Certificate Management présentation

Le service Certificate Management centralisé est un service basé sur le Cloud qui permet d'afficher et de gérer les certificats de Cisco Unified Communications Manager, IM et Presence, Cisco Unity Connection et Cisco Emergency Responder sur plusieurs clusters.

Avant de commencer :

Vous devez activer le service Certificate Management sur la page Gestion des services du cluster concerné. Pour plus d'informations, reportez-vous à la section activer les services de communications unifiées dans le concentrateur.

Le service Certificate Management centralisé offre ces fonctionnalités clés :

  • Tableau de bord multi-cluster affichant l'état des certificats pour chaque cluster.

  • Vue détaillée des certificats d'identité et de confiance au niveau d'un cluster individuel.

  • Possibilité d'effectuer des opérations de certificat telles que générer des CSR, charger un certificat, renouveler, télécharger, copier, remplacer et supprimer.

  • Le tableau de bord des alertes permet d'afficher les certificats arrivés à expiration et arrivant bientôt à expiration.

  • Possibilité de configurer des notifications telles que la notification par courrier électronique pour l'expiration des certificats.

  • Répartissez les certificats entre plusieurs magasins d'approbations et clusters.

  • Définissez un profil de certificat avec différents paramètres et affectez-le à un cluster.

Vous ne pouvez pas distribuer et remplacer des certificats sur une application de Cisco Emergency Responder.

Accéder au service Certificate Management

Le service Certificate Management de la suite de services Cloud-Connected UC gère les certificats pour le déploiement sur site.

Pour accéder à Certificate Management, procédez comme suit :

1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche. La carte Certificate Management de cette page fournit les fonctions et les fonctionnalités de Certificate Management.

2

Sur la carte Certificate Management , cliquez sur un lien pour accéder aux différentes fonctionnalités de la gestion des certificats.

Le tableau ci-dessous répertorie les fonctionnalités disponibles dans Certificate Management :

Onglets

Description

Alertes

Affiche un résumé de tous les certificats expirés et en cours d'expiration. L'administrateur peut prendre les mesures nécessaires sur les certificats d'identité ou de confiance pour les mettre à jour.

Clusters

Affiche un résumé de l'état des certificats au sein des clusters de l'organisation concernée et permet à l'administrateur de prendre les mesures nécessaires sur les certificats d'identité ou de confiance.

  • Vous pouvez afficher tous les certificats d'identité et de confiance d'un cluster spécifique au sein d'une organisation.

  • L'onglet travaux affiche un résumé de toutes les actions effectuées sur les certificats.

Profils

Vérifie que les certificats d'un cluster sont conformes aux paramètres configurés. Vous pouvez créer un profil Certificate Management personnalisé et l'associer à un cluster.

Paramètres

Configurez les adresses de courrier électronique des administrateurs afin qu'ils reçoivent les notifications d'expiration de certificat. Tous les champs peuvent être configurés dans la page Paramètres de Certificate Management.

Page d'alertes d'accès

Utilisez la page alertes pour effectuer les opérations suivantes :

  • Afficher les certificats arrivant à expiration ou expirés

  • Filtrer par certificat

  • Filtrer par produit pour afficher l'état du certificat.

1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Alertes à partir de la carte Certificate Management.

La page affiche à la fois les certificats expirés et arrivant à expiration. Les détails de la liste des certificats, tels que le nom du cluster, le nom commun, le type de certificat, l'état du certificat et la date d'expiration.

3

(Facultatif) Sélectionnez l'une des options suivantes :

  • Cliquez sur Rechercher pour rechercher un certificat spécifique.

  • Sélectionnez un ou plusieurs certificats dans la liste déroulante certificat de filtre.

  • Sélectionnez un ou plusieurs produits dans la liste déroulante filtrer les produits.

Les certificats sélectionnés apparaissent dans la liste des certificats ainsi que des détails tels que le cluster, le certificat, le nom commun, le produit, le type, le statut, le nom du serveur et l'expiration.

4

Sélectionnez un enregistrement dans la page de liste pour afficher les détails du certificat.

Un panneau latéral s'ouvre pour afficher les détails du certificat. Vous pouvez consulter les détails du certificat ou copier le certificat au format PEM. Effectuez toutes les opérations répertoriées à l'étape 6 à partir de ce panneau.

5

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.

6

Placez le pointeur de la souris sur un enregistrement de certificat et cliquez sur les points de suspension pour effectuer diverses opérations sur les certificats d'identité et de magasin de confiance.

Les opérations sur les certificats d' identité sont les suivantes :

  • Renouveler le certificat pour l'auto-signature.

