Panoramica Certificate Management

Gestione certificati centralizzata è un servizio basato su cloud che offre un unico luogo per visualizzare e gestire i certificati di Cisco Unified Communications Manager, IM e Presenza e Cisco Unity Connection e Cisco Emergency Responder in più cluster.

Prima di iniziare:

È necessario abilitare il servizio Gestione certificati nella pagina Gestione servizi per il cluster desiderato. Per ulteriori informazioni, consultare Abilitazione di servizi Cloud-Connected UC in Control Hub.

Gestione certificati centralizzata offre queste funzionalità principali:

  • Dashboard multi-cluster che mostra lo stato del certificato per ciascun cluster.

  • Visualizzazione dettagliata dei certificati di attendibilità e identità per ogni singolo livello di cluster.

  • Possibilità di eseguire operazioni sui certificati quali la generazione di CSR, il caricamento del certificato, il rinnovo, il download, la copia, la sostituzione e la rimozione.

  • Dashboard avvisi per visualizzare i certificati scaduti e in scadenza.

  • Possibilità di configurare la notifica come notifica e-mail per la scadenza del certificato.

  • Distribuzione dei certificati in più archivi di attendibilità e cluster.

  • Definizione del profilo del certificato con varie impostazioni e assegnarlo a un cluster.

Non è possibile distribuire e sostituire i certificati nell'applicazione Cisco Emergency Responder.

Accesso al servizio Gestione certificati

Il servizio Gestione certificati all'interno della suite di servizi di Cloud-Connected UC consente di gestire i certificati per la distribuzione locale.

Per accedere a Gestione certificati, attenersi alla procedura riportata di seguito.

1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC. La scheda Certificate Management in questa pagina fornisce le Certificate Management caratteristiche e funzionalità.

2

Sulla Certificate Management scheda, fare clic su qualsiasi collegamento per accedere alle varie funzionalità di gestione dei certificati.

Nella tabella riportata di seguito vengono riportate le funzionalità disponibili in Gestione certificati:

Schede

Descrizione

Avvisi

Visualizza un riepilogo di tutti i certificati scaduti e in scadenza. L' amministratore può eseguire le azioni necessarie sui certificati di attendibilità o identità per mantenerli aggiornati.

Cluster

Visualizza un riepilogo dello stato dei certificati tra i cluster nell'organizzazione specifica e consente all'amministratore di eseguire le azioni necessarie sui certificati di identità o di attendibilità.

  • È possibile visualizzare tutti i certificati di identità e attendibilità di un cluster specifico all'interno di un'organizzazione.

  • Nella scheda Processi viene visualizzato un riepilogo di tutte le azioni eseguite sui certificati.

Profili

Verifica che i certificati in un cluster siano conformi alle impostazioni configurate. È possibile creare un profilo di Gestione certificati personalizzato e associarlo a un cluster.

Impostazioni

Configurare gli indirizzi e-mail degli amministratori per ricevere le notifiche di scadenza del certificato. Tutti i campi sono configurabili nella pagina Impostazioni di Gestione certificati.
Pagina Avvisi di accesso

Utilizzare la pagina Avvisi per effettuare le seguenti operazioni:

  • Visualizzare i certificati scaduti o in scadenza a breve.

  • Filtrare per certificato

  • Filtrare in base al prodotto per visualizzare lo stato del certificato.

1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Avvisi dalla scheda Gestione certificati.

Nella pagina vengono visualizzati sia i certificati scaduti e quelli in scadenza a breve. L'elenco dei certificati visualizza dettagli quali il nome del cluster, il nome comune, il tipo di certificato, lo stato del certificato e la data di scadenza.

3

(Facoltativo) Scegliere una delle opzioni seguenti:

  • Fare clic su Cerca per cercare un certificato specifico.

  • Selezionare uno o più certificati dall'elenco a discesa Filtra certificato .

  • Selezionare uno o più prodotti dall'elenco a discesa Filtra prodotti .

I certificati selezionati vengono visualizzati nell'elenco dei certificati insieme a dettagli quali cluster, certificato, nome comune, prodotto, tipo, stato, nome server e scadenza.

4

Selezionare un record dalla pagina della scheda per visualizzare i dettagli del certificato.

Viene visualizzato un riquadro laterale per visualizzare i dettagli del certificato. È possibile visualizzare i dettagli del certificato o copiare il certificato in formato PEM . Eseguire tutte le operazioni elencate nel passaggio 6 da questo riquadro.

5

Fare clic su Chiudi per chiudere il riquadro laterale e tornare alla pagina della scheda.

6

Passare il mouse su un record di certificato e fare clic sui puntini di sospensione per eseguire diverse operazioni sui certificati di identità e archivio di attendibilità.

