der (binaire) du certificat.

Le certificat .der est téléchargé sur votre machine locale.

Télécharger le fichier .pem

Utilisez Télécharger.pem pour télécharger le certificat au format .pem. PEM (Privacy Enhanced Mail) est un certificat DER codé en base64 au format ASCII.

Cliquez sur Télécharger .pem, pour télécharger le format .pem (ASCII) du certificat.

Le certificat .pem est téléchargé sur votre machine locale.

7

L'opération de certificat est ajoutée à la liste des tâches. Vous pouvez consulter la progression sous l’onglet Tâches .

OU

  1. Cliquez sur le lien Tâches pour afficher la progression de l'opération du certificat.

  2. Cliquez sur OK pour fermer la fenêtre Certificat.

Accéder à la page des groupes

La page Clusters répertorie un résumé du statut des certificats par cluster pour tous les clusters d'une organisation.

1

À partir de l’affichage du client dans Webex Control Hub, allez dans Services > Connected UC.

La page UC connectée apparait.

2

Cliquez sur Clusters à partir de la carte Certificate Management .

La page de résumé des clusters affiche les clusters avec des détails tels que le nom du cluster, le statut, le produit et le profil associé au cluster. L’administrateur peut modifier l’association par défaut du profil standard avec le profil personnalisé d’un cluster.

3

(Facultatif) Choisissez l'une des options suivantes :

  • Cliquez sur Rechercher pour rechercher un cluster spécifique.

  • Dans la liste déroulante Filtrer les produits , sélectionnez un ou plusieurs produits.

4

Cliquez sur un enregistrement de cluster dans la page de liste pour visiter la page Détails du cluster qui affiche les certificats d'identité qui sont associés au cluster sélectionné.

Vous pouvez aller à l'onglet Magasin de confiance ou Tâches . L'onglet Magasin de confiance affiche tous les certificats d'un cluster à travers différents magasins de confiance. L'onglet Travaux répertorie les opérations effectuées sur les certificats et le statut de l'action.

Le volet du tableau de bord affiche ces cartes :

  1. Certificats d’identité

  2. Certificats de confiance

  3. Détails des tâches

Pour la carte des certificats d'identité et de confiance, un résumé des certificats valides, expirés et arrivant à expiration est affiché. Pour la carte de tâches, un résumé du total des tâches, terminées et en attente pour le mois en cours s'affiche.

Accéder à l'onglet Certificat d'identité

Accéder à l'onglet Certificat d'identité

Utilisez le Certificat d'identité pour afficher tous les certificats d'identité présents dans un cluster. Vous pouvez rechercher un certificat d'identité spécifique ou afficher les détails d'un certificat et effectuer les opérations nécessaires.
1

À partir de l’affichage du client dans Webex Control Hub, allez dans Services> Connected UC.

La page UC connectée apparait.

2

Cliquez sur Clusters à partir de la carte Certificate Management .

3

Cliquez sur un enregistrement de cluster dans la page de liste pour visiter la page Détails du cluster qui affiche les certificats d'identité qui sont associés au cluster.

Pour les clusters avec les versions 12.5 ou 14 de Cisco Emergency Responder, le certificat tomcat-ECDSA n'est pas pris en charge.

4

(Facultatif) Cliquez sur Rechercher pour rechercher un certificat spécifique.

5

(Facultatif) Dans la liste déroulante Filtrer le certificat , sélectionnez un ou plusieurs certificats en fonction de leur type.

Les certificats apparaissent dans la liste des certificats avec des détails tels que le nom du serveur, le nom commun, le type de certificat, l'état du certificat et la date d'expiration.

6

Cliquez sur un enregistrement dans la page de liste pour afficher les détails du certificat.

Un panneau latéral s'ouvre pour afficher les détails du certificat. Vous pouvez voir Détails du certificat ou Copier le certificat au format PEM. Vous pouvez également effectuer toutes les opérations répertoriées à l'étape 8 à partir de ce panneau.

7

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.

Le Signe d'avertissement s'affiche lorsque l'attribut du certificat existant ne correspond pas au profil et que le certificat n'est pas conforme.

8

Placez le pointeur de la souris sur l'enregistrement du certificat et cliquez sur les points de suspension pour effectuer diverses opérations. Voir Opérations sur les certificats d'identité pour plus de détails.

9

(Facultatif) Cliquez sur Afficher le profil.

Le profil associé au cluster s'affiche.