  • Générer un CSR pour la signature par l'autorité de certification.(AC)

  • Télécharger un certificat pour signature par l'autorité de certification et un CSR est généré sur le certificat.

  • Télécharger un CSR pour signature par l'autorité de certification et un CSR est généré sur le certificat.

  • Supprimer le CSR pour signature par l'autorité de certification et un CSR est généré sur le certificat.

Opération de certificat

Utilisation des certificats

Description
Renouveler le certificat

Utilisez Renouveler le certificat lorsque le certificat est auto- signé.

Utilisez l'option Réutiliser le certificat Tomcat lorsque vous souhaitez réutiliser le certificat Tomcat pour le service sélectionné.

La fenêtre renouveler le certificat s'affiche en fonction des paramètres du profil.

Choisissez l'action renouveler le certificat en fonction de la sélection effectuée dans la page paramètres de profil, qui est :

  • Réutiliser le certificat Tomcat-sélectionnez utiliser Tomcat sur profil , l'option réutiliser Tomcat est activée.

  • Renouveler le certificat-sélectionnez le type de certificat comme auto-signé , le renouvellement est activé.

Lisez le message d'avertissement et cliquez sur réutiliser le certificat Tomcat pour renouveler le certificat.

Générer une demande CSR

Utilisez Générer une opération CSR lorsque le type de certificat est signé par une AC.

La fenêtre Generate CSR s'affiche.

Cliquez sur Générer pour générer le CSR.

Charger le certificat

Utiliser l'opération Charger lorsque le type de certificat est signé par une AC et que le CSR est déjà généré. Vous pouvez charger une chaîne de certificats au format. P7B ou le certificat d'identité au format .pem ou .der.

La fenêtre Charger le certificat s'affiche.

  1. Cliquez sur choisir un fichier pour télécharger le certificat.

    Parcourez les dossiers et téléchargez le certificat à partir de votre machine locale.

  2. Cliquez sur Télécharger pour télécharger le certificat.

Distribuer le certificat

Utilisez l'opération de distribution pour distribuer le certificat à plusieurs clusters en une seule opération. Sélectionnez plusieurs clusters et banques d'approbations sur le concentrateur de contrôle, le certificat est distribué aux clusters sélectionnés.

La fenêtre distribuer le certificat s'affiche.

  1. Sélectionnez les clusters et approbations vers lesquels vous voulez distribuer les certificats.

  2. Cliquez sur distribuer pour associer les certificats aux clusters et aux approbations sélectionnés.

  3. Cliquez sur OK pour fermer la fenêtre distribuer le certificat.


 

Cette procédure ne fonctionne pas sur l'application CER.
Télécharger CSR

Utilisez Télécharger le CSR lorsque le type de certificat est signé par l'autorité de certification et que le CSR est déjà généré. Vous pouvez télécharger le CSR pour qu'il soit signé par une AC (Autorité de Certification).

Cliquez sur télécharger CSR , pour télécharger la demande de signature de certificat CSR sur votre machine locale.

Supprimer le CSR

Utilisez l'opération Supprimer le CSR lorsque le CSR doit être régénéré.

La fenêtre Supprimer le CSR s'ouvre.

Lisez le message d'avertissement et cliquez sur supprimer pour supprimer la CSR demande de signature de certificat.


 

Si les paramètres du profil configurés par l'administrateur ne correspondent pas aux attributs du certificat, une icône d'avertissement apparaît en regard du certificat. Exemple : Le certificat Tomcat est auto-signé mais dans les paramètres du profil, il est défini sur CA Signed, ce qui entraîne une incompatibilité.

Ne cliquez pas sur soumettre sans que vous puissiez vérifier les correspondances, car cela pourrait entraîner des problèmes.

Les opérations sur les certificats de magasin de confiance sont :

  • Remplacer le certificat

  • Supprimer un certificat

Opération de certificat

Utilisation des certificats

Description

Remplacer le certificat

Utilisez Remplacer le certificat pour remplacer le certificat existant par un nouveau certificat.

La fenêtre remplacer le certificat s'affiche.

  1. Cliquez sur choisir un fichier pour sélectionner un nouveau certificat.

    Parcourez les dossiers et téléchargez le nouveau certificat à partir de votre machine locale.

  2. Cliquez sur remplacer pour remplacer le certificat.


 

Cette procédure ne fonctionne pas sur l'application CER.

Supprimer un certificat

Utilisez Supprimer le certificat lorsque l'administrateur veut supprimer un certificat expirant bientôt ou expiré.

La fenêtre supprimer le certificat s'affiche.