Le operazioni sui certificati di identità sono:

  • Rinnova certificato per autofirmato.

  • Genera CSR per CA firmato.

  • Carica certificato per CA firmato e viene generato un CSR sul certificato.

  • Scarica CSR per CA firmato e viene generato un CSR sul certificato.

  • Elimina CSR per CA firmato e viene generato un CSR sul certificato.

Operazione certificato

Utilizzo certificato

Descrizione

Rinnova certificato

Utilizzare Rinnova certificato quando il certificato è autofirmato.

Utilizzare Riusa certificato Tomcat quando si desidera riutilizzare il certificato Tomcat per il servizio selezionato.

La finestra Rinnova certificato viene visualizzata in base alle impostazioni del profilo.

Scegliere l'azione Rinnova certificato in base alla selezione nella pagina Impostazioni profilo, ovvero:

  • Riutilizza certificato Tomcat: selezionare Usa Tomcat sul profilo, l'opzione Riutilizza Tomcat è abilitata.

  • Rinnova certificato: selezionare il tipo di certificato come autofirmato, il rinnovo è abilitato.

Leggi il messaggio di avviso e fai clic su Riutilizza certificato Tomcat per rinnovare il certificato.

Generazione CSR

Utilizzare l'operazione Genera CSR quando il tipo di certificato è CA firmato.

Viene visualizzata la finestra Genera CSR .

Fare clic su Genera per generare il CSR.

Carica certificato

Utilizzare l'operazione Carica quando il tipo di certificato è CA firmato e il CSR è già stato generato. È possibile caricare una catena di certificati nel formato .P7B o il certificato di identità nel formato .pem o .der.

Viene visualizzata la finestra Carica certificato.

  1. Fare clic su Scegli file per caricare il certificato.

    Sfogliare e caricare il certificato dal computer locale.

  2. Fai clic su Carica per caricare il certificato.

Distribuisci certificato

Utilizzare l'operazione Distribuisci per distribuire il certificato a più cluster in una sola operazione. Selezionare più cluster e archivi attendibilità in Control Hub; il certificato viene distribuito ai cluster selezionati.

Viene visualizzata la finestra Distribuisci certificato .

  1. Selezionare cluster e archivi attendibilità a cui si desidera distribuire i certificati.

  2. Fare clic su Distribuisci per associare i certificati ai cluster e ai trust selezionati.

  3. Fare clic su OK per chiudere la finestra Distribuisci certificato.

Questa procedura non funziona sull'applicazione CER.

Scarica CSR

Utilizzare Scarica CSR quando il tipo di certificato è CA firmato e il CSR è già stato generato. È possibile scaricare il CSR per farlo firmare da una CA (autorità di certificazione).

Fare clic su Scarica CSR per scaricare la richiesta di firma del certificato CSR nel computer locale.

Elimina CSR

Utilizzare l'operazione Elimina quando deve essere generato il CSR.

Viene visualizzata la finestra Elimina CSR.

Leggere il messaggio di avviso e fare clic su Elimina per eliminare la richiesta di firma del certificato CSR.

Se le impostazioni configurate dall'amministratore nel profilo non corrispondono agli attributi del certificato, sul certificato viene visualizzata un'icona di avviso. Esempio: se il certificato Tomcat è autofirmato, ma nelle impostazioni del profilo è impostato su CA firmato, questo porta a una mancata corrispondenza.

Non fare clic su Invia inconsapevolmente senza verificare le mancate corrispondenze in quanto potrebbe causare problemi.

Le operazioni sui certificati dell'archivio attendibilità sono:

  • Sostituisci certificato

  • Rimuovi certificato

Operazione certificato

Utilizzo certificato

Descrizione

Sostituisci certificato

Utilizzare Sostituisci certificato per sostituire il certificato esistente con un nuovo certificato.

Viene visualizzata la finestra Sostituisci certificato .

  1. Fare clic su Scegli file per selezionare un nuovo certificato.

    Sfogliare e caricare il nuovo certificato dal computer locale.

  2. Fare clic su Sostituisci per sostituire il certificato.

Questa procedura non funziona sull'applicazione CER.

Rimuovi certificato

Utilizzare Rimuovi certificato quando l'amministratore desidera rimuovere il certificato scaduto o in scadenza a breve.

Viene visualizzata la finestra Rimuovi certificato .

