Certificate Management обзор

Централизованное управление сертификатами — это облачная служба, предлагающая единое место для просмотра и управления сертификатами Cisco Unified Communications Manager, мгновенными сообщениями и присутствием, а также Cisco Unity Connection и Cisco Emergency Responder в нескольких кластерах.

Перед началом настройки:

Необходимо включить службу Certificate Management на странице управления сервисами нужного кластера. Дополнительные сведения см. в разделе Включение службы унифицированных коммуникаций на сервере управления

Централизованное управление сертификатами предоставляет следующие ключевые функции:

  • Панель с несколькими кластерами, на которой отображаются состояния сертификатов для каждого кластера.

  • Подробное описание идентификационных сертификатов и сертификатов доверенного хранилища на отдельном уровне кластера.

  • Возможность выполнения операций с сертификатами, таких как генерация CSR, выгрузка сертификата, обновление, скачивание, копирование, замена и удаление.

  • Панель мониторинга оповещений для просмотра сертификатов с истекшим или скоро истекающим сроком действия.

  • Возможность настройки уведомлений, например уведомлений по электронной почте об истечении срока действия сертификата.

  • Распределите сертификаты по нескольким доверенным хранилищам и кластерам.

  • Определите профиль сертификата с различными настройками и назначьте его кластеру.


Вы не можете распространять и заменять сертификаты в приложении Cisco Emergency Responder.

Служба управления сертификатами

Служба управления сертификатами в облачных службах унифицированных коммуникаций контролирует сертификаты для локального развертывания.

Для доступа к управлению сертификатами выполните следующие действия:

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC. на этой странице Certificate Managementная карта предоставляет функции Certificate Management и функциональные возможности

2

на карточке Certificate Management щелкните любую ссылку, чтобы получить доступ к различным функциональным возможностям управления сертификатами

В следующей таблице перечислены функциональные возможности, доступные в Certificate Management:

Вкладки

Описание

Уведомления

Отображается сводка по всем сертификатам с истекающим и истекшим сроком действия. Администратор может выполнять необходимые действия для своевременного обновления идентификационных сертификатов и сертификатов доверенного хранилища.

Кластеры

Отображает сводку статуса сертификата для разных кластеров в данной организации и позволяет администратору выполнять необходимые действия с удостоверениями или сертификатами доверенности

  • В организации можно просматривать все идентификационные сертификаты и сертификаты доверенного хранилища конкретного кластера в организации.

  • На вкладке "Задания" отображается сводная информация обо всех действиях, выполняемых с помощью сертификатов.

Профили

Проверяет соответствие сертификатов в кластере с настроенными настройками. Можно создать пользовательский профиль Certificate Management и привязывать его к кластеру.

Настройки

Настраиваются адреса электронной почты администраторов для получения уведомлений об истечении срока действия сертификатов. На странице настроек Certificate Management можно настроить все поля.

Используйте страницу « оповещения » для выполнения следующих действий:

  • Просмотр сертификатов с истекающим или истекшим сроком действия

  • Фильтрация по сертификату

  • Фильтруется по продукту для просмотра статуса сертификата.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Оповещения на карточке Certificate Management.

На странице отображаются как просроченные сертификаты, так и сертификаты с истекающим сроком действия. В сертификате перечислены такие сведения, как имя кластера, общее имя, тип сертификата, статус сертификата и дата окончания срока действия.

3

(Необязательно) Выберите один из следующих вариантов:

  • Щелкните Поиск, чтобы найти нужный сертификат.

  • Выберите один или несколько сертификатов в раскрывающемся списке « сертификат фильтров».

  • Выберите один или несколько продуктов из раскрывающегося списка « Фильтр продуктов »

Выбранные сертификаты отображаются в списке сертификатов вместе с такими сведениями, как кластер, сертификат, общее имя, тип продукта, тип, статус, имя сервера и срок действия.

4

Выберите запись на странице со списком, чтобы просмотреть сведения о сертификате.

Откроется боковая панель, на которой отображаются сведения о сертификате. Вы можете просмотреть информацию о сертификате или скопировать сертификат формата PEM. Выполните все действия, представленные в шаге 6 из этой панели.

5

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.

6

Наведите указатель мыши на запись сертификата и нажмите на значок многоточия, чтобы выполнить различные операции с удостоверяющими сертификатами и сертификатами доверенных хранилищ.

Операции с сертификатами идентификации:

  • Обновление до самозаверенного сертификата.

  • Создание CSR для подписания ЦС.

  • Загрузка сертификата для подписания ЦС, CSR генерируется на сертификате.

  • Загрузка CSR для подписания ЦС, CSR генерируется на сертификате.

  • Удаление CSR для подписания ЦС, CSR генерируется на сертификате.

