Panoramica Certificate Management

Gestione certificati centralizzata è un servizio basato su cloud che offre un unico luogo per visualizzare e gestire i certificati di Cisco Unified Communications Manager, IM e Presenza e Cisco Unity Connection e Cisco Emergency Responder in più cluster.

Prima di iniziare:

È necessario abilitare il servizio Gestione certificati nella pagina Gestione servizi per il cluster desiderato. Per ulteriori informazioni, vedere Abilitazione dei servizi UC connessi al cloud nell'hub di controllo.

Gestione certificati centralizzata offre queste funzionalità principali:

  • Dashboard multi-cluster che mostra lo stato del certificato per ciascun cluster.

  • Visualizzazione dettagliata dei certificati di attendibilità e identità per ogni singolo livello di cluster.

  • Possibilità di eseguire operazioni sui certificati quali la generazione di CSR, il caricamento del certificato, il rinnovo, il download, la copia, la sostituzione e la rimozione.

  • Dashboard avvisi per visualizzare i certificati scaduti e in scadenza.

  • Possibilità di configurare la notifica come notifica e-mail per la scadenza del certificato.

  • Distribuzione dei certificati in più archivi di attendibilità e cluster.

  • Definizione del profilo del certificato con varie impostazioni e assegnarlo a un cluster.

Non è possibile distribuire e sostituire i certificati nell'applicazione Cisco Emergency Responder.

Accesso al servizio Gestione certificati

Il servizio Gestione certificati all'interno della suite di servizi di Cloud-Connected UC consente di gestire i certificati per la distribuzione locale.

Per accedere a Gestione certificati, attenersi alla procedura riportata di seguito.

1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC. La scheda Certificate Management in questa pagina fornisce le funzioni e le funzionalità di Certificate Management.

2

nella scheda Certificate Management , fare clic su un collegamento qualsiasi per accedere alle diverse funzionalità della gestione dei certificati.

Nella tabella riportata di seguito vengono riportate le funzionalità disponibili in Gestione certificati:

Schede

Descrizione

Avvisi

Visualizza un riepilogo di tutti i certificati scaduti e in scadenza. L' amministratore può eseguire le azioni necessarie sui certificati di attendibilità o identità per mantenerli aggiornati.

Cluster

Visualizza un riepilogo dello stato del certificato tra i cluster nell'organizzazione specificata e consente all'amministratore di effettuare le azioni necessarie sui certificati di attendibilità o identità.

  • È possibile visualizzare tutti i certificati di identità e attendibilità di un cluster specifico all'interno di un'organizzazione.

  • Nella scheda Processi viene visualizzato un riepilogo di tutte le azioni eseguite sui certificati.

Profili

Convalida che i certificati in un cluster siano conformi alle impostazioni configurate. È possibile creare un profilo di Gestione certificati personalizzato e associarlo a un cluster.

Impostazioni

Configurare gli indirizzi e-mail degli amministratori per ricevere le notifiche di scadenza del certificato. Tutti i campi sono configurabili nella pagina Impostazioni di Gestione certificati.

Pagina avvisi di accesso

Utilizzare la pagina avvisi per effettuare le seguenti operazioni:

  • Visualizzare i certificati scaduti o in scadenza a breve.

  • Filtrare per certificato

  • Filtrare in base al prodotto per visualizzare lo stato del certificato.

1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Avvisi dalla scheda Gestione certificati.

Nella pagina vengono visualizzati sia i certificati scaduti e quelli in scadenza a breve. L'elenco dei certificati visualizza dettagli quali il nome del cluster, il nome comune, il tipo di certificato, lo stato del certificato e la data di scadenza.

3

(Facoltativo) Scegliere una delle opzioni seguenti:

  • Fare clic su Cerca per cercare un certificato specifico.

  • Selezionare uno o più certificati dall' elenco a discesa certificato filtro.

  • Selezionare uno o più prodotti dall'elenco a discesa filtri prodotti.

I certificati selezionati vengono visualizzati nell'elenco dei certificati insieme a dettagli quali cluster, certificato, nome comune, prodotto, tipo, stato, nome server e scadenza.

4

Selezionare un record dalla pagina della scheda per visualizzare i dettagli del certificato.

Viene visualizzato un riquadro laterale per visualizzare i dettagli del certificato. È possibile visualizzare i dettagli del certificato o copiare il certificato di formato PEM. Eseguire tutte le operazioni elencate nel passaggio 6 da questo riquadro.

5

Fare clic su Chiudi per chiudere il riquadro laterale e tornare alla pagina della scheda.

