Обзор управления сертификатами

Централизованное управление сертификатами – это облачная служба, предлагающая единое место для просмотра и управления сертификатами Cisco Unified Communications Manager, мгновенными сообщениями и состоянием доступности, а также Cisco Unity Connection и Cisco Emergency Responder в нескольких кластерах.

Перед началом работы.

Необходимо включить службу управления сертификатами на странице "Управление службами" для необходимого кластера. Дополнительную информацию см. в статье Включение служб Cloud-Connected UC в Control Hub.

Централизованное управление сертификатами предлагает следующие ключевые функции:

  • Инструментальная панель с несколькими кластерами, на которой отображается состояние сертификата для каждого кластера.

  • Подробное представление идентификационных сертификатов и сертификатов доверия на отдельном уровне кластера.

  • Возможность выполнения операций с сертификатами, таких как создание CSR, загрузка сертификата, обновление, скачивание, копирование, замена и удаление.

  • Инструментальная панель предупреждений для просмотра сертификатов с истекшим и скоро истекающим сроком действия.

  • Возможность настройки уведомлений, например уведомлений по электронной почте об истечении срока действия сертификата.

  • Распределите сертификаты между несколькими доверенными хранилищами и кластерами.

  • Определите профиль сертификата с различными настройками и назначьте кластеру.

Невозможно распространять и заменять сертификаты в приложении Cisco Emergency Responder.

Доступ к службе управления сертификатами

Служба управления сертификатами в пакете служб Cloud-Connected UC управляет сертификатами для локального развертывания.

Чтобы получить доступ к системе управления сертификатами, выполните следующие действия.

1

В окне просмотра информации о клиенте в Webex Control Hub перейдите к меню Службы > Подключенная система UC.

Будет отображена страница Connected UC. Карточка Certificate Management на этой странице предоставляет функции и функциональные возможности управления сертификатами.

2

На карточке Certificate Management щелкните любую ссылку, чтобы получить доступ к различным функциям управления сертификатами.

В следующей таблице перечислены функции, доступные в системе управления сертификатами.

Вкладки

Описание

Предупреждения

Отображает сводную информацию обо всех сертификатах с истекшим и истекающим сроком действия. Чтобы поддерживать актуальность сертификатов удостоверений или доверенных сертификатов, администратор может выполнить необходимые действия.

Кластеры

Отображает сводную информацию о состоянии сертификатов по кластерам в данной организации и позволяет администратору выполнять необходимые действия в отношении идентификационных сертификатов или сертификатов доверия.

  • Можно просматривать все идентификационные сертификаты и сертификаты доверия определенного кластера в организации.

  • На вкладке "Задания" отображается сводная информация обо всех действиях, выполненных с сертификатами.

Профили

Проверяет, соответствуют ли сертификаты в кластере настроенным настройкам. Можно создать пользовательский профиль управления сертификатами и связать его с кластером.

Настройки

Настройте адреса электронной почты администраторов для получения уведомлений об истечении срока действия сертификата. Все поля можно настроить на странице "Настройки" системы управления сертификатами.
Страница предупреждений

На странице Предупреждения выполните приведенные ниже действия.

  • Просмотр сертификатов с истекшим или скоро истекающим сроком действия

  • Отфильтровать по сертификату

  • Отфильтруйте по продукту, чтобы просмотреть состояние сертификата.

1

В окне просмотра информации о клиенте в Webex Control Hub перейдите к меню Службы > Подключенная система UC.

Будет отображена страница Connected UC.

2

Щелкните Предупреждения на карточке Certificate Management .

На странице отображаются сертификаты с истекшим сроком действия и сертификаты с истекшим сроком действия. В сертификатах перечислены сведения, такие как имя кластера, общее имя, тип сертификата, состояние сертификата и дата истечения срока действия.

3

(Необязательно) Выберите один из приведенных ниже параметров.

  • Щелкните Поиск , чтобы найти определенный сертификат.

  • Выберите один или несколько сертификатов в раскрывающемся списке Фильтр сертификатов .

  • Выберите один или несколько продуктов в раскрывающемся списке Фильтр продуктов .

Выбранные сертификаты отображаются в списке сертификатов вместе с такими сведениями, как кластер, сертификат, общее имя, продукт, тип, состояние, имя сервера и истечение срока действия.

4

Выберите запись на странице со списком, чтобы просмотреть сведения о сертификате.

Откроется боковая панель для отображения сведений о сертификате. Можно просмотреть сведения о сертификате или скопировать сертификат в формате PEM. Выполните все операции, перечисленные в шаге 6 из этой панели.