  1. Selezionare i cluster e gli archivi attendibilità da cui si desidera eliminare i certificati.

  2. Fare clic su Avanti per rimuovere il certificato dai cluster e dai trust selezionati.

  3. Leggere il messaggio di avviso e fare clic su Rimuovi per rimuovere il certificato.

L'operazione di rimozione del certificato o di sostituzione dell'attendibilità del certificato potrebbe non riuscire con un errore File non trovato . Questo errore viene visualizzato quando l'operazione viene eseguita su numerosi cluster con versioni miste delle release 12.5 SU5 e 14 SU1.

Soluzione: riprovare l'operazione sui nodi non riusciti. Verificare l'errore nella pagina di dettaglio dei Processi per il cluster corrispondente, in cui viene visualizzato Non è stato possibile rimuovere il certificato perché non è presente su questo nodo.

Le operazioni comuni sui certificati dell'archivio attendibilità e sui certificati di identità sono:

  • Scarica .der

  • Scarica .pem

Tipo di operazione certificato

Utilizzo certificato

Descrizione

Scarica .der

Utilizzare Scarica .der per scaricare il formato binario del certificato. DER (Distinguished Encoding Rules) è un certificato digitale.

Fare clic su Scarica .der per scaricare il formato .der (binario) del certificato.

Il certificato .der viene scaricato sul computer locale.

Scarica .pem

Utilizzare Scarica .pem per scaricare il certificato in formato .pem. PEM (Privacy Enhanced Mail) è un certificato DERcon codifica Base64 in formato ASCII.

Fare clic su Scarica .pem per scaricare il formato .pem (ASCII) del certificato.

Il certificato .pem viene scaricato sul computer locale.

7

L'operazione del certificato viene aggiunta all'elenco dei processi. È possibile visualizzare lo stato di avanzamento nella scheda Processi .

OPPURE

  1. Fare clic sul collegamento Processi per visualizzare lo stato di avanzamento dell'operazione del certificato.

  2. Fare clic su OK per chiudere la finestra Certificato.

Pagina Cluster di accesso

La pagina Cluster elenca un riepilogo dello stato del certificato per ogni cluster per tutti i cluster di un'organizzazione.

1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Cluster dalla scheda Gestione certificati.

Nella pagina di riepilogo dei cluster vengono visualizzati i cluster con dettagli quali nome del cluster, stato, prodotto e profilo associato al cluster. L'amministratore può modificare l'associazione predefinita del profilo standard con il profilo personalizzato di un cluster.

3

(Facoltativo) Scegliere una delle opzioni seguenti:

  • Fare clic su Cerca per cercare un cluster specifico.

  • Nel menu a discesa Filtra prodotti, selezionare uno o più prodotti.

4

Fare clic su un record del cluster nella pagina di presentazione per visitare la pagina Dettagli cluster che visualizza i certificati di identità associati al cluster selezionato.

È possibile passare alla scheda Archivio attendibilità o alla scheda Processi . Nella scheda Archivio attendibilità vengono visualizzati tutti i certificati in un cluster in vari archivi attendibilità. Nella scheda Processi sono elencate le operazioni eseguite sui certificati e lo stato dell'azione.

Nel riquadro della dashboard vengono visualizzate queste schede:

  1. Certificati identità

  2. Certificati attendibilità

  3. Dettagli processo

Per le schede Certificati identità e Certificati affidabilità viene visualizzato un riepilogo dei certificati validi, scaduti e in scadenza a breve. Per la scheda Processi viene visualizzato un riepilogo dei processi totali, completi e in sospeso per il mese corrente.

Accesso alla scheda Certificato identità

Accesso alla scheda Certificato identità

Utilizzare il certificato di identità per visualizzare tutti i certificati di identità presenti in un cluster. È possibile cercare un certificato di identità specifico o visualizzare i dettagli di un certificato ed eseguire le operazioni necessarie.
1

Dalla vista del cliente nella Webex Control Hub, vai a Servizi> Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Cluster dalla scheda Gestione certificati.

3

Fare clic su un record del cluster nella pagina di presentazione per visitare la pagina dei dettagli del cluster che visualizza i certificati di identità associati al cluster.

Per i cluster con Cisco Emergency Responder versione 12.5 o 14, il certificato Tomcat-ECDSA non è supportato.

4

(opzionale) Fare clic su Cerca per cercare un certificato specifico.

5

(Opzionale) Nell'elenco a discesa Filtra certificato , selezionare uno o più certificati in base al relativo tipo.

I certificati vengono visualizzati nell'elenco dei certificati insieme ai dettagli quali il nome del server, il nome comune, il tipo di certificato, lo stato del certificato e la data di scadenza.

6

Fare clic su un record nella pagina della scheda per visualizzare i dettagli del certificato.