Операция с сертификатами

Использование сертификата

Описание

Обновление сертификата

Используйте "Обновление сертификата", когда сертификат является самозаверенным.

Используйте "Повторное использование сертификата Tomcat", чтобы повторно использовать сертификат Tomcat для выбранной службы.

Откроется окно обновить сертификат в соответствии с параметрами профиля.

Выберите Обновить сертификат на основе выбранного на странице " Параметры профиля"

  • Повторное использование сертификата Tomcat — выберите использовать Tomcat в профиле . Функция повторного использования Tomcat включена

  • Обновить сертификат-выберите тип сертификата как самозаверяющий , обновление включено.

Прочтите предупреждающее сообщение и нажмите повторно использовать сертификат Tomcat для обновления сертификата

Создание CSR

Используйте функцию "Создание CSR" для типа сертификата "Подписание ЦС".

откроется окно сформировать CSR.

Щелкните создать , чтобы сформировать CSR.

Выгрузить сертификат

Используйте функцию "Выгрузить" для сертификатов типа "Подписание ЦС" и при созданном CSR. Вы можете загрузить цепочку сертификатов в формате .P7B или идентификационный сертификат в формате .pem или .der.

Откроется окно Выгрузить сертификат.

  1. Щелкните выбрать файл для отправки сертификата

    Перейдите на локальный компьютер и перейдите к сертификату.

  2. Щелкните Отправить , чтобы отправить сертификат.

Распространение сертификата

Используйте операцию "Распространение" для распространения сертификата по нескольким кластерам с помощью одной операции. Выберите несколько кластеров и доверенных хранилищ на концентраторе управления, сертификат будет распределяться по выбранным кластерам

Откроется окно « распространение сертификата »

  1. Выберите кластеры и доверенные хранилища, для которых необходимо распределить сертификаты.

  2. Нажмите распределить , чтобы связать сертификаты с выбранными кластерами и отношениями доверия

  3. Щелкните OK , чтобы закрыть окно «распространение сертификата»


 

Эта процедура неприменима к приложению CER.

Скачивание CSR

Используйте функцию "Скачивание CSR" для сертификатов типа "Подписание ЦС" и при созданном CSR. Можно скачать CSR, чтобы получить подпись от ЦС (центра сертификации).

щелкните загрузить CSR , чтобы загрузить запрос на подпись сертификата CSR на локальный компьютер

Удаление CSR

Используйте операцию "Удаление CSR", когда необходимо повторно сформировать CSR.

Отобразится всплывающее окно Удаление CSR.

прочтите предупреждающее сообщение и нажмите удалить , чтобы удалить запрос на подпись CSR сертификата


 

Если параметры, настроенные администратором в профиле, не соответствуют атрибутам сертификата, для сертификата появляется значок предупреждения. Например: Сертификат Tomcat является самоподписанным, но в параметрах профиля, установленном на вход CA, это приводит к несоответствии.

Не нажимайте кнопку Отправить , не зная, без проверки несоответствий, так как это может стать причиной проблем.

Операции с сертификатами хранилища Trust:

  • Замена сертификата

  • Удаление сертификата

Операция с сертификатами

Использование сертификата

Описание

Замена сертификата

Используйте функцию "Замена сертификата", чтобы заменить существующий сертификат на новый.

Откроется окно « заменить сертификат »

  1. Щелкните выбрать файл , чтобы выбрать новый сертификат.

    Перейдите на локальный компьютер и загрузите новый сертификат.

  2. Щелкните заменить , чтобы заменить сертификат.


 

Эта процедура неприменима к приложению CER.

Удаление сертификата

Используйте "Удаление сертификата", чтобы удалить сертификаты с истекшим или истекающим сроком действия.

Откроется окно Удалить сертификат.

  1. Выберите кластеры и доверенные хранилища, из которых необходимо удалить сертификаты.

  2. Щелкните Далее , чтобы удалить сертификат из выбранных кластеров и доверий.

  3. Прочтите предупреждающее сообщение и нажмите удалить , чтобы удалить сертификат


 

Возможно, произошел сбой при попытке удаления сертификата или замены доверенного сертификата , так как файл ошибок не найден. Эта ошибка появляется, если операция выполняется над несколькими кластерами с разными версиями 12.5 SU5 и 14 SU1.

Решение. Повторите операцию на узлах со сбоями. Убедитесь, что на странице "сведения о заданиях" для соответствующего кластера указана ошибка, которую не удалось удалить, поскольку она отсутствует на этом узле.

Общие операции над сертификатами хранилищ Trust и сертификатами идентификации:

  • Скачать .der

  • Скачать .pem

Тип операции сертификата

Использование сертификата

Описание

Скачать .der

Чтобы загрузить сертификат в двоичном формате, используйте "Скачать .der" . DER (Distinguished Encoding Rules) — это цифровой сертификат.

