Обзор Certificate Management

Централизованное управление сертификатами — это облачная служба, предлагающая единое место для просмотра и управления сертификатами Cisco Unified Communications Manager, мгновенными сообщениями и присутствием, а также Cisco Unity Connection и Cisco Emergency Responder в нескольких кластерах.

Перед началом настройки:

Необходимо включить службу Certificate Management на странице управления сервисами нужного кластера. Подробнее см. в разделе Включение услуг Cloud-Connected UC в Control Hub.

Централизованное управление сертификатами предоставляет следующие ключевые функции:

  • Панель с несколькими кластерами, на которой отображаются состояния сертификатов для каждого кластера.

  • Подробное описание идентификационных сертификатов и сертификатов доверенного хранилища на отдельном уровне кластера.

  • Возможность выполнения операций с сертификатами, таких как генерация CSR, выгрузка сертификата, обновление, скачивание, копирование, замена и удаление.

  • Панель мониторинга оповещений для просмотра сертификатов с истекшим или скоро истекающим сроком действия.

  • Возможность настройки уведомлений, например уведомлений по электронной почте об истечении срока действия сертификата.

  • Распределите сертификаты по нескольким доверенным хранилищам и кластерам.

  • Определите профиль сертификата с различными настройками и назначьте его кластеру.

Вы не можете распространять и заменять сертификаты в приложении Cisco Emergency Responder.

Служба управления сертификатами

Служба управления сертификатами в облачных службах унифицированных коммуникаций контролирует сертификаты для локального развертывания.

Для доступа к управлению сертификатами выполните следующие действия:

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC. На Certificate Management card на этой странице приведены Certificate Management функции и функции.

2

На Certificate Management card щелкните любую ссылку, чтобы получить доступ к различным функциям управления сертификатами.

В следующей таблице перечислены функциональные возможности, доступные в Certificate Management:

Вкладки

Описание

Уведомления

Отображается сводка по всем сертификатам с истекающим и истекшим сроком действия. Администратор может выполнять необходимые действия для своевременного обновления идентификационных сертификатов и сертификатов доверенного хранилища.

Кластеры

Отображение сводки о статусе сертификатов по кластерам в данной организации, позволяющее администратору принять необходимые меры по идентификационным или доверенным сертификатам.

  • В организации можно просматривать все идентификационные сертификаты и сертификаты доверенного хранилища конкретного кластера в организации.

  • На вкладке "Задания" отображается сводная информация обо всех действиях, выполняемых с помощью сертификатов.

Профили

Проверяет, что сертификаты в кластере соответствуют настроенным параметрам. Можно создать пользовательский профиль Certificate Management и привязывать его к кластеру.

Настройки

Настраиваются адреса электронной почты администраторов для получения уведомлений об истечении срока действия сертификатов. На странице настроек Certificate Management можно настроить все поля.
Страница "Оповещения о доступе"

Используйте страницу "Оповещения " для выполнения следующих действий:

  • Просмотр сертификатов с истекающим или истекшим сроком действия

  • Фильтрация по сертификату

  • Фильтруется по продукту для просмотра статуса сертификата.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Оповещения на карточке Certificate Management.

На странице отображаются как просроченные сертификаты, так и сертификаты с истекающим сроком действия. В сертификате перечислены такие сведения, как имя кластера, общее имя, тип сертификата, статус сертификата и дата окончания срока действия.

3

(Необязательно) Выберите один из следующих вариантов:

  • Щелкните Поиск, чтобы найти нужный сертификат.

  • Выберите один или несколько сертификатов в раскрывающемся списке «Сертификаты фильтров».

  • Выберите один или несколько продуктов в раскрывающемся списке "Продукты фильтрации".

Выбранные сертификаты отображаются в списке сертификатов вместе с такими сведениями, как кластер, сертификат, общее имя, тип продукта, тип, статус, имя сервера и срок действия.

4

Выберите запись на странице со списком, чтобы просмотреть сведения о сертификате.

Откроется боковая панель, на которой отображаются сведения о сертификате. Вы можете просмотреть сведения о сертификате или скопировать сертификат вформате PEM. Выполните все действия, представленные в шаге 6 из этой панели.

5

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.

6

Наведите указатель мыши на запись сертификата и нажмите на значок многоточия, чтобы выполнить различные операции с удостоверяющими сертификатами и сертификатами доверенных хранилищ.

Операции с сертификатами идентификационных данных:

  • Обновление до самозаверенного сертификата.

  • Создание CSR для подписания ЦС.

  • Загрузка сертификата для подписания ЦС, CSR генерируется на сертификате.

  • Загрузка CSR для подписания ЦС, CSR генерируется на сертификате.

  • Удаление CSR для подписания ЦС, CSR генерируется на сертификате.

Операция с сертификатами

Использование сертификата

Описание

Обновление сертификата

Используйте "Обновление сертификата", когда сертификат является самозаверенным.

Используйте "Повторное использование сертификата Tomcat", чтобы повторно использовать сертификат Tomcat для выбранной службы.

На основе настроек профиля отображается окно «Обновить сертификат ».

Выберите действие по обновлению сертификата на основе выбора на странице "Параметры профиля", а именно:

  • Повторное использование сертификата Tomcat — выберите « Использовать Tomcat в профиле», опция «Повторное использование Tomcat» включена.

  • Обновить сертификат - выберите тип сертификата как самоподпись, функция «Обновить» включена.

Прочитайте предупреждение и щелкните повторно использовать сертификат Tomcat, чтобы обновить сертификат.

Создание CSR

Используйте функцию "Создание CSR" для типа сертификата "Подписание ЦС".

Отображается «Сформировать CSR окна».

Щелкните " Создать" , чтобы сформировать CSR.

Выгрузить сертификат

Используйте функцию "Выгрузить" для сертификатов типа "Подписание ЦС" и при созданном CSR. Вы можете загрузить цепочку сертификатов в формате .P7B или идентификационный сертификат в формате .pem или .der.

Откроется окно Выгрузить сертификат.

  1. Щелкните "Выбрать файл" , чтобы выгрузить сертификат.

    Перейдите на локальный компьютер и перейдите к сертификату.

  2. Щелкните " Отправить", чтобы выгрузить сертификат.

Распространение сертификата

Используйте операцию "Распространение" для распространения сертификата по нескольким кластерам с помощью одной операции. Выберите несколько кластеров и доверенных хранилищ в Control Hub, сертификат будет распределен по выбранным кластерам.

Откроется окно «Распространить сертификат ».

  1. Выберите кластеры и доверенные хранилища, для которых необходимо распределить сертификаты.

  2. Щелкните "Распространить" , чтобы связать сертификаты с выбранными кластерами и доверенными сертификатами.

  3. Нажмите « ОК», чтобы закрыть окно «Распространить сертификат».

Эта процедура неприменима к приложению CER.

Скачивание CSR

Используйте функцию "Скачивание CSR" для сертификатов типа "Подписание ЦС" и при созданном CSR. Можно скачать CSR, чтобы получить подпись от ЦС (центра сертификации).

Щелкните Загрузить CSR, чтобы загрузить запрос на подпись CSR сертификата на локальную машину.

Удаление CSR

Используйте операцию "Удаление CSR", когда необходимо повторно сформировать CSR.

Отобразится всплывающее окно Удаление CSR.

Прочитайте предупреждение и нажмите "Удалить ", чтобы удалить CSR запрос на подпись сертификата.

Если параметры, настроенные администратором в профиле, не соответствуют атрибутам сертификата, для сертификата появляется значок предупреждения. Пример: сертификат Tomcat является самозаверенным, но в параметрах профиля задано значение "Подписание ЦС", что приводит к несоответствию.

Не следует щелкать " Отправить " неосознанно, не уточняя, что это может привести к неполадкам.

Операции с сертификатами доверенных хранилищ:

  • Замена сертификата

  • Удаление сертификата

Операция с сертификатами

Использование сертификата

Описание

Замена сертификата

Используйте функцию "Замена сертификата", чтобы заменить существующий сертификат на новый.

Откроется окно «Замена сертификата ».

  1. Щелкните Выбрать файл , чтобы выбрать новый сертификат.

    Перейдите на локальный компьютер и загрузите новый сертификат.

  2. Нажмите Кнопку "Заменить ", чтобы заменить сертификат.

Эта процедура неприменима к приложению CER.

Удаление сертификата

Используйте "Удаление сертификата", чтобы удалить сертификаты с истекшим или истекающим сроком действия.