5

Щелкните Закрыть , чтобы закрыть боковую панель и вернуться на страницу со списком.

6

Наведите указатель мыши на запись сертификата и щелкните многоточие, чтобы выполнить различные операции с сертификатами удостоверения и доверенного хранилища.

Операции с сертификатами удостоверений :

  • Обновите сертификат для самоподписанного сертификата.

  • Создайте CSR для подписания ЦС.

  • Загрузка сертификата для подписания ЦС, и на сертификате создается CSR.

  • Скачивание CSR для подписания ЦС, и на сертификате создается CSR.

  • Удаление CSR для подписания ЦС, и на сертификате создается CSR.

Операция с сертификатом

Использование сертификата

Описание

Обновить сертификат

Используйте функцию "Обновить сертификат", если сертификат является самоподписанным.

Чтобы повторно использовать сертификат Tomcat для выбранной службы, используйте параметр "Повторно использовать сертификат Tomcat".

В зависимости от настроек профиля отображается окно Обновление сертификата .

Выберите действие "Обновить сертификат" в зависимости от выбранных параметров на странице Настройки профиля .

  • Повторно использовать сертификат Tomcat – выберите Использовать Tomcat в профиле. Параметр повторного использования Tomcat включен.

  • Обновить сертификат – выберите Тип сертификата как самоподписанный. Обновление включено.

Прочтите предупреждающее сообщение и Щелкните Повторно использовать сертификат Tomcat , чтобы обновить сертификат.

Создать CSR

Используйте операцию "Создать CSR", если типом сертификата является подпись ЦС.

Откроется окно Создать CSR .

Щелкните Создать , чтобы создать CSR.

Загрузить сертификат

Используйте операцию "Загрузить", если типом сертификата является подпись ЦС и CSR уже создан. Можно загрузить цепочку сертификатов в формате P7B или сертификата удостоверения в формате PEM или DER.

Отобразится окно Загрузить сертификат .

  1. Щелкните Выбрать файл , чтобы загрузить сертификат.

    Найдите и загрузите сертификат с локального компьютера.

  2. Щелкните Загрузить , чтобы загрузить сертификат.

Распределить сертификат

Используйте операцию распределения для распределения сертификата по нескольким кластерам в рамках одной операции. Выберите несколько кластеров и хранилищ доверия в Control Hub. Сертификат будет распределен по выбранным кластерам.

Отобразится окно Распространение сертификата .

  1. Выберите кластеры и доверенные хранилища, в которые необходимо распространить сертификаты.

  2. Щелкните Распределить , чтобы связать сертификаты с выбранными кластерами и доверенными хранилищами.

  3. Щелкните ОК , чтобы закрыть окно "Распространение сертификата".

Эта процедура не работает в приложении CER.

Скачать CSR

Используйте функцию скачивания CSR, если типом сертификата является подпись ЦС и CSR уже создан. Можно скачать CSR, чтобы получить его подпись от ЦС (центра сертификации).

Щелкните Скачать CSR, чтобы загрузить запрос на подпись сертификата CSR на локальный компьютер.

Удалить CSR

Используйте операцию "Удалить CSR", когда необходимо повторно создать CSR.

Откроется окно Удалить CSR .

Прочтите предупреждающее сообщение и Щелкните Удалить, чтобы удалить запрос на подпись сертификата CSR.

Если параметры, настроенные администратором в профиле, не соответствуют атрибутам сертификата, для сертификата отображается значок предупреждения. Пример: Сертификат Tomcat является самоподписанным, но в настройках профиля задано значение "Подписанный ЦС". Это приводит к несоответствию.

Не нажимайте кнопку Отправить непреднамеренно без проверки несоответствия, поскольку это может привести к ошибкам.

Операции с сертификатами доверенного хранилища :

  • Заменить сертификат

  • Удалить сертификат

Операция с сертификатом

Использование сертификата

Описание

Заменить сертификат

Используйте функцию "Заменить сертификат", чтобы заменить существующий сертификат новым.

Откроется окно Замена сертификата .

  1. Щелкните Выбрать файл , чтобы выбрать новый сертификат.

    Найдите и загрузите новый сертификат со своего локального компьютера.

  2. Щелкните Заменить , чтобы заменить сертификат.

Эта процедура не работает в приложении CER.

Удалить сертификат

Используйте параметр "Удалить сертификат", если администратор хочет удалить сертификат с истекшим сроком действия.

Откроется окно Удалить сертификат .

  1. Выберите кластеры и доверенные хранилища, из которых необходимо удалить сертификаты.

  2. Щелкните Далее , чтобы удалить сертификат из выбранных кластеров и доверенных сертификатов.