Viene visualizzato un riquadro laterale per visualizzare i dettagli del certificato. È possibile visualizzare Dettagli certificato o Copiare il certificato in formato PEM . Da questo riquadro è inoltre possibile eseguire tutte le operazioni elencate nel passaggio 8.

7

Fare clic su Chiudi per chiudere il riquadro laterale e tornare alla pagina della scheda.

Il segnale di avviso viene visualizzato quando l'attributo del certificato esistente non corrisponde al profilo e il certificato non è conforme.

8

Passare il mouse sul record del certificato e fare clic sui puntini di sospensione per eseguire diverse operazioni. Per informazioni dettagliate, vedere Operazioni sui certificati di identità.

9

(Facoltativo) Fare clic su Visualizza profilo.

Viene visualizzato il profilo associato al cluster.

Accesso alla scheda Archivio attendibilità

Accesso alla scheda Archivio attendibilità

Nella scheda Archivio attendibilità sono elencati tutti i certificati di un cluster in diversi archivi attendibili.
1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Cluster dalla scheda Gestione certificati.

3

Fai clic su un record del cluster nella pagina dell'elenco per visitare la pagina dei dettagli del cluster.

4

Fare clic sulla scheda Archivio attendibilità per visualizzare l'elenco dei certificati.

I certificati vengono visualizzati nell'elenco dei certificati con dettagli quali nome comune, numero di serie, nome emittente, stato e data di scadenza.

5

(opzionale) Fare clic su Cerca per cercare un certificato specifico.

6

(Facoltativo) Nel menu a discesa Filtra certificato, selezionare uno o più certificati.

I certificati vengono visualizzati nell'elenco dei certificati con dettagli quali nome comune, numero di serie, nome emittente, stato e data di scadenza.

7

Fare clic su un record nella pagina della scheda per visualizzare i dettagli del certificato.

Viene visualizzato un riquadro laterale per visualizzare i dettagli del certificato. Per visualizzare tutti i cluster associati al certificato, vedere Dettagli certificato o Copiare il certificato in formato PEM . Da questo riquadro è inoltre possibile eseguire tutte le operazioni elencate nel passaggio 9.

8

Fare clic su Chiudi per chiudere il riquadro laterale e tornare alla pagina della scheda.

9

Passare il mouse su un record di certificato e fare clic sui puntini di sospensione per eseguire diverse operazioni.

Vedere Operazioni sui certificati dell'archivio attendibilità per i detial.
10

Fare clic sul record del certificato con stato scaduto per caricare un certificato aggiornato nell'archivio attendibilità.

11

Fare clic su Carica in archivio attendibilità.

Viene visualizzata la finestra Carica certificato.

12

Selezionare i cluster necessari da associare all'archivio attendibilità.

Leggere attentamente il messaggio di avviso visualizzato prima di eseguire l'operazione.

13

Fare clic su Scegli file per cercare un certificato.

14

Fare clic su Carica per caricare il certificato nell'archivio attendibilità per i cluster necessari.

Le operazioni di trust per IPsec e CAPF non sono supportate tramite i nodi del sottoscrittore in Control Hub. L'amministratore deve eseguire queste operazioni in locale.

Limitazioni

Limitazione di CH per le operazioni sui certificati di attendibilità:

  1. Se esiste un servizio di trust per il quale la replica non viene eseguita sui nodi dello stesso cluster, l'amministratore deve eseguire queste operazioni in sede. Ad esempio, CAPF, IPSEC.
  2. Tutte le operazioni correlate all'attendibilità vengono inviate solo al nodo di pubblicazione del cluster, pertanto l'operazione può essere eseguita solo tramite il nodo pub e non può essere eseguita dai nodi secondari.
    1. Rimuovere l'attendibilità
    2. Sostituisci l'attendibilità
    3. Distribuisci attendibilità
    4. Carica attendibilità

Limitazione delle operazioni di rimozione attendibilità:

  1. L'operazione può essere eseguita solo tramite il nodo Pub.
  2. Se il certificato non è presente nel nodo Pub ed è presente nei sottonodi, l'operazione non può essere eseguita tramite Control Hub. Il funzionamento deve essere fatto attraverso on-premise.

Accesso alla scheda Processi

Accesso alla scheda Processi

Nella scheda Processi viene visualizzato un riepilogo di tutte le operazioni eseguite. Nella scheda processi viene visualizzato un riepilogo dei processi totali, completi e in sospeso per il mese corrente.

1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Cluster dalla scheda Gestione certificati.

3

Fai clic su un record del cluster nella pagina dell'elenco per visitare la pagina dei dettagli del cluster.

4

Fare clic sulla scheda Processi per visualizzare l'elenco dei processi eseguiti nel mese corrente.