Откроется окно « Удалить сертификат ».

  1. Выберите кластеры и доверенные хранилища, из которых необходимо удалить сертификаты.

  2. Нажмите кнопку «Далее», чтобы удалить сертификат из выбранных кластеров и доверенных сертификатов.

  3. Прочитайте предупреждение и нажмите "Удалить " , чтобы удалить сертификат.

Удаление сертификата или замена сертификата доверия операции может привести к сбою, и файл не найден. Эта ошибка появляется, если операция выполняется над несколькими кластерами с разными версиями 12.5 SU5 и 14 SU1.

Решение : повторите операцию на узлах, на которых произошел сбой. Проверьте наличие ошибок на странице сведений о задании для соответствующего кластера, в котором говорится, что сертификат нельзя удалить из-за того, что он отсутствует на этом узле.

Наиболее распространенные операции с сертификатами trust Store и сертификатами идентификационных данных:

  • Скачать .der

  • Скачать .pem

Тип операции сертификата

Использование сертификата

Описание

Скачать .der

Чтобы загрузить сертификат в двоичном формате, используйте "Скачать .der" . DER (Distinguished Encoding Rules) — это цифровой сертификат.

Щелкните Загрузить .der, чтобы загрузить сертификат в двоичном формате .der.

Сертификат в формате .der загружается на локальный компьютер.

Скачать .pem

Используйте "Скачать .pem", чтобы скачать сертификат в формате .pem. PEM (Privacy Enhanced Mail) — это сертификат DER, закодированный Base64, в формате ASCII.

Щелкните Загрузить .pem, чтобы загрузить сертификат в формате .pem (ASCII).

Сертификат в формате .pem загружен на локальный компьютер.

7

Операция сертификата добавляется в список заданий. Ход выполнения можно просмотреть на вкладке "Задания ".

ИЛИ

  1. Щелкните ссылку на задания , чтобы просмотреть ход операции сертификата.

  2. Нажмите ОК, чтобы закрыть окно сертификата.

Страница "Доступ к кластерам"

Страница "Кластеры " содержит сводную информацию о статусе сертификатов для всех кластеров в организации.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

На странице со сводной информацией о кластере отображаются кластеры и такие сведения, как имя кластера, статус, продукт и профиль, связанный с кластером. Администратор может изменить связанный стандартный профиль, заданный по умолчанию, на пользовательский профиль.

3

(Необязательно) Выберите один из следующих вариантов:

  • Щелкните Поиск, чтобы найти нужный кластер.

  • В раскрывающемся списке Фильтр продуктов выберите один или несколько продуктов.

4

Щелкните запись кластера на странице со списком, чтобы открыть страницу «Сведения о кластере», где отображаются сертификаты идентификационных данных, связанные с выбранным кластером.

Вы можете перейти на вкладки "Магазин доверия" или "Задания ". На вкладке "Доверенное хранилище" отображаются все сертификаты в кластере в различных доверенных хранилищах. На вкладке "Задания" отображаются операции, которые выполняются над сертификатами, и статус их выполнения.

На панели мониторинга отображаются следующие карточки:

  1. Идентификационные сертификаты

  2. Сертификаты доверенного центра

  3. Сведения о задании

Для идентификационных сертификатов и сертификатов доверенных центров отображается сводная информация о действительных сертификатах, а также сертификатов с истекшим и истекающим сроком действия. Для карточки "Задания" отображается сводка по общим, завершенным и обрабатываемым заданиям за текущий месяц.

Вкладка идентификационных сертификатов

Вкладка идентификационных сертификатов

Сертификат идентификационных данных используется для просмотра всех сертификатов идентификационных данных, личных в кластере. Можно выполнить поиск идентификационных сертификатов или просматривать сведения о сертификате и выполнять необходимые операции.
1

В окне "Пользователь" в центре управления Webex перейдите к разделу"Службы > Подключенные системы унифицированных коммуникаций".

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

3

Щелкните запись кластера на странице со списком, чтобы открыть страницу сведений о кластере, где отображаются сертификаты идентификационных данных, связанные с кластером.

Для кластеров с Cisco Emergency Responder версии 12.5 или 14 сертификат tomcat-ECDSA не поддерживается.

4

(дополнительно) Щелкните Поиск, чтобы найти нужный сертификат.