Щелкните download. der , чтобы загрузить формат DER (Binary) сертификата.

Сертификат в формате .der загружается на локальный компьютер.

Скачать .pem

Используйте "Скачать .pem", чтобы скачать сертификат в формате .pem. PEM (Privacy Enhanced Mail) — это сертификат DER, закодированный Base64, в формате ASCII.

щелкните загрузить. pem , чтобы загрузить формат pem (ASCII) сертификата.

Сертификат в формате .pem загружен на локальный компьютер.

7

Операция сертификата добавляется в список заданий. На вкладке задания можно просмотреть ход выполнения

ИЛИ

  1. Щелкните ссылку задания , чтобы просмотреть ход выполнения операции сертификата

  2. Нажмите ОК, чтобы закрыть окно сертификата.

Страница «кластеры » содержит сводку по статусу сертификата на основе кластера для всех кластеров в Организации

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

На странице со сводной информацией о кластере отображаются кластеры и такие сведения, как имя кластера, статус, продукт и профиль, связанный с кластером. Администратор может изменить связанный стандартный профиль, заданный по умолчанию, на пользовательский профиль.

3

(Необязательно) Выберите один из следующих вариантов:

  • Щелкните Поиск, чтобы найти нужный кластер.

  • В раскрывающемся списке Фильтр продуктов выберите один или несколько продуктов.

4

Щелкните запись кластера на странице "список", чтобы перейти на страницу "сведения о кластере", на которой отображаются сертификаты идентификации, связанные с выбранным кластером

Вы можете перейти на вкладку "хранилище доверия" или "задания " На вкладке "Доверенное хранилище" отображаются все сертификаты в кластере в различных доверенных хранилищах. На вкладке "Задания" отображаются операции, которые выполняются над сертификатами, и статус их выполнения.

На панели мониторинга отображаются следующие карточки:

  1. Идентификационные сертификаты

  2. Сертификаты доверенного центра

  3. Сведения о задании

Для идентификационных сертификатов и сертификатов доверенных центров отображается сводная информация о действительных сертификатах, а также сертификатов с истекшим и истекающим сроком действия. Для карточки "Задания" отображается сводка по общим, завершенным и обрабатываемым заданиям за текущий месяц.

Вкладка идентификационных сертификатов

Сертификат идентификации используется для просмотра всех сертификатов идентификации, имеющихся в кластере. Можно выполнить поиск идентификационных сертификатов или просматривать сведения о сертификате и выполнять необходимые операции.

1

в представлении «клиент» в концентраторе Webex перейдите к службам > подключенной системы унифицированных коммуникаций.

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

3

Щелкните запись кластера на странице "список", чтобы посетить страницу "сведения о кластере", на которой отображаются сертификаты идентификации, связанные с кластером


 

Для кластеров с Cisco Emergency Responder версии 12.5 или 14 сертификат tomcat-ECDSA не поддерживается.

4

(Необязательно) Щелкните Поиск, чтобы найти нужный сертификат.

5

Optional В раскрывающемся списке « Фильтр сертификатов » выберите один или несколько сертификатов, основываясь на их типе.

Сертификаты отображаются в списке сертификатов вместе с такими сведениями, как имя сервера, общее имя, тип сертификата, состояние сертификата и дата окончания срока действия.

6

Щелкните запись из списка, чтобы просмотреть сведения о сертификате.

Откроется боковая панель, на которой отображаются сведения о сертификате. Вы можете просматривать сведения о сертификате или Копировать сертификат в формате PEM. На этой панели также можно выполнить все операции, перечисленные в шаге 8

7

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.


 

Если существующий атрибут сертификата не соответствует профилю, а сертификат не соответствует требованиям, появляется сообщение о том, что этот значок установлен

8

Наведите указатель мыши на запись сертификата и нажмите значок с многоточием, чтобы выполнить различные операции. Подробные сведения см. в разделе операции с сертификатами идентификации

9

(Необязательно) Щелкните Просмотр профиля.

Отображается профиль, связанный с кластером.

Вкладка сертификатов доверенного хранилища

На вкладке Trust Store ( "хранилище доверенных сертификатов") отображаются все сертификаты в кластере по различным доверительным хранилищам

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

3

Щелкните запись кластера на странице "список", чтобы перейти на страницу "сведения о кластере"

4

Перейдите на вкладку Доверенное хранилище, чтобы просмотреть список сертификатов.

Сертификаты отображаются в списке сертификатов с такими сведениями, как общее имя, серийный номер, дата выдачи и дата окончания срока действия.

5

(Необязательно) Щелкните Поиск, чтобы найти нужный сