Panoramica sulla gestione dei certificati

Gestione certificati centralizzata è un servizio basato su cloud che offre un'unica posizione per visualizzare e gestire i certificati di Cisco Unified Communications Manager, IM e presenza e Cisco Unity Connection e Cisco Emergency Responder in più cluster.

Operazioni preliminari:

È necessario abilitare il servizio Gestione certificati nella pagina Gestione servizi per il cluster desiderato. Per ulteriori informazioni, vedere Abilitazione dei servizi Cloud-Connected UC in Control Hub.

Gestione certificati centralizzata offre queste funzionalità chiave:

  • Dashboard multi-cluster che mostra lo stato del certificato per ciascun cluster.

  • Visualizzazione dettagliata dei certificati di attendibilità e identità per ogni singolo livello di cluster.

  • Possibilità di eseguire operazioni sui certificati come la generazione di CSR, il caricamento del certificato, il rinnovo, il download, la copia, la sostituzione e la rimozione.

  • Dashboard avvisi per visualizzare i certificati scaduti e in scadenza.

  • Possibilità di configurare la notifica come notifica e-mail per la scadenza del certificato.

  • Distribuire i certificati in più archivi attendibilità e cluster.

  • Definire il profilo del certificato con varie impostazioni e assegnarlo a un cluster.

Non è possibile distribuire e sostituire i certificati nell'applicazione Cisco Emergency Responder.

Accesso al servizio Gestione certificati

Il servizio Gestione certificati all'interno della suite di servizi Cloud-Connected UC gestisce i certificati per la distribuzione locale.

Per accedere a Gestione certificati, procedere nel seguente modo:

1

Dalla vista cliente in Webex Control Hub, vai a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC (Uc connesso). La scheda Gestione certificati in questa pagina fornisce le funzionalità di Gestione certificati.

2

Nella scheda Gestione certificati , fare clic su un collegamento qualsiasi per accedere alle diverse funzionalità della gestione dei certificati.

Nella tabella riportata di seguito vengono elencate le funzionalità disponibili in Gestione certificati:

Schede

Descrizione

Avvisi

Visualizza un riepilogo di tutti i certificati scaduti e in scadenza. L'amministratore può eseguire le azioni necessarie sui certificati di attendibilità o identità per mantenerli aggiornati.

Cluster

Visualizza un riepilogo dello stato del certificato nei cluster nell'organizzazione specificata e consente all'amministratore di eseguire le azioni necessarie sui certificati di identità o attendibilità.

  • Puoi visualizzare tutti i certificati di identità e attendibilità di un cluster specifico all'interno di un'organizzazione.

  • Nella scheda Processi viene visualizzato un riepilogo di tutte le azioni eseguite sui certificati.

Profili

Convalida che i certificati in un cluster siano conformi alle impostazioni configurate. È possibile creare un profilo di Gestione certificati personalizzato e associarlo a un cluster.

Impostazioni

Configurare gli indirizzi e-mail degli amministratori per ricevere le notifiche di scadenza del certificato. Tutti i campi sono configurabili nella pagina Impostazioni di Gestione certificati.
Accedi alla pagina Avvisi

Usa la pagina Avvisi per effettuare le seguenti operazioni:

  • Visualizzazione dei certificati scaduti o in scadenza a breve

  • Filtra per certificato

  • Filtrare in base al prodotto per visualizzare lo stato del certificato.

1

Dalla vista cliente in Webex Control Hub, vai a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC (Uc connesso).

2

Fare clic su Avvisi dalla scheda Gestione certificati .

Nella pagina vengono visualizzati sia i certificati scaduti che quelli in scadenza a breve. L'elenco dei certificati riporta dettagli quali il nome del cluster, il nome comune, il tipo di certificato, lo stato del certificato e la data di scadenza.

3

(Opzionale) Scegliere una delle seguenti opzioni:

  • Fare clic su Cerca per cercare un certificato specifico.

  • Selezionare uno o più certificati dall'elenco a discesa Filtra certificato .