  1. Sélectionnez les clusters et approbations dont vous voulez supprimer les certificats.

  2. Cliquez sur suivant pour supprimer le certificat des clusters et des approbations sélectionnés.

  3. Lisez le message d'avertissement et cliquez sur supprimer pour supprimer le certificat.


 

Suppression d'un certificat ou remplacement d'une opération de confiance peut échouer avec un fichier d'erreur introuvable. Cette erreur apparaît lorsque l'opération est effectuée sur plusieurs clusters avec des versions mixtes des versions 12.5 SU5 et 14 SU1.

Solution : Retentez l'opération sur les nœuds qui ont échoué. Vérifiez que la page détails d'erreur sur les travaux du cluster correspondant est lue , car le certificat n'a pas pu être supprimé car il n'est pas présent sur ce nœud.

Les opérations courantes sur les certificats de magasin de confiance et les certificats d' identité sont :

  • Télécharger .der

  • Télécharger .pem

Type d'opération sur le certificat

Utilisation des certificats

Description

Télécharger .der

Utilisez Télécharger .der pour télécharger le format binaire du certificat. DER (Distinguished Encoding Rules) est un certificat numérique.

Cliquez sur download. der pour télécharger le format. der (binaire) du certificat.

Le certificat .der est téléchargé sur votre machine locale.

Télécharger .pem

Utilisez Télécharger .pem pour télécharger le certificat au format .pem. Le certificat PEM (Privacy Enhanced Mail) est un certificat DER codé en base64 au format ASCII.

Cliquez sur download. pem pour télécharger le format. pem (ASCII) du certificat.

Le certificat .pem est téléchargé sur votre machine locale.

7

L'opération sur le certificat est ajoutée à la liste des tâches. Vous pouvez afficher la progression sous l' onglet tâches.

OU

  1. Cliquez sur le lien tâches pour afficher la progression de l'opération de certificat.

  2. Cliquez sur OK pour fermer la fenêtre du certificat.

Page des clusters d'accès

Page clusters affiche un résumé de l'état des certificats par cluster pour tous les clusters d'une organisation.

1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Clusters à partir de la carte Certificate Management.

La page de résumé des clusters affiche les clusters avec des détails tels que le nom du cluster, le statut, le produit et le profil associé au cluster. L'administrateur peut modifier l'association par défaut du profil standard avec le profil personnalisé pour un cluster.

3

(Facultatif) Sélectionnez l'une des options suivantes :

  • Cliquez sur Rechercher pour rechercher un cluster spécifique.

  • Sélectionnez un ou plusieurs produits dans la liste déroulante Filtrer les produits.

4

Cliquez sur un enregistrement de cluster dans la page de liste pour visiter les détails du cluster qui affiche les certificats d'identité qui sont associés au cluster sélectionné.

Vous pouvez naviguer jusqu'à l'onglet de la Banque d'approbations ou dans l' onglet tâches. L'onglet Magasin de confiance affiche tous les certificats d'un cluster à travers différents magasins de confiance. L'onglet Travaux répertorie les opérations effectuées sur les certificats et le statut de l'action.

Le volet Tableau de bord affiche ces cartes :

  1. Certificats d'identité

  2. Certificats de confiance

  3. Détails des travaux

Pour la carte des certificats d'identité et de confiance, un résumé des certificats valides, expirés et en cours d'expiration est affiché. En ce qui concerne la carte Travaux, un résumé du total des travaux, achevés et en attente pour le mois en cours est affiché.

Accéder à l'onglet Certificat d'identité

Utilisez le certificat d'identité pour afficher tous les certificats d'identité présents dans un cluster. Vous pouvez rechercher un certificat d'identité spécifique ou afficher les détails d'un certificat et effectuer les opérations nécessaires.

1

Dans la vue client du concentrateur de contrôle de Webex, accédez à Services > UC connectée.

La page Connected UC s'affiche.

2

Cliquez sur Clusters à partir de la carte Certificate Management.

3

Cliquez sur un enregistrement de cluster dans la page de liste pour visiter les détails du cluster qui affiche les certificats d'identité qui sont associés au cluster.


 

Pour les clusters avec les versions 12.5 ou 14 de Cisco Emergency Responder, le certificat tomcat-ECDSA n'est pas pris en charge.

4

(Facultatif) Cliquez sur Rechercher pour rechercher un certificat spécifique.

5

Obligatoire Dans la liste déroulante certificat de filtre, sélectionnez un ou plusieurs certificats en fonction de leur type.

Les certificats apparaissent dans la liste des certificats avec des détails comme le nom du serveur, le nom commun, le type de certificat, le statut du certificat et la date d'expiration.

6

Sélectionnez un enregistrement dans la page de liste pour afficher les détails du certificat.