5

Nell'elenco a discesa Mese corrente, selezionare il periodo desiderato per visualizzare il riepilogo dei processi.

Lo stato del processo viene visualizzato nel riepilogo dei processi insieme a dettagli quali il tipo di processo, il nodo, il timestamp, il certificato e le informazioni sul prodotto.

6

Fare clic su un record nella pagina della scheda per visualizzare i dettagli del processo.

Viene visualizzato un riquadro laterale per visualizzare i dettagli del processo.

7

Fare clic su Chiudi per chiudere il riquadro laterale e tornare alla pagina della scheda.

Pagina Profili di accesso

La pagina Profili consente di definire impostazioni quali Multi-Server/Multi-SAN, CA-Signed vs. Self-Signed, periodo di validità, RSA vs. ECDSA, Lunghezza chiave, algoritmo Hash.

Utilizzare profili separati per ciascuna versione del cluster. Ad esempio, se il cluster esegue la versione 12.x, è necessario visualizzare solo le funzioni 12.x durante l'esecuzione delle operazioni del certificato.

Durante la creazione del profilo personalizzato, l'amministratore può associare il profilo personalizzato appena creato a un cluster.

1

Dalla vista cliente in Cisco Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Profili dalla scheda Gestione certificati.

La pagina Profili viene visualizzata con l'elenco dei profili creati.

Per impostazione predefinita, il servizio Gestione certificati fornisce il profilo standard e tutti i cluster abilitati per il servizio Gestione certificati sono associati a questo profilo. Si tratta di un profilo di sola visualizzazione. Passare il mouse sul profilo e fare clic sui puntini di sospensione per visualizzare o copiare il profilo.

3

Passare il mouse sul nome di un profilo e fare clic sui puntini di sospensione per eseguire diverse operazioni come:

  • Modifica

    1. Fare clic su Modifica per modificare il profilo selezionato.

  • Elimina

    1. Leggere il messaggio di avviso e fare clic su Elimina per eliminare il profilo selezionato.

  • Copia

    1. Fare clic su Copia per copiare il profilo selezionato.

      Viene visualizzata la finestra Copia di profilo personalizzato.

    2. Fare clic su Crea per aggiornare o modificare le impostazioni per ciascuno dei prodotti, se necessario. Altrimenti creare una copia del profilo selezionato.

4

Fare clic su Aggiungi profilo per creare un nuovo profilo.

5

Immettere un Nome profilo.

6

Selezionare la casella di controllo se si desidera impostare il profilo su predefinito.

7

Immettere una Descrizione del profilo.

8

Definire le varie impostazioni dei certificati per ciascun prodotto

9

Fare clic su Crea per creare il profilo.

Se è stato impostato un profilo personalizzato su predefinito, deselezionare la casella di controllo predefinita nel profilo personalizzato per tornare al profilo standard come predefinito.

10

(Facoltativo) Associare un profilo a un cluster. Fare clic sulla scheda Cluster dal menu in alto, viene visualizzata la pagina dell'elenco Cluster. È possibile associare un profilo a un cluster dalla pagina della scheda.

Il periodo di validità delle versioni 11.5x e 12.5x è di 5 anni indipendentemente dal valore scelto nell'elenco a discesa della validità. Dalla versione 14 in poi, il periodo di validità può essere compreso tra 5-20 anni.

Non eseguire le operazioni elencate come N nella tabella, altrimenti le operazioni non vanno a buon fine.

Operazione certificato

Versione supportata

Funzionamento dell'operazione

11.5

12.5

14 e versioni successive

Rinnova più serverNNSAnche se questa operazione viene eseguita su un certificato autofirmato per più server, funziona solo su un singolo nodo.
RiutilizzaNNSL'operazione funziona solo su Call Manager e Call Manager ECDSA sull'applicazione Cisco Unified CM. Questa operazione funziona sia per il certificato firmato da CA per più server che per il certificato autofirmato per più server.
Pagina Impostazioni di accesso

Il sistema invia automaticamente un messaggio e-mail ai destinatari quando si avvicina la data di scadenza di un certificato.

1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Impostazioni nella scheda Gestione certificati.

3

Imposta Tempo di inizio notifica.

È possibile impostare l'ora di inizio della notifica tra 30-365 giorni.

4

Impostare Frequenza notifica.

È possibile impostare la frequenza della notifica tra 1-30 giorni.

5

Immettere l'indirizzo e-mail dei destinatari della notifica.

È possibile immettere un massimo di 25 indirizzi e-mail.

6

Fare clic su Salva.

Tutti i destinatari ricevono una notifica e-mail come mostrato nell'immagine quando si avvicina la data di scadenza dei certificati.