6

Passare il mouse su un record di certificato e fare clic sui puntini di sospensione per eseguire diverse operazioni sui certificati di identità e archivio di attendibilità.

Le operazioni sui certificati di identità sono:

  • Rinnova certificato per autofirmato.

  • Genera CSR per CA firmato.

  • Carica certificato per CA firmato e viene generato un CSR sul certificato.

  • Scarica CSR per CA firmato e viene generato un CSR sul certificato.

  • Elimina CSR per CA firmato e viene generato un CSR sul certificato.

Operazione certificato

Utilizzo certificato

Descrizione
Rinnova certificato

Utilizzare Rinnova certificato quando il certificato è autofirmato.

Utilizzare Riusa certificato Tomcat quando si desidera riutilizzare il certificato Tomcat per il servizio selezionato.

La finestra rinnovo certificato viene visualizzata in base alle impostazioni del profilo.

Scegliere l'azione rinnovo certificato in base alla selezione nella pagina impostazioni profilo, ovvero:

  • Riutilizza certificato Tomcat: selezionare usa Tomcat sul profilo , l'opzione Riutilizza Tomcat è abilitata.

  • Rinnovo certificato: selezionare il tipo di certificato come autofirmato , rinnovo abilitato.

Leggere il messaggio di avviso e fare clic su Riutilizza certificato Tomcat per rinnovare il certificato.

Generazione CSR

Utilizzare l'operazione Genera CSR quando il tipo di certificato è CA firmato.

Viene visualizzata la finestra genera CSR.

Fare clic su genera per generare il CSR.

Carica certificato

Utilizzare l'operazione Carica quando il tipo di certificato è CA firmato e il CSR è già stato generato. È possibile caricare una catena di certificati nel formato .P7B o il certificato di identità nel formato .pem o .der.

Viene visualizzata la finestra Carica certificato.

  1. Fare clic su Scegli file per caricare il certificato.

    Sfogliare e caricare il certificato dal computer locale.

  2. Fare clic su carica per caricare il certificato.

Distribuisci certificato

Utilizzare l'operazione Distribuisci per distribuire il certificato a più cluster in una sola operazione. Selezionare più cluster e trust Store nell'hub di controllo, il certificato viene distribuito ai cluster selezionati.

Viene visualizzata la finestra Distribuisci certificato.

  1. Selezionare cluster e archivi attendibilità a cui si desidera distribuire i certificati.

  2. Fare clic su Distribuisci per associare i certificati ai cluster e alle Trust selezionati.

  3. Fare clic su OK per chiudere la finestra Distribuisci certificato.


 

Questa procedura non funziona sull'applicazione CER.
Scarica CSR

Utilizzare Scarica CSR quando il tipo di certificato è CA firmato e il CSR è già stato generato. È possibile scaricare il CSR per farlo firmare da una CA (autorità di certificazione).

Fare clic su download CSR per scaricare la richiesta di firma del certificato CSR al computer locale.

Elimina CSR

Utilizzare l'operazione Elimina quando deve essere generato il CSR.

Viene visualizzata la finestra Elimina CSR.

Leggere il messaggio di avviso e fare clic su elimina per eliminare la richiesta di firma del certificato CSR.


 

Se le impostazioni configurate dall'amministratore nel profilo non corrispondono agli attributi del certificato, sul certificato viene visualizzata un'icona di avviso. Esempio: Il certificato Tomcat è autofirmato, ma nelle impostazioni del profilo è impostato su CA firmato, questo porta a una mancata corrispondenza.

Non fare clic su Invia senza saperlo senza verificare le mancate corrispondenze in quanto potrebbe causare problemi.

Le operazioni sui certificati di trust Store sono:

  • Sostituisci certificato

  • Rimuovi certificato

Operazione certificato

Utilizzo certificato

Descrizione

Sostituisci certificato

Utilizzare Sostituisci certificato per sostituire il certificato esistente con un nuovo certificato.

Viene visualizzata la finestra Sostituisci certificato.

  1. Fare clic su Scegli file per selezionare un nuovo certificato.

    Sfogliare e caricare il nuovo certificato dal computer locale.

  2. Fare clic su Sostituisci per sostituire il certificato.


 

Questa procedura non funziona sull'applicazione CER.

Rimuovi certificato

Utilizzare Rimuovi certificato quando l'amministratore desidera rimuovere il certificato scaduto o in scadenza a breve.

Viene visualizzata la finestra Rimuovi certificato.