Accéder à l'onglet Magasin de confiance

Accéder à l'onglet Magasin de confiance

L'onglet Magasin de confiance répertorie tous les certificats d'un cluster à travers différents magasins de confiance.
1

À partir de l’affichage du client dans Webex Control Hub, allez dans Services > Connected UC.

La page UC connectée apparait.

2

Cliquez sur Clusters à partir de la carte Certificate Management .

3

Cliquez sur un enregistrement de cluster dans la page de liste pour visiter la page Détails du cluster .

4

Cliquez sur l'onglet Magasin de confiance pour afficher la liste des certificats.

Les certificats apparaissent dans la liste des certificats avec des détails tels que le nom commun, le numéro de série, Issued By, Le Statut et la date d'expiration.

5

(Facultatif) Cliquez sur Rechercher pour rechercher un certificat spécifique.

6

(Facultatif) Dans la liste déroulante Filtrer le certificat , sélectionnez un ou plusieurs certificats.

Les certificats apparaissent dans la liste des certificats avec des détails tels que le nom commun, le numéro de série, Issued By, Le Statut et la date d'expiration.

7

Cliquez sur un enregistrement dans la page de liste pour afficher les détails du certificat.

Un panneau latéral s'ouvre pour afficher les détails du certificat. Pour afficher tous les clusters qui sont associés au certificat, voir Détails du certificat ou Copier le certificat au format PEM. Vous pouvez également effectuer toutes les opérations répertoriées à l'étape 9 à partir de ce panneau.

8

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.

9

Placez le pointeur de la souris sur un enregistrement de certificat et cliquez sur les points de suspension pour effectuer diverses opérations.

Voir Opérations sur les certificats du magasin de confiance pour les détails.
10

Cliquez sur l'enregistrement de certificat dont le statut a expiré pour télécharger un certificat mis à jour dans le magasin de confiance.

11

Cliquez sur Charger dans Trust.

La fenêtre Charger le certificat s'affiche.

12

Sélectionnez les clusters requis à associer au magasin de confiance.

Lisez attentivement le message d'avertissement affiché avant d'effectuer l'opération.

13

Cliquez sur Choisir un fichier pour rechercher un certificat.

14

Cliquez sur Charger pour charger le certificat dans le magasin de confiance pour les clusters requis.

Les opérations de confiance pour IPsec et CAPF ne sont pas prises en charge par les nœuds d’abonnés dans le Control Hub. L'administrateur doit effectuer ces opérations sur site.

Limites

Limite sur CH pour les opérations de certificats de confiance :

  1. S'il existe un service de confiance pour lequel la réplication n'a pas lieu sur les nœuds du même cluster, L'administrateur doit effectuer ces opérations sur site. P. ex. capf, ipsec.
  2. Toutes les opérations liées à la confiance sont envoyées uniquement au nœud éditeur du cluster, de sorte que l'opération peut être effectuée uniquement via le nœud pub, ne peut pas être effectuée à partir de sous-nœuds.
    1. Supprimer la confiance
    2. Remplacer la confiance
    3. Distribuer la confiance
    4. Charger le certificat de sécurité autorisant l’accès

Limite relative à la suppression des opérations de confiance :

  1. L'opération ne peut être effectuée que par le biais du nœud Pub.
  2. Si le certificat n'est pas présent dans le nœud Pub et présent dans les sous-nœuds, l'opération ne peut pas être effectuée via le concentrateur de contrôle. L’opération doit être effectuée sur site.

Accéder à l'onglet Travaux

Accéder à l'onglet Travaux

L'onglet Travaux affiche un résumé de toutes les opérations effectuées. L'onglet Travaux présente un résumé du total des travaux, des travaux terminés et des travaux en attente pour le mois en cours.

1

À partir de l’affichage du client dans Webex Control Hub, allez dans Services > Connected UC.

La page UC connectée apparait.

2

Cliquez sur Clusters à partir de la carte Certificate Management .

3

Cliquez sur un enregistrement de cluster dans la page de liste pour visiter la page Détails du cluster .

4

Cliquez sur l'onglet Travaux pour afficher la liste des travaux exécutés au cours du mois en cours.

5

Dans la liste déroulante Mois en cours , sélectionnez la période requise pour afficher le résumé de la tâche.

L'état de la tâche apparaît dans le résumé de la tâche avec des détails tels que le type de tâche, le nœud, l'horodatage, le certificat et les informations sur le produit.

6

Cliquez sur un enregistrement dans la page de liste pour afficher les détails de la tâche.

Un panneau latéral s'ouvre pour afficher les détails de la tâche.

7

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.

Accéder à la page des profils

La page Profils vous permet de définir des paramètres tels que Multi-Server/Multi-SAN, signé par CA ou auto-signé, période de validité, RSA ou ECDSA, longueur de clé, algorithme de hachage.

Utilisez des profils distincts pour chaque version du cluster. Par exemple, si le cluster exécute la version 12.x, vous devez voir uniquement les fonctionnalités 12.x lors de l'exécution des opérations de certificats.

Lors de la création du profil personnalisé, l’administrateur peut associer le profil personnalisé nouvellement créé à un cluster.

1

À partir de l’affichage du client dans Cisco Webex Control Hub, allez dans Services > Connected UC.

La page UC connectée apparait.

2

Cliquez sur Profils à partir de la carte Certificate Management .

La page Profils s'affiche avec la liste des profils créés.

Par défaut, le service de gestion des certificats fournit le profil standard et tous les clusters activés pour le service de gestion des certificats sont associés à ce profil. Il s'agit d'un profil en lecture seule. Placez le pointeur de la souris sur le profil et cliquez sur les points de suspension pour afficher ou copier le profil.

3

Passez la souris sur un nom de profil et cliquez sur les points de suspension pour effectuer diverses opérations telles que :

  • Modifier

    1. Cliquez sur Éditer pour éditer le profil sélectionné.

  • Suppression

    1. Lisez le message d’avertissement et Cliquez sur Supprimer pour supprimer le profil sélectionné.

  • Copie

    1. Cliquez sur Copier pour copier le profil sélectionné.

      La fenêtre Copie du profil personnalisé s'affiche.

    2. Cliquez sur Créer pour mettre à jour ou modifier les paramètres de chacun des produits, si nécessaire. Sinon, créez une copie du profil sélectionné.

4

Cliquez sur Ajouter un profil pour créer un nouveau profil personnalisé.

5

Saisissez un Nom de profil.

6

Cochez la case si vous souhaitez définir le profil par défaut.

7

Saisissez une Description pour le profil.

8

Définissez les différents paramètres de certificat pour chacun des produits

9

Cliquez sur Créer pour créer le profil.

Si vous avez défini un profil personnalisé par défaut, décochez la case par défaut sur le profil personnalisé pour revenir au profil standard par défaut.

10

(Facultatif) Associer un profil à un cluster. Cliquez sur l'onglet Clusters dans le menu supérieur, la page de liste des clusters s'affiche. Vous pouvez associer un profil à un cluster à partir de la page de liste.

La période de validité des versions 11.5x et 12.5x est de 5 ans quelle que soit la valeur choisie dans la liste déroulante de validité. À partir de la version 14, la période de validité peut être comprise entre 5 et 20 ans.

N'exécutez pas les opérations répertoriées en tant que N dans le tableau, sinon les opérations échouent.

Opération de certificat

Version prise en charge

Fonctionnement de l'opération

11.5

12.5

14 et version plus récente

Renouveler plusieurs serveursNNOutlook 2007/ Exchange 2003Bien que cette opération soit effectuée sur un certificat auto-signé multi-serveurs, elle ne fonctionne que sur un seul nœud.
RéutiliserNNOutlook 2007/ Exchange 2003L'opération ne fonctionne que sur le gestionnaire d'appels et le gestionnaire d'appels ECDSA sur l'application Cisco Unified CM. Cette opération fonctionne à la fois pour les certificats signés par une autorité de certification multi-serveurs et les certificats auto-signés multi-serveurs.
Accéder à la page Paramètres

Le système envoie automatiquement un message électronique aux destinataires lorsqu’un certificat est proche de sa date d’expiration.

1

À partir de l’affichage du client dans Webex Control Hub, allez dans Services > Connected UC.

La page UC connectée apparait.

2

Cliquez sur Paramètres à partir de la carte Certificate Management .

3

Configurer l'heure de début de la notification.

Vous pouvez configurer l’heure de début de la notification entre 30 et 365 jours.

4

Configurer la fréquence des notifications.

Vous pouvez configurer la fréquence des notifications entre 1 et 30 jours.

5

Saisissez l'adresse électronique des destinataires des notifications.

Vous pouvez saisir un maximum de 25 adresses électroniques.

6

Cliquez sur Enregistrer.

Tous les destinataires reçoivent une notification par courrier électronique comme indiqué dans l'image lorsque les certificats sont proches de la date d'expiration.