  • Selezionare uno o più prodotti dall'elenco a discesa Filtra prodotti .

I certificati selezionati vengono visualizzati nell'elenco dei certificati insieme a dettagli quali cluster, certificato, nome comune, prodotto, tipo, stato, nome server e scadenza.

4

Selezionare un record dalla pagina della scheda per visualizzare i dettagli del certificato.

Viene visualizzato un pannello laterale per visualizzare i dettagli del certificato. È possibile visualizzare Dettagli certificato o Copia certificato in formato PEM. Eseguire tutte le operazioni elencate nel passaggio 6 da questo pannello.

5

Fare clic su Chiudi per chiudere il pannello laterale e tornare alla pagina della scheda.

6

Passare il mouse su un record di certificato e fare clic sui puntini di sospensione per eseguire diverse operazioni sui certificati di identità e archivio di attendibilità.

Le operazioni sui Certificati identità sono:

  • Rinnova certificato per autofirmato.

  • Genera CSR per CA firmato.

  • Carica certificato per CA firmato e viene generato un CSR sul certificato.

  • Scarica CSR per CA firmato e viene generato un CSR sul certificato.

  • Elimina CSR per CA firmato e viene generato un CSR sul certificato.

Operazione certificato

Uso certificato

Descrizione

Rinnova certificato

Utilizzare Rinnova certificato quando il certificato è autofirmato.

Utilizzare Riutilizza certificato Tomcat quando si desidera riutilizzare il certificato Tomcat per il servizio selezionato.

La finestra Rinnova certificato viene visualizzata in base alle impostazioni del profilo.

Scegli l'azione Rinnova certificato in base alla selezione nella pagina Impostazioni profilo , ossia:

  • Riutilizza certificato Tomcat: selezionare Usa Tomcat sul profilo, l'opzione Riutilizza Tomcat è abilitata.

  • Rinnova certificato: selezionare Tipo di certificato come autofirmato, Rinnova è abilitato.

Leggi il messaggio di avviso e fai clic su Riutilizza certificato Tomcat per rinnovare il certificato.

Genera CSR

Utilizzare l'operazione Genera CSR quando il tipo di certificato è CA firmato.

Viene visualizzata la finestra Genera CSR .

Fare clic su Genera per generare la CSR.

Carica certificato

Utilizzare l'operazione Carica quando il tipo di certificato è CA firmato e il CSR è già stato generato. È possibile caricare una catena di certificati nel formato .P7B o il certificato di identità nel formato .pem o .der.

Viene visualizzata la finestra Carica certificato .

  1. Fare clic su Scegli file per caricare il certificato.

    Sfogliare e caricare il certificato dal computer locale.

  2. Fare clic su Carica per caricare il certificato.

Distribuisci certificato

Utilizzare l'operazione Distribuisci per distribuire il certificato a più cluster in una singola operazione. Selezionare più cluster e archivi attendibilità in Control Hub; il certificato viene distribuito ai cluster selezionati.

Viene visualizzata la finestra Distribuisci certificato .

  1. Seleziona cluster e archivi attendibilità a cui desideri distribuire i certificati.

  2. Fare clic su Distribuisci per associare i certificati ai cluster e agli archivi attendibilità selezionati.

  3. Fare clic su OK per chiudere la finestra Distribuisci certificato.

Questa procedura non funziona sull'applicazione CER.

Scarica CSR

Utilizzare Scarica CSR quando il tipo di certificato è CA firmato e il CSR è già stato generato. È possibile scaricare il CSR per farlo firmare da un'autorità di certificazione (CA).

Fare clic su Scarica CSR per scaricare la richiesta di firma del certificato CSR sul computer locale.

Elimina CSR

Utilizzare l'operazione Elimina quando il CSR deve essere rigenerato.

Viene visualizzata la finestra Elimina CSR .

Leggere il messaggio di avviso e fare clic su Elimina per eliminare la richiesta di firma del certificato CSR.