Un panneau latéral s'ouvre pour afficher les détails du certificat. Vous pouvez consulter les détails du certificat ou copier le certificat au format PEM. Vous pouvez également effectuer toutes les opérations répertoriées à l'étape 8 à partir de ce panneau.

7

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.


 

Le signe d'avertissement apparaît lorsque l'attribut de certificat existant ne correspond pas au profil et que le certificat n'est pas conforme.

8

Placez le pointeur de la souris sur un enregistrement de certificat et cliquez sur les points de suspension pour effectuer diverses opérations. Pour plus d'informations, voir opérations sur les certificats d'identité.

9

(Facultatif) Cliquez sur Afficher le profil.

Le profil associé au cluster est affiché.

Accéder à l'onglet Magasin de confiance

L' onglet Banque d'approbations répertorie tous les certificats d'un cluster dans différents magasins d'approbation.

1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Clusters à partir de la carte Certificate Management.

3

Cliquez sur un enregistrement de cluster dans la page de liste pour visiter les détails du cluster.

4

Cliquez sur l'onglet Magasin de confiance pour afficher la liste des certificats.

Les certificats apparaissent dans la liste des certificats avec des informations telles que le nom usuel, le numéro de série, l'émetteur, le statut et la date d'expiration.

5

(Facultatif) Cliquez sur Rechercher pour rechercher un certificat spécifique.

6

(Facultatif) Dans la liste déroulante Filtrer le certificat, sélectionnez un ou plusieurs certificats.

Les certificats apparaissent dans la liste des certificats avec des informations telles que le nom usuel, le numéro de série, l'émetteur, le statut et la date d'expiration.

7

Sélectionnez un enregistrement dans la page de liste pour afficher les détails du certificat.

Un panneau latéral s'ouvre pour afficher les détails du certificat. Pour afficher tous les clusters qui sont associés au certificat, reportez-vous à la section Détails du certificat ou Copiez le certificat format PEM. Vous pouvez également effectuer toutes les opérations répertoriées à l'étape 9 à partir de ce panneau.

8

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.

9

Placez le pointeur de la souris sur un enregistrement de certificat et cliquez sur les points de suspension pour effectuer diverses opérations.

Voir opérations sur les certificats de banque d'approbation pour detials.
10

Cliquez sur l'enregistrement de certificat dont le statut est expiré pour télécharger un certificat mis à jour dans le magasin de confiance.
11

Cliquez sur Télécharger dans le magasin de confiance.

La fenêtre Charger le certificat s'affiche.

12

Sélectionnez les clusters à associer au magasin de confiance.


 

Lisez attentivement le message d'avertissement affiché avant d'effectuer l'opération.
13

Cliquez sur choisir un fichier pour accéder à un nouveau certificat.

14

Cliquez sur Télécharger pour télécharger le certificat dans le magasin de confiance pour les clusters requis.


 
Les opérations de confiance pour IPsec et CAPF ne sont pas prises en charge par les nœuds d'abonnés du Control Hub. L'administrateur devra effectuer ces opérations sur site.

Limitation au CH pour les opérations de confiance des certificats :

  1. S'il existe un service de confiance pour lequel la réplication ne se produit pas sur les nœuds du même cluster, l'administrateur doit effectuer ces opérations sur site. Par exemple, CAPF, IPSEC.
  2. Toutes les opérations liées à la confiance ne sont envoyées qu'au nœud d'éditeur du cluster, de sorte que l'opération ne peut être effectuée qu'à partir d'un nœud pub, et ne peut pas être exécutée à partir de sous-nœuds.
    1. Supprimer la confiance
    2. Remplacement d'approbation
    3. Distribuer la confiance
    4. Télécharger la confiance

Limitation sur la suppression des opérations d'approbation :

  1. L'opération ne peut être effectuée qu'à l'aide du nœud pub.
  2. Si le certificat ne figure pas dans le nœud pub et est présent dans les sous-nœuds, l'opération ne peut pas être effectuée par le biais du concentrateur de contrôle. L'opération doit être effectuée par le biais d'une fonction sur site.

Accéder à l'onglet Travaux

L'onglet Travaux affiche un résumé de toutes les actions effectuées sur les certificats. L'onglet Travaux présente un résumé du total des travaux, des travaux terminés et des travaux en attente pour le mois en cours.

1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Clusters à partir de la carte Certificate Management.

3

Cliquez sur un enregistrement de cluster dans la page de liste pour visiter les détails du cluster.

4

Cliquez sur l'onglet Travaux pour afficher la liste des travaux exécutés pendant le mois en cours.