  3. Прочтите предупреждающее сообщение и Щелкните Удалить , чтобы удалить сертификат.

Операция Удаление сертификата или Замена сертификата может завершиться ошибкой Файл не найден. Эта ошибка появляется при выполнении операции на многих кластерах со смешанными версиями 12.5 SU5 и 14 SU1.

Решение. Повторите операцию на узлах, на которых возникла ошибка. Проверьте ошибку на странице сведений о задачах для соответствующего кластера, в результате чего сертификат не может быть удален, так как он отсутствует на этом узле.

Общие операции с сертификатами доверенного хранилища и сертификатами удостоверений :

  • Скачать файл .der

  • Скачать файл .pem

Тип операции с сертификатом

Использование сертификата

Описание

Скачать файл .der

Чтобы скачать сертификат в двоичном формате, используйте Download.der. DER (Distinguished Encoding Rules) — это цифровой сертификат.

Щелкните Скачать .der, чтобы скачать сертификат в двоичном формате.

Сертификат .der загружается на локальный компьютер.

Скачать файл .pem

Чтобы скачать сертификат в формате .pem, используйте файл Download.pem. PEM (Privacy Enhanced Mail) — это сертификат DER с кодировкой Base64 в формате ASCII.

Щелкните Скачать .pem, чтобы скачать сертификат в формате .pem (ASCII).

Сертификат в формате .pem загружается на локальный компьютер.

7

Операция сертификата добавляется в список заданий. Состояние выполнения можно просмотреть на вкладке Задания .

ИЛИ

  1. Щелкните ссылку Задания , чтобы просмотреть ход выполнения операции сертификата.

  2. Щелкните ОК , чтобы закрыть окно сертификата.

Доступ к странице кластеров

На странице Кластеры отображается сводная информация о состоянии сертификата для каждого кластера в организации.

1

В окне просмотра информации о клиенте в Webex Control Hub перейдите к меню Службы > Подключенная система UC.

Будет отображена страница Connected UC.

2

Щелкните Кластеры на карточке Certificate Management .

На странице сводной информации о кластере отображаются кластеры с подробными сведениями, такими как имя кластера, состояние, продукт и профиль, связанные с кластером. Администратор может изменить связь стандартного профиля по умолчанию с пользовательским профилем для кластера.

3

(Необязательно) Выберите один из приведенных ниже параметров.

  • Щелкните Поиск , чтобы найти определенный кластер.

  • В раскрывающемся списке Фильтр продуктов выберите один или несколько продуктов.

4

Щелкните запись кластера на странице списка, чтобы перейти на страницу Сведения о кластере , на которой отображаются сертификаты удостоверений, связанные с выбранным кластером.

Можно перейти на вкладку Доверенное хранилище или Задания . На вкладке «Доверенное хранилище» отображаются все сертификаты в кластере в различных доверенных хранилищах. На вкладке "Задания" перечислены операции, выполняемые с сертификатами, и состояние действия.

На панели отчетов отображаются следующие карточки:

  1. Сертификаты удостоверений

  2. Сертификаты доверия

  3. Сведения о заданиях

Для идентификационных сертификатов и сертификатов доверия отображается сводная информация о действительных сертификатах, срок действия которых истек или скоро истечет. В карточке "Задания" отображается сводная информация об общем, завершенном и ожидаемом задании за текущий месяц.

Вкладка "Сертификат удостоверения доступа"

Вкладка "Сертификат удостоверения доступа"

Используйте сертификат удостоверения для просмотра всех сертификатов удостоверений, присутствующих в кластере. Можно выполнить поиск определенного сертификата удостоверения или просмотреть сведения о сертификате и выполнить необходимые операции.
1

В окне просмотра информации о клиенте в Webex Control Hub перейдите к меню Службы> Подключенная система UC.

Будет отображена страница Connected UC.

2

Щелкните Кластеры на карточке Certificate Management .

3

Щелкните запись кластера на странице списка, чтобы перейти на страницу Сведения о кластере , на которой отображаются сертификаты удостоверений, связанные с кластером.

Для кластеров с Cisco Emergency Responder версии 12.5 или 14 сертификат tomcat-ECDSA не поддерживается.

4

(Необязательно) Щелкните Поиск , чтобы найти определенный сертификат.

5

(Необязательно) В раскрывающемся списке Фильтр сертификатов выберите один или несколько сертификатов в зависимости от типа.

Сертификаты отображаются в списке сертификатов вместе с такими сведениями, как имя сервера, общее имя, тип сертификата, состояние сертификата и дата истечения срока действия.