Se le impostazioni configurate dall'amministratore nel profilo non corrispondono agli attributi del certificato, sul certificato viene visualizzata un'icona di avviso. Esempio: Il certificato Tomcat è autofirmato, ma nelle impostazioni del profilo è impostato su CA firmato, questo porta a una mancata corrispondenza.

Non fare clic su Invia inconsapevolmente senza verificare le mancate corrispondenze in quanto potrebbe causare problemi.

Le operazioni sui Certificati archivio attendibilità sono:

  • Sostituisci certificato

  • Rimuovi certificato

Operazione certificato

Uso certificato

Descrizione

Sostituisci certificato

Utilizzare Sostituisci certificato per sostituire il certificato esistente con un nuovo certificato.

Viene visualizzata la finestra Sostituisci certificato .

  1. Fare clic su Scegli file per selezionare un nuovo certificato.

    Sfogliare e caricare il nuovo certificato dal computer locale.

  2. Fare clic su Sostituisci per sostituire il certificato.

Questa procedura non funziona sull'applicazione CER.

Rimuovi certificato

Utilizzare Rimuovi certificato quando l'amministratore desidera rimuovere il certificato scaduto e in scadenza a breve.

Viene visualizzata la finestra Rimuovi certificato .

  1. Seleziona cluster e archivi attendibilità da cui desideri eliminare i certificati.

  2. Fai clic su Avanti per rimuovere il certificato dai cluster e dagli archivi attendibilità selezionati.

  3. Leggere il messaggio di avviso e fare clic su Rimuovi per rimuovere il certificato.

L'operazione Rimuovi certificato o Sostituisci attendibilità certificato potrebbe non riuscire con un errore File non trovato. Questo errore viene visualizzato quando l'operazione viene eseguita su molti cluster con versioni miste delle release 12.5 SU5 e 14 SU1.

Soluzione: Riprovare l'operazione sui nodi in errore. Verificare l'errore nella pagina di dettaglio dei processi per il cluster corrispondente; in questo modo, Il certificato non è stato rimosso poiché non è presente su questo nodo.

Le operazioni comuni sui Certificati archivio attendibilità e sui Certificati di identità sono:

  • Scarica .der

  • Scarica .pem

Tipo di operazione certificato

Uso certificato

Descrizione

Scarica .der

Utilizzare Download.der per scaricare il formato binario del certificato. DER (Distinguished Encoding Rules) è un certificato digitale.

Fare clic su Scarica .der per scaricare il formato .der (binario) del certificato.

Il certificato .der viene scaricato sul computer locale.

Scarica .pem

Utilizzare Scarica .pem per scaricare il certificato in formato .pem. PEM (Privacy Enhanced Mail) è un certificato DER codificato in base64 in formato ASCII.

Fare clic su Scarica .pem per scaricare il formato .pem (ASCII) del certificato.

Il certificato .pem viene scaricato sul computer locale.

7

L'operazione del certificato viene aggiunta all'elenco dei processi. Puoi visualizzare l'avanzamento nella scheda Processi .

OPPURE

  1. Fare clic sul collegamento Processi per visualizzare l'avanzamento dell'operazione del certificato.

  2. Fare clic su OK per chiudere la finestra Certificato.

Accesso alla pagina Cluster

La pagina Cluster elenca un riepilogo dello stato del certificato in base al cluster per tutti i cluster di un'organizzazione.

1

Dalla vista cliente in Webex Control Hub, vai a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC (Uc connesso).

2

Fare clic su Cluster dalla scheda Gestione certificati .

Nella pagina di riepilogo dei cluster vengono visualizzati i cluster con dettagli quali nome del cluster, stato, prodotto e profilo associato al cluster. L'amministratore può modificare l'associazione predefinita del profilo standard con il profilo personalizzato per un cluster.

3

(Opzionale) Scegliere una delle seguenti opzioni:

  • Fare clic su Cerca per cercare un cluster specifico.

  • Nel menu a discesa Filtra prodotti , selezionare uno o più prodotti.