  1. Selezionare i cluster e gli archivi attendibilità da cui si desidera eliminare i certificati.

  2. Fare clic su Avanti per rimuovere il certificato dai cluster e dalle Trust selezionati.

  3. Leggere il messaggio di avviso e fare clic su Rimuovi per rimuovere il certificato.


 

Impossibile rimuovere il certificato o sostituire l'operazione di attendibilità del certificato con un file di errore non trovato. Questo errore viene visualizzato quando l'operazione viene eseguita su numerosi cluster con versioni miste delle release 12.5 SU5 e 14 SU1.

Soluzione: Riprovare l'operazione sui nodi non riusciti. Verificare la pagina dei dettagli di errore nella pagina dei processi per il cluster corrispondente, in cui viene letto che il certificato non è stato rimosso perché non è presente in questo nodo.

Le operazioni comuni sui certificati dell'archivio fiduciario e sui certificati di identità sono:

  • Scarica .der

  • Scarica .pem

Tipo di operazione certificato

Utilizzo certificato

Descrizione

Scarica .der

Utilizzare Scarica .der per scaricare il formato binario del certificato. DER (Distinguished Encoding Rules) è un certificato digitale.

Fare clic su download. der per scaricare il formato. der (binario) del certificato.

Il certificato .der viene scaricato sul computer locale.

Scarica .pem

Utilizzare Scarica .pem per scaricare il certificato in formato .pem. PEM (Privacy Enhanced Mail) è un certificato DERcon codifica Base64 in formato ASCII.

Fare clic su download. pem per scaricare il formato. pem (ASCII) del certificato.

Il certificato .pem viene scaricato sul computer locale.

7

L'operazione del certificato viene aggiunta all'elenco dei processi. È possibile visualizzare l'avanzamento nella scheda processi.

OPPURE

  1. Fare clic sul collegamento processi per visualizzare l'avanzamento dell'operazione del certificato.

  2. Fare clic su OK per chiudere la finestra Certificato.

Pagina di accesso ai cluster

La pagina cluster elenca un riepilogo dello stato del certificato in base al cluster per tutti i cluster di un'organizzazione.

1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Cluster dalla scheda Gestione certificati.

Nella pagina di riepilogo dei cluster vengono visualizzati i cluster con dettagli quali nome del cluster, stato, prodotto e profilo associato al cluster. L'amministratore può modificare l'associazione predefinita del profilo standard con il profilo personalizzato di un cluster.

3

(Facoltativo) Scegliere una delle opzioni seguenti:

  • Fare clic su Cerca per cercare un cluster specifico.

  • Nel menu a discesa Filtra prodotti, selezionare uno o più prodotti.

4

Fare clic su un record cluster nella pagina elenco per visitare la pagina Dettagli cluster in cui vengono visualizzati i certificati di identità associati al cluster selezionato.

È possibile spostarsi nella scheda Trust Store o nella scheda processi. Nella scheda Archivio attendibilità vengono visualizzati tutti i certificati in un cluster in vari archivi attendibilità. Nella scheda Processi sono elencate le operazioni eseguite sui certificati e lo stato dell'azione.

Nel riquadro della dashboard vengono visualizzate queste schede:

  1. Certificati identità

  2. Certificati attendibilità

  3. Dettagli processo

Per le schede Certificati identità e Certificati affidabilità viene visualizzato un riepilogo dei certificati validi, scaduti e in scadenza a breve. Per la scheda Processi viene visualizzato un riepilogo dei processi totali, completi e in sospeso per il mese corrente.

Accesso alla scheda Certificato identità

Utilizzare il certificato di identità per visualizzare tutti i certificati di identità presenti in un cluster. È possibile cercare un certificato di identità specifico o visualizzare i dettagli di un certificato ed eseguire le operazioni necessarie.

1

Dalla vista cliente nell' Hub di controllo Webex, accedere a servizi > UC connessa.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Cluster dalla scheda Gestione certificati.

3

Fare clic su un record cluster nella pagina dell'elenco per visualizzare i dettagli del cluster, in cui vengono visualizzati i certificati di identità associati al cluster.


 

Per i cluster con Cisco Emergency Responder versione 12.5 o 14, il certificato Tomcat-ECDSA non è supportato.

4

(Facoltativo) Fare clic su Cerca per cercare un certificato specifico.

5

Facoltativo Nel menu a discesa certificato filtro, selezionare uno o più certificati in base al tipo di.

I certificati vengono visualizzati nell'elenco dei certificati insieme ai dettagli quali il nome del server, il nome comune, il tipo di certificato, lo stato del certificato e la data di scadenza.

6

Fare clic su un record nella pagina della scheda per visualizzare i dettagli del certificato.

Viene visualizzato un riquadro laterale per visualizzare i dettagli del certificato. È possibile visualizzare i dettagli del certificato o copiare il certificato di formato PEM. Da questo riquadro è inoltre possibile eseguire tutte le operazioni elencate nel passaggio 8.

7

Fare clic su Chiudi per chiudere il riquadro laterale e tornare alla pagina della scheda.


 

Il segnale di avviso viene visualizzato quando l'attributo certificato esistente non corrisponde al profilo e il certificato non è conforme.

8

Passare il mouse sul record del certificato e fare clic sui puntini di sospensione per eseguire diverse operazioni. Per ulteriori informazioni, vedere operazioni sui certificati di identità.

9

(Facoltativo) Fare clic su Visualizza profilo.

Viene visualizzato il profilo associato al cluster.

Accesso alla scheda Archivio attendibilità

Nella scheda archivio trust sono elencati tutti i certificati in un cluster in vari archivi trust.

1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Cluster dalla scheda Gestione certificati.

3

Fare clic su un record cluster nella pagina elenco per visitare la pagina Dettagli cluster.

4

Fare clic sulla scheda Archivio attendibilità per visualizzare l'elenco dei certificati.

I certificati vengono visualizzati nell'elenco dei certificati con dettagli quali nome comune, numero di serie, nome emittente, stato e data di scadenza.

5

(Facoltativo) Fare clic su Cerca per cercare un certificato specifico.

6

(Facoltativo) Nel menu a discesa Filtra certificato, selezionare uno o più certificati.

I certificati vengono visualizzati nell'elenco dei certificati con dettagli quali nome comune, numero di serie, nome emittente, stato e data di scadenza.

7

Fare clic su un record nella pagina della scheda per visualizzare i dettagli del certificato.

Viene visualizzato un riquadro laterale per visualizzare i dettagli del certificato. Per visualizzare tutti i cluster associati al certificato, consultare la sezione relativa ai dettagli del certificato o copiare il certificato di formato PEM. Da questo riquadro è inoltre possibile eseguire tutte le operazioni elencate nel passaggio 9.

8

Fare clic su Chiudi per chiudere il riquadro laterale e tornare alla pagina della scheda.

9

Passare il mouse su un record di certificato e fare clic sui puntini di sospensione per eseguire diverse operazioni.

Vedere operazioni sui certificati di archiviazione trust per detials.
10

Fare clic sul record del certificato con stato scaduto per caricare un certificato aggiornato nell'archivio attendibilità.
11

Fare clic su Carica in archivio attendibilità.

Viene visualizzata la finestra Carica certificato.

12

Selezionare i cluster necessari da associare all'archivio attendibilità.


 

Leggere attentamente il messaggio di avviso visualizzato prima di eseguire l'operazione.
13

Fare clic su Scegli file per cercare un certificato.

14

Fare clic su Carica per caricare il certificato nell'archivio attendibilità per i cluster necessari.


 
Le operazioni di attendibilità per IPsec e CAPF non sono supportate tramite nodi sottoscrittori in Control Hub. L'amministratore deve eseguire queste operazioni in locale.

Limitazione di CH per le operazioni dei certificati di trust:

  1. Se è presente un servizio di trust per il quale la replica non si verifica sui nodi dello stesso cluster, l'amministratore deve eseguire queste operazioni in locale. Ad esempio CAPF, IPSEC.
  2. Tutte le operazioni di trust sono inviate solo al nodo editore del cluster, pertanto è possibile eseguire l'operazione solo tramite nodo pub e non può essere eseguita da nodi secondari.
    1. Rimozione di trust
    2. Sostituisci Trust
    3. Distribuzione di trust
    4. Caricamento di trust

Limitazione delle operazioni di rimozione Trust:

  1. L'operazione può essere eseguita solo tramite nodo pub.
  2. Se il certificato non è presente nel nodo pub e presente in nodi secondari, non è possibile eseguire l'operazione tramite l'hub di controllo. È necessario eseguire l'operazione tramite on-premise.

Accesso alla scheda Processi

Nella scheda Processi viene visualizzato un riepilogo di tutte le operazioni eseguite. Nella scheda processi viene visualizzato un riepilogo dei processi totali, completi e in sospeso per il mese corrente.

1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Cluster dalla scheda Gestione certificati.

3

Fare clic su un record cluster nella pagina elenco per visitare la pagina Dettagli cluster.

4

Fare clic sulla scheda Processi per visualizzare l'elenco dei processi eseguiti nel mese corrente.

5

Nell'elenco a discesa Mese corrente, selezionare il periodo desiderato per visualizzare il riepilogo dei processi.