5

(Необязательно) В раскрывающемся списке «Фильтр сертификатов » выберите один или несколько сертификатов в зависимости от их типа.

Сертификаты отображаются в списке сертификатов вместе с такими сведениями, как имя сервера, общее имя, тип сертификата, состояние сертификата и дата окончания срока действия.

6

Щелкните запись из списка, чтобы просмотреть сведения о сертификате.

Откроется боковая панель, на которой отображаются сведения о сертификате. Вы можете просмотреть сведения о сертификате или скопировать сертификат в формате PEM. На этой панели также можно выполнить все операции, перечисленные в шаге 8

7

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.

Предупреждение появляется, если существующий атрибут сертификата не соответствует профилю и сертификат несовместим.

8

Наведите указатель мыши на запись сертификата и нажмите значок с многоточием, чтобы выполнить различные операции. Подробнее см . раздел «Операции с сертификатами идентификационных данных».

9

(Необязательно) Щелкните Просмотр профиля.

Отображается профиль, связанный с кластером.

Вкладка сертификатов доверенного хранилища

Вкладка сертификатов доверенного хранилища

Вкладка Trust Store содержит список всех сертификатов в кластере для различных доверенных магазинов.
1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

3

Щелкните запись кластера на странице со списком, чтобы открыть страницу сведений о кластере.

4

Перейдите на вкладку Доверенное хранилище, чтобы просмотреть список сертификатов.

Сертификаты отображаются в списке сертификатов с такими сведениями, как общее имя, серийный номер, дата выдачи и дата окончания срока действия.

5

(дополнительно) Щелкните Поиск, чтобы найти нужный сертификат.

6

(Необязательно) В раскрывающемся списке Фильтр сертификатов выберите один или несколько сертификатов.

Сертификаты отображаются в списке сертификатов с такими сведениями, как общее имя, серийный номер, дата выдачи и дата окончания срока действия.

7

Щелкните запись из списка, чтобы просмотреть сведения о сертификате.

Откроется боковая панель, на которой отображаются сведения о сертификате. Для просмотра всех кластеров, связанных с сертификатом, см. сведения о сертификате или скопируйте сертификат в формате PEM. На этой панели также можно выполнить все операции, перечисленные в шаге 9.

8

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.

9

Наведите указатель мыши на запись сертификата и нажмите значок с многоточием, чтобы выполнить различные операции.

См. раздел «Операции с сертификатами доверенных хранилищ» для отделов
10

Щелкните запись сертификата со статусом "Истекший срок годности", чтобы загрузить обновленный сертификат в доверенное хранилище.

11

Щелкните Выгрузить в доверенное хранилище.

Откроется окно Выгрузить сертификат.

12

Выберите необходимые кластеры, чтобы связать их с доверенным хранилищем.

Перед выполнением операции внимательно прочитайте отображаемое предупреждающее сообщение.

13

Щелкните Выбрать файл, чтобы выбрать сертификат.

14

Щелкните Выгрузить, чтобы загрузить сертификат в доверенное хранилище для требуемых кластеров.

Операции доверия для IPsec и CAPF не поддерживаются в узлах подписчиков в управляющего концентраторе. Администратор должен выполнять эти операции локально.

Ограничения

Ограничение CH для операций с доверенными сертификатами:

  1. Если существует какая-либо служба доверия, повторное воспроизведение которой не происходит на узлах того же кластера, администратор должен выполнять эти операции на территории. Например, CAPF, IPSEC.
  2. Все операции, связанные с доверием, отправляются только узлу издателя кластера, поэтому эти операции можно выполнять только через узел pub и не из подузлов.
    1. Удаление доверия
    2. Замена доверия
    3. Распределение доверия
    4. Доверенные передачи

Ограничение удаления доверенных операций

  1. Операция может быть выполнена только через узел Pub.
  2. Если сертификат отсутствует в узле Pub и в подузлах, выполнить операцию с помощью узла "Управление" невозможно. Операция должна быть выполнена на территории.

Вкладка заданий

Вкладка заданий

На вкладке Задания отображается сводная информация обо всех выполняемых действиях. На вкладке "Задания" отображается сводная информация обо всех, завершенных и выполняемых заданиях за текущий месяц.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

3

Щелкните запись кластера на странице со списком, чтобы открыть страницу сведений о кластере.