4

Fare clic su un record del cluster nella pagina della scheda per accedere alla pagina Dettagli cluster in cui vengono visualizzati i certificati di identità associati al cluster selezionato.

È possibile passare alla scheda Archivio attendibilità o alla scheda Processi . Nella scheda Archivio attendibilità vengono visualizzati tutti i certificati in un cluster in vari archivi attendibilità. La scheda Processi elenca le operazioni eseguite sui certificati e lo stato dell'azione.

Nel riquadro della dashboard vengono visualizzate queste schede:

  1. Certificati identità

  2. Certificato di attendibilità

  3. Dettagli processi

Per la scheda Certificati identità e Certificati attendibilità viene visualizzato un riepilogo dei certificati validi, scaduti e in scadenza a breve. Per la scheda Processi viene visualizzato un riepilogo dei processi totali, completi e in sospeso per il mese corrente.

Accesso alla scheda Certificato identità

Accesso alla scheda Certificato identità

Utilizzare Certificato identità per visualizzare tutti i certificati di identità presenti in un cluster. È possibile ricercare un certificato di identità specifico o visualizzare i dettagli di un certificato ed eseguire le operazioni necessarie.
1

Dalla vista cliente in Webex Control Hub, vai a Servizi> Connected UC.

Viene visualizzata la pagina Connected UC (Uc connesso).

2

Fare clic su Cluster dalla scheda Gestione certificati .

3

Fare clic su un record del cluster nella pagina della scheda per accedere alla pagina Dettagli cluster in cui vengono visualizzati i certificati di identità associati al cluster.

Per i cluster con Cisco Emergency Responder versioni 12.5 o 14, il certificato tomcat-ECDSA non è supportato.

4

(Opzionale) Fare clic su Cerca per cercare un certificato specifico.

5

(Opzionale) Nel menu a discesa Filtra certificato , selezionare uno o più certificati in base al loro tipo.

I certificati vengono visualizzati nell'elenco dei certificati insieme a dettagli quali il nome del server, il nome comune, il tipo di certificato, lo stato del certificato e la data di scadenza.

6

Fare clic su un record nella pagina della scheda per visualizzare i dettagli del certificato.

Viene visualizzato un pannello laterale per visualizzare i dettagli del certificato. È possibile visualizzare Dettagli certificato o Copia certificato in formato PEM. Da questo pannello è anche possibile eseguire tutte le operazioni elencate nel passaggio 8.

7

Fare clic su Chiudi per chiudere il pannello laterale e tornare alla pagina della scheda.

Il Segnale di avvertenza viene visualizzato quando l'attributo certificato esistente non corrisponde al profilo e il certificato non è conforme.

8

Passare il mouse sul record del certificato e fare clic sui puntini di sospensione per eseguire diverse operazioni. Per dettagli, vedi Operazioni sui Certificati di identità .

9

(Opzionale) Fare clic su Visualizza profilo.

Viene visualizzato il profilo associato al cluster.

Accesso alla scheda Archivio attendibilità

Accesso alla scheda Archivio attendibilità

La scheda Archivio attendibilità elenca tutti i certificati in un cluster in vari archivi attendibilità.
1

Dalla vista cliente in Webex Control Hub, vai a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC (Uc connesso).

2

Fare clic su Cluster dalla scheda Gestione certificati .

3

Fare clic su un record del cluster nella pagina della scheda per accedere alla pagina Dettagli cluster .

4

Fare clic sulla scheda Archivio attendibilità per visualizzare l'elenco dei certificati.

I certificati vengono visualizzati nell'elenco dei certificati con dettagli quali nome comune, numero di serie, Nome emesso, Stato e data di scadenza.

5

(Opzionale) Fare clic su Cerca per cercare un certificato specifico.

6

(Opzionale) Nel menu a discesa Filtra certificato , selezionare uno o più certificati.

I certificati vengono visualizzati nell'elenco dei certificati con dettagli quali nome comune, numero di serie, Nome emesso, Stato e data di scadenza.

7

Fare clic su un record nella pagina della scheda per visualizzare i dettagli del certificato.

Viene visualizzato un pannello laterale per visualizzare i dettagli del certificato. Per visualizzare tutti i cluster associati al certificato, vedere Dettagli certificato o Copia certificato formato PEM. Da questo pannello puoi anche eseguire tutte le operazioni elencate nel passaggio 9.

8

Fare clic su Chiudi per chiudere il pannello laterale e tornare alla pagina della scheda.

9

Passare il mouse su un record di certificato e fare clic sui puntini di sospensione per eseguire diverse operazioni.

Per ulteriori informazioni, vedere Operazioni sui Certificati archivio attendibilità .
10

Fare clic sul record del certificato con stato scaduto per caricare un certificato aggiornato nell'archivio attendibilità.

11

Fare clic su Carica in certificato attendibilità.

Viene visualizzata la finestra Carica certificato .

12

Selezionare i cluster richiesti da associare all'archivio attendibilità.

Leggere attentamente il messaggio di avviso visualizzato prima di eseguire l'operazione.

13

Fare clic su Scegli file per cercare un certificato.

14

Fare clic su Carica per caricare il certificato nell'archivio attendibilità per i cluster richiesti.

Le operazioni di attendibilità per IPsec e CAPF non sono supportate attraverso nodi abbonati in Control Hub. L'amministratore deve eseguire queste operazioni in locale.

Limiti

Limitazione di CH per le operazioni dei certificati di attendibilità:

  1. Se è presente un servizio attendibile per il quale la replica non si verifica sui nodi dello stesso cluster, L'amministratore deve eseguire queste operazioni in locale. Ad esempio. capf, ipsec.
  2. Tutte le operazioni correlate all'attendibilità vengono inviate solo al nodo del publisher del cluster, pertanto l'operazione può essere eseguita solo attraverso il nodo pub; non può essere eseguita da nodi secondari.
    1. Rimuovi attendibilità
    2. Sostituisci attendibilità
    3. Distribuisci attendibilità
    4. Carica attendibilità

Limitazione sulla rimozione delle operazioni di attendibilità:

  1. L 'operazione può essere eseguita solo attraverso il nodo Pub.
  2. Se il certificato non è presente nel nodo Pub e presente nei nodi secondari, l'operazione non può essere eseguita attraverso Control Hub. L'operazione deve essere eseguita in locale.

Accesso alla scheda Processi

Accesso alla scheda Processi

La scheda Processi mostra un riepilogo di tutte le operazioni eseguite. La scheda Processi mostra un riepilogo dei processi totali, completi e in sospeso per il mese corrente.

1

Dalla vista cliente in Webex Control Hub, vai a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC (Uc connesso).

2

Fare clic su Cluster dalla scheda Gestione certificati .

3

Fare clic su un record del cluster nella pagina della scheda per accedere alla pagina Dettagli cluster .

4

Fare clic sulla scheda Processi per visualizzare l'elenco dei processi eseguiti nel mese corrente.

5

Nell'elenco a discesa Mese corrente , selezionare il periodo richiesto per visualizzare il riepilogo dei processi.

Lo stato del processo viene visualizzato nel riepilogo dei processi insieme a dettagli quali tipo di processo, nodo, timestamp, certificato e informazioni sul prodotto.

6

Fare clic su un record nella pagina della scheda per visualizzare i dettagli del processo.

Viene visualizzato un pannello laterale per visualizzare i dettagli del processo.

7

Fare clic su Chiudi per chiudere il pannello laterale e tornare alla pagina della scheda.

Accesso alla pagina Profili

La pagina Profili consente di definire impostazioni come multi-server/multi-SAN, firmato da CA o autofirmato, periodo di validità, RSA o ECDSA, lunghezza chiave, algoritmo hash.