6

Щелкните запись на странице со списком, чтобы просмотреть сведения о сертификате.

Откроется боковая панель для отображения сведений о сертификате. Можно просмотреть сведения о сертификате или скопировать сертификат в формате PEM. На этой панели также можно выполнить все операции, перечисленные в шаге 8.

7

Щелкните Закрыть , чтобы закрыть боковую панель и вернуться на страницу со списком.

Предупреждающий знак отображается, если существующий атрибут сертификата не соответствует профилю и сертификат не соответствует требованиям.

8

Наведите указатель мыши на запись сертификата и щелкните многоточие, чтобы выполнить различные операции. Подробные сведения см. в разделе Операции с сертификатами удостоверений .

9

(Необязательно) Щелкните Просмотр профиля.

Отобразится профиль, связанный с кластером.

Вкладка хранилища доверия доступа

Вкладка хранилища доверия доступа

На вкладке Доверенное хранилище перечислены все сертификаты в кластере в различных доверенных хранилищах.
1

В окне просмотра информации о клиенте в Webex Control Hub перейдите к меню Службы > Подключенная система UC.

Будет отображена страница Connected UC.

2

Щелкните Кластеры на карточке Certificate Management .

3

Щелкните запись кластера на странице списка, чтобы перейти на страницу Сведения о кластере .

4

Щелкните вкладку Доверенное хранилище , чтобы просмотреть список сертификатов.

Сертификаты отображаются в списке сертификатов с такими сведениями, как общее имя, серийный номер, дата выдачи, состояние и дата истечения срока действия.

5

(Необязательно) Щелкните Поиск , чтобы найти определенный сертификат.

6

(Необязательно) В раскрывающемся списке Фильтр сертификатов выберите один или несколько сертификатов.

Сертификаты отображаются в списке сертификатов с такими сведениями, как общее имя, серийный номер, дата выдачи, состояние и дата истечения срока действия.

7

Щелкните запись на странице со списком, чтобы просмотреть сведения о сертификате.

Откроется боковая панель для отображения сведений о сертификате. Для просмотра всех кластеров, связанных с сертификатом, см. раздел Сведения о сертификате или Копирование сертификата в формате PEM. На этой панели также можно выполнить все операции, перечисленные в шаге 9.

8

Щелкните Закрыть , чтобы закрыть боковую панель и вернуться на страницу со списком.

9

Наведите указатель мыши на запись сертификата и щелкните многоточие, чтобы выполнить различные операции.

Подробные сведения см. в статье Операции с сертификатами доверенного хранилища .
10

Щелкните запись сертификата с состоянием "Истек срок действия", чтобы загрузить обновленный сертификат в доверенное хранилище.

11

Щелкните Загрузить в хранилище доверия.

Отобразится окно Загрузить сертификат .

12

Выберите необходимые кластеры, чтобы связать их с доверенным хранилищем.

Перед выполнением операции внимательно прочитайте отображаемое предупреждающее сообщение.

13

Щелкните Выбрать файл , чтобы найти сертификат.

14

Щелкните Загрузить , чтобы загрузить сертификат в доверенное хранилище для необходимых кластеров.

Операции доверия для IPsec и CAPF не поддерживаются на узлах подписчиков в Control Hub. Администратор должен выполнять эти операции локально.

Ограничения

Ограничение CH для операций с сертификатами доверия:

  1. При наличии какой-либо службы доверия, для которой репликация не происходит на узлах в одном кластере, администратор должен выполнить эти операции локально. Например: capf, ipsec.
  2. Все операции, связанные с доверием, отправляются только на узел издателя кластера, поэтому операция может быть выполнена только через узел pub, а не с подузлов.
    1. Удалить доверие
    2. Заменить доверие
    3. Распределить доверие
    4. Загрузить доверенность

Ограничения в отношении операций удаления доверия.

  1. Операция может быть выполнена только через узел Pub.
  2. Если сертификат отсутствует в узле Pub и присутствует на подузлах, выполнить операцию невозможно в Control Hub. Операция должна выполняться локально.

Вкладка "Задания доступа"

Вкладка "Задания доступа"

На вкладке Задания отображается сводная информация обо всех выполненных операциях. На вкладке "Задания" отображается сводная информация об общем, завершенном и ожидаемом задании за текущий месяц.

1

В окне просмотра информации о клиенте в Webex Control Hub перейдите к меню Службы > Подключенная система UC.

Будет отображена страница Connected UC.

2

Щелкните Кластеры на карточке Certificate Management .

3

Щелкните запись кластера на странице списка, чтобы перейти на страницу Сведения о кластере .