Lo stato del processo viene visualizzato nel riepilogo dei processi insieme a dettagli quali il tipo di processo, il nodo, il timestamp, il certificato e le informazioni sul prodotto.

6

Fare clic su un record nella pagina della scheda per visualizzare i dettagli del processo.

Viene visualizzato un riquadro laterale per visualizzare i dettagli del processo.
7

Fare clic su Chiudi per chiudere il riquadro laterale e tornare alla pagina della scheda.

Pagina profili di accesso

La pagina profili consente di definire impostazioni quali multi-server/multi-San, con firma CA e Periodo di validità autofirmato, RSA vs. ECDSA, lunghezza chiave, algoritmo hash.

Utilizzare profili separati per ciascuna versione del cluster. Ad esempio, se il cluster esegue la versione 12.x, è necessario visualizzare solo le funzioni 12.x durante l'esecuzione delle operazioni del certificato.

Durante la creazione del profilo personalizzato, l'amministratore può associare il profilo personalizzato appena creato a un cluster.

1

Dalla vista cliente in Cisco Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Profili dalla scheda Gestione certificati.

La pagina Profili viene visualizzata con l'elenco dei profili creati.


 

Per impostazione predefinita, il servizio Gestione certificati fornisce il profilo standard e tutti i cluster abilitati per il servizio Gestione certificati sono associati a questo profilo. Si tratta di un profilo di sola visualizzazione. Passare il mouse sul profilo e fare clic sui puntini di sospensione per visualizzare o copiare il profilo.

3

Passare il mouse sul nome di un profilo e fare clic sui puntini di sospensione per eseguire diverse operazioni come:

  • Modifica

    1. Fare clic su modifica per modificare il profilo selezionato.

  • Elimina

    1. Leggere il messaggio di avviso e fare clic su Elimina per eliminare il profilo selezionato.

  • Copia

    1. Fare clic su Copia per copiare il profilo selezionato.

      Viene visualizzata la finestra Copia di profilo personalizzato.

    2. Fare clic su Crea per aggiornare o modificare le impostazioni per ciascuno dei prodotti, se necessario. Altrimenti creare una copia del profilo selezionato.

4

Fare clic su Aggiungi profilo per creare un nuovo profilo.

5

Immettere un Nome profilo.

6

Selezionare la casella di controllo se si desidera impostare il profilo su predefinito.
7

Immettere una Descrizione del profilo.

8

Definire le varie impostazioni dei certificati per ciascun prodotto
9

Fare clic su Crea per creare il profilo.

Se è stato impostato un profilo personalizzato su predefinito, deselezionare la casella di controllo predefinita nel profilo personalizzato per tornare al profilo standard come predefinito.

10

(Facoltativo) Associare un profilo a un cluster. Fare clic sulla scheda cluster nel menu principale, viene visualizzata la pagina elenco cluster. È possibile associare un profilo a un cluster dalla pagina della scheda.


 

Il periodo di validità delle versioni 11.5x e 12.5x è di 5 anni indipendentemente dal valore scelto nell'elenco a discesa della validità. Dalla versione 14 in poi, il periodo di validità può essere compreso tra 5-20 anni.

Non eseguire le operazioni elencate come N nella tabella, altrimenti le operazioni non vanno a buon fine.

Operazione certificato

Versione supportata

Funzionamento dell'operazione

11.5

12.5

14 e versioni successive
Rinnova più server N N S Anche se questa operazione viene eseguita su un certificato autofirmato per più server, funziona solo su un singolo nodo.
Riutilizza N N S L'operazione funziona solo su Call Manager e Call Manager ECDSA sull'applicazione Cisco Unified CM. Questa operazione funziona sia per il certificato firmato da CA per più server che per il certificato autofirmato per più server.

Pagina impostazioni di accesso

Il sistema invia automaticamente un messaggio e-mail ai destinatari quando si avvicina la data di scadenza di un certificato.

1

Dalla vista cliente in Webex Control Hub, accedere a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC.

2

Fare clic su Impostazioni nella scheda Gestione certificati.

3

Imposta Tempo di inizio notifica.

È possibile impostare l'ora di inizio della notifica tra 30-365 giorni.
4

Impostare Frequenza notifica.

È possibile impostare la frequenza della notifica tra 1-30 giorni.
5

Immettere l'indirizzo e-mail dei destinatari della notifica.

È possibile immettere un massimo di 25 indirizzi e-mail.
6

Fare clic su Salva.

Tutti i destinatari ricevono una notifica e-mail come mostrato nell'immagine quando si avvicina la data di scadenza dei certificati.