Utilizzare profili separati per ciascuna versione del cluster. Ad esempio, se il cluster esegue la versione 12.x, è necessario visualizzare solo le funzioni 12.x durante l'esecuzione delle operazioni del certificato.

Durante la creazione del profilo personalizzato, l'amministratore può associare il profilo personalizzato appena creato a un cluster.

1

Dalla vista cliente in Cisco Webex Control Hub, vai a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC (Uc connesso).

2

Fare clic su Profili dalla scheda Gestione certificati .

Viene visualizzata la pagina Profili con l'elenco dei profili creati.

Per impostazione predefinita, il servizio Gestione certificati fornisce il profilo standard e tutti i cluster abilitati per il servizio Gestione certificati sono associati a questo profilo. Si tratta di un profilo di sola visualizzazione. Passare il mouse sul profilo e fare clic sui puntini di sospensione per visualizzare o copiare il profilo.

3

Passare il mouse sul nome di un profilo e fare clic sui puntini di sospensione per eseguire diverse operazioni come:

  • Modifica

    1. Fare clic su Modifica per modificare il profilo selezionato.

  • Elimina

    1. Leggere il messaggio di avviso e fare clic su Elimina per eliminare il profilo selezionato.

  • Copia

    1. Fare clic su Copia per copiare il profilo selezionato.

      Viene visualizzata la finestra Copia profilo personalizzato .

    2. Fai clic su Crea per aggiornare o modificare le impostazioni per ciascun prodotto, se necessario. Altrimenti creare una copia del profilo selezionato.

4

Fare clic su Aggiungi profilo per creare un nuovo profilo personalizzato.

5

Inserire un Nome profilo.

6

Selezionare la casella di controllo se si desidera impostare il profilo su predefinito.

7

Immettere una Descrizione per il profilo.

8

Definire le diverse impostazioni dei certificati per ciascun prodotto

9

Fare clic su Crea per creare il profilo.

Se è stato impostato un profilo personalizzato su predefinito, deselezionare la casella di controllo predefinita sul profilo personalizzato per tornare al profilo standard come predefinito.

10

(Opzionale) Associare un profilo a un cluster. Fare clic sulla scheda Cluster nel menu superiore; viene visualizzata la pagina di elenco dei cluster. È possibile associare un profilo a un cluster dalla pagina della scheda.

Il periodo di validità per le versioni 11.5x e 12.5x è di 5 anni indipendentemente dal valore scelto nell'elenco a discesa della validità. Dalla versione 14 in poi, il periodo di validità può essere compreso tra 5 e 20 anni.

Non eseguire le operazioni elencate come N nella tabella, altrimenti le operazioni non riescono.

Operazione certificato

Versione supportata

Funzionamento dell'operazione

11.5

12.5

14 e versioni successive

Rinnova più serverNNSSebbene questa operazione venga eseguita su un certificato autofirmato per più server, funziona solo su un singolo nodo.
RiutilizzaNNSL'operazione funziona solo su Call Manager e Call Manager ECDSA sull'applicazione Cisco Unified CM. Questa operazione funziona sia per un certificato CA firmato da più server che per un certificato autofirmato da più server.
Accesso alla pagina Impostazioni

Il sistema invia automaticamente un messaggio e-mail ai destinatari quando il certificato è prossimo alla scadenza.

1

Dalla vista cliente in Webex Control Hub, vai a Servizi > Connected UC.

Viene visualizzata la pagina Connected UC (Uc connesso).

2

Fare clic su Impostazioni nella scheda Gestione certificati .

3

Imposta Ora di inizio notifica.

È possibile impostare l'ora di inizio della notifica tra 30-365 giorni.

4

Impostare Frequenza notifica.

È possibile impostare la frequenza di notifica tra 1-30 giorni.

5

Inserire l'indirizzo e-mail dei Destinatari notifica.

È possibile inserire un massimo di 25 indirizzi e-mail.

6

Fai clic su Salva.

Tutti i destinatari ricevono una notifica e-mail come mostrato nell'immagine quando si avvicina la data di scadenza dei certificati.