4

Щелкните вкладку Задания , чтобы просмотреть список заданий, выполненных в текущем месяце.

5

В раскрывающемся списке Текущий месяц выберите необходимый период для просмотра сводной информации о задании.

Состояние задания отображается в сводной информации о задании вместе с такими сведениями, как тип задания, узел, метка времени, сертификат и информация о продукте.

6

Щелкните запись на странице со списком, чтобы просмотреть сведения о задании.

Откроется боковая панель для отображения сведений о задании.

7

Щелкните Закрыть , чтобы закрыть боковую панель и вернуться на страницу со списком.

Страница профилей доступа

На странице Профили можно определить такие параметры, как многосерверный/многосерверный SAN, подписанный ЦС и самоподписанный, срок действия, RSA и ECDSA, длина ключа, хэш-алгоритм.

Используйте отдельные профили для каждой версии кластера. Например, если на кластере запущена версия 12.x, во время выполнения операций с сертификатами должны отображаться только функции 12.x.

При создании пользовательского профиля администратор может связать только созданный пользовательский профиль с кластером.

1

В окне просмотра информации о клиенте в Cisco Webex Control Hub перейдите к меню Службы > Подключенная система UC.

Будет отображена страница Connected UC.

2

Щелкните Профили на карточке Certificate Management .

Отобразится страница Профили со списком созданных профилей.

По умолчанию служба управления сертификатами предоставляет стандартный профиль, и с этим профилем связаны все кластеры, для которых включена служба управления сертификатами. Это профиль только на просмотр. Наведите указатель мыши на профиль и щелкните многоточие, чтобы просмотреть или скопировать профиль.

3

Наведите указатель мыши на имя профиля и щелкните многоточие, чтобы выполнить различные операции, например:

  • Правка

    1. Щелкните Правка , чтобы отредактировать выбранный профиль.

  • Удалить

    1. Прочтите предупреждающее сообщение и Щелкните Удалить , чтобы удалить выбранный профиль.

  • Копировать

    1. Щелкните Копировать , чтобы скопировать выбранный профиль.

      Откроется окно Копировать пользовательский профиль .

    2. При необходимости щелкните Создать , чтобы обновить или изменить настройки для каждого продукта. В противном случае создайте копию выбранного профиля.

4

Щелкните Добавить профиль , чтобы создать новый пользовательский профиль.

5

Введите имя профиля.

6

Установите флажок, если необходимо задать для профиля значение по умолчанию.

7

Введите описание профиля.

8

Определите различные настройки сертификатов для каждого продукта

9

Щелкните Создать , чтобы создать профиль.

Если для пользовательского профиля установлено значение по умолчанию, снимите флажок по умолчанию в пользовательском профиле, чтобы вернуться к стандартному профилю по умолчанию.

10

(Необязательно) Свяжите профиль с кластером. Щелкните вкладку Кластеры в верхнем меню. Отобразится страница списка кластеров. Профиль можно связать с кластером на странице со списком.

Срок действия версий 11.5x и 12.5x составляет 5 лет независимо от значения, выбранного в раскрывающемся списке срока действия. Начиная с выпуска 14, срок действия может составлять от 5 до 20 лет.

Не выполняйте операции, перечисленные в таблице как N, в противном случае они будут неудачными.

Операция с сертификатом

Поддерживаемая версия

Функционирование операции

11.5

12.5

14 и позже

Обновить несколько серверовНетНетДаНесмотря на то, что эта операция выполняется на нескольких серверах самозаверяющего сертификата, она работает только на одном узле.
Использовать повторноНетНетДаОперация работает только в Call Manager и Call Manager ECDSA в приложении Cisco Unified CM. Эта операция работает как для многосерверного сертификата, подписанного центром сертификации, так и для многосерверного самоподписанного сертификата.
Страница настроек доступа

Система автоматически отправляет сообщение электронной почты получателям, когда срок действия сертификата подходит к концу.

1

В окне просмотра информации о клиенте в Webex Control Hub перейдите к меню Службы > Подключенная система UC.

Будет отображена страница Connected UC.

2

Щелкните Настройки на карточке Certificate Management .

3

Установите Время начала уведомлений.

Можно задать время начала уведомлений от 30 до 365 дней.

4

Задайте Частота уведомлений.

Можно задать частоту уведомлений от 1 до 30 дней.

5

Введите адрес электронной почты получателей уведомлений.

Можно ввести не более 25 адресов электронной почты.

6

Щелкните Сохранить.

Все получатели получают уведомление по электронной почте, как показано на изображении, когда срок действия сертификатов приближается.