4

Перейдите на вкладку Задания, чтобы просмотреть список заданий, выполненных за текущий месяц.

5

В раскрывающемся списке Текущий месяц выберите необходимый период для просмотра сводной информации о заданиях.

Состояние задания отображается в сводной информации о задании вместе с подробными сведениями, такими как тип задания, узел, отметка времени, сертификат и информация о продукте.

6

Щелкните запись из списка, чтобы просмотреть сведения о задании.

Откроется боковая панель, на которой отображаются сведения о задании.

7

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.

Страница "Профили"

Страница "Профили" позволяет задать такие параметры, как "Несколько серверов/много-SAN", CA-Signed vs. Self-Signed, период действия, RSA против ECDSA, длина клавиш, алгоритм хэша.

Используйте отдельные профили для каждой версии кластера. Например, если на кластере выполняется версия 12.x, вам будут доступны только функции 12.x операций с сертификатами.

При создании пользовательского профиля администратор может связать созданный пользовательский профиль с кластером.

1

Из представления клиента в Cisco Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Профили на карточке Certificate Management.

Откроется страница Профили со списком созданных профилей.

По умолчанию служба управления сертификатами предоставляет стандартный профиль, а все кластеры, доступные службе управления сертификатами, связаны с этим профилем. Это только просмотр профиля. Наведите курсор мыши на профиль и нажмите на значок с многоточием, чтобы просмотреть или скопировать профиль.

3

Наведите указатель мыши на имя профиля и нажмите значок с многоточием, чтобы выполнить различные операции, такие как.

  • Изменить

    1. Нажмите " Изменить" , чтобы изменить выбранный профиль.

  • Удалить

    1. Прочитайте предупреждение и нажмите "Удалить " , чтобы удалить выбранный профиль.

  • Копировать

    1. Нажмите Кнопку " Копировать" , чтобы скопировать выбранный профиль.

      Отображается окно Копировать пользовательский профиль.

    2. Нажмите кнопку "Создать" , чтобы обновить или изменить параметры для каждого продукта, если это необходимо. В противном случае создайте копию выбранного профиля.

4

Щелкните Добавить профиль, чтобы создать новый пользовательский профиль.

5

Введите имя профиля.

6

Установите флажок, если необходимо задать для профиля значение по умолчанию.

7

Введите описание профиля.

8

Определите различные параметры сертификата для каждого из продуктов

9

Щелкните Создать, чтобы создать профиль.

Если для пользовательского профиля задано значение по умолчанию, снимите флажок, установленный по умолчанию, в пользовательском профиле, чтобы вернуться к стандартному профилю по умолчанию.

10

(Необязательно) Свяжите профиль с кластером. Перейдите на вкладку "Кластеры " в верхнем меню, где откроется страница "Список кластеров". Профиль можно связать с кластером на странице со списком.

Срок действия для версий 11.5x и 12.5x — 5 лет независимо от значения, выбранного в раскрывающемся списке со сроками действия. Начиная с 14 версии срок действия может быть 5–20 лет.

Не выполняйте операции, обозначенные в таблице как N, в противном случае операции завершаются сбоем.

Операция с сертификатами

Поддерживаемая версия

Функционирование операции

11.5

12.5

14 и более поздние

Обновление нескольких серверовНетНетДаНесмотря на то, что эта операция выполняется для многосерверного самозаверенного сертификата, он работает только на одном узле.
Повторное использованиеНетНетДаОперация работает только с Call Manager и Call Manager ECDSA в приложении Cisco Unified CM. Эта операция поддерживается для многосерверного сертификата ЦС и многосерверного самозаверенного сертификата.
Страница "Параметры"

Система автоматически отправляет сообщение электронной почты получателям, если срок действия сертификата подходит к концу.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Настройки на карточке Certificate Management.

3

Установка Времени запуска уведомлений.

Можно задать время запуска уведомлений от 30 до 365 дней.

4

Установка частоты отправки уведомлений.

Можно задать частоту уведомлений от 1 до 30 дней.

5

Введите адрес электронной почты Получателей уведомлений.

Можно ввести не более 25 адресов электронной почты.

6

Нажмите Сохранить.

Все адресаты получают уведомления по электронной почте, как показано на рисунке, когда срок действия сертификатов подходит к концу.