5

Dans la liste déroulante Mois en cours, sélectionnez la période requise pour afficher le résumé du travail.

L'état du travail apparaît dans le résumé du travail avec des détails tels que le type de travail, le nœud, l'horodatage, le certificat et les informations sur le produit.

6

Sélectionnez un enregistrement dans la page de liste pour afficher les détails de la tâche.

Un panneau latéral s'ouvre pour afficher les détails de la tâche.
7

Cliquez sur Fermer pour fermer le panneau latéral et revenir à la page de la liste.

Page profils d'accès

Profiles vous permet de définir des paramètres tels que multi-serveur/multi-San, signature ca ou auto-signé, période de validité, RSA ECDSA, longueur de la clé, algorithme de hachage.

Utilisez des profils distincts pour chaque version du cluster. Par exemple, si le cluster exécute la version 12.x, vous devez voir uniquement les fonctionnalités 12.x lorsque vous effectuez des opérations de certificats.

Lors de la création du profil personnalisé, l'administrateur peut associer le profil personnalisé nouvellement créé à un cluster.

1

À partir de la vue client du Cisco Webex Control Hub , accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Profils à partir de la carte Certificate Management.

La page Profils apparaît avec la liste des profils créés.


 

Par défaut, le service Certificate Management fournit le profil standard et tous les clusters activés pour le service Certificate Management sont associés à ce profil. Il s'agit d'un profil en lecture uniquement. Placez le pointeur de la souris sur le profil et cliquez sur les points de suspension pour afficher ou copier le profil.

3

Placez le pointeur de la souris sur un nom de profil et cliquez sur les points de suspension pour effectuer diverses opérations telles que :

  • Modifier

    1. Cliquez sur modifier pour modifier le profil sélectionné.

  • Supprimer

    1. Lisez le message d'avertissement et cliquez sur supprimer pour supprimer le profil sélectionné.

  • Copier

    1. Cliquez sur copier pour copier le profil sélectionné.

      La fenêtre Copie du profil personnalisé apparaît.

    2. Cliquez sur créer pour mettre à jour ou modifier les paramètres de chaque produit, le cas échéant. Sinon, créez une copie du profil sélectionné.

4

Cliquez sur Ajouter un profil pour créer un nouveau profil.

5

Saisissez un nom de profil.

6

Cochez la case si vous souhaitez définir le profil par défaut.
7

Saisissez une Description du profil.

8

Définissez les différents paramètres de certificat pour chaque produit.
9

Cliquez sur Créer pour créer un profil.

Si vous avez défini un profil personnalisé par défaut, décochez la case par défaut dans le profil personnalisé pour revenir au profil standard par défaut.

10

(Facultatif) Associer un profil à un cluster. Cliquez sur l'onglet clusters dans le menu supérieur, la page de liste des clusters s'affiche. Vous pouvez associer un profil à un cluster à partir de la page de liste.


 

La période de validité des versions 11.5 x et 12.5 x est de 5 ans, quelle que soit la valeur choisie dans la liste déroulante de validité. À partir de la version 14, la période de validité peut être comprise entre 5 et 20 ans.

N'exécutez pas les opérations corespondant à N dans le tableau, sinon elles échouent.

Opération de certificat

Version prise en charge

Fonctionnement de l'opération

11.5

12.5

Version 14 et ultérieures
Renouvellement de plusieurs serveurs N N O Bien que cette opération soit effectuée sur un certificat auto-signé multi-serveur, elle ne fonctionne que sur un seul nœud.
Réutiliser N N O L'opération ne fonctionne que sur Call Manager et Call Manager ECDSA sur l'application Cisco Unified CM. Cette opération fonctionne à la fois pour un certificat signé par une autorité de certification multi-serveurs et pour un certificat auto-signé multi-serveurs.

Page Paramètres d'accès

Le système envoie automatiquement un message électronique aux destinataires lorsqu'un certificat est proche de sa date d'expiration.

1

À partir de la vue client du Webex Control Hub, accédez à Services > Connected UC.

La page Connected UC s'affiche.

2

Cliquez sur Paramètres à partir de la carte Certificate Management.

3

Définir l'heure de début de la notification.

Vous pouvez définir l'heure de début de la notification entre 30 et 365 jours.
4

Définir la fréquence de notification.

Vous pouvez définir la fréquence de notification entre 1 et 30 jours.
5

Saisissez l'adresse électronique des destinataires de la notification.

Vous pouvez saisir 25 adresses électroniques maximum.
6

Cliquez sur Enregistrer.

Tous les destinataires reçoivent une notification par courrier électronique, comme indiqué dans l'image lorsque les certificats sont proches de la date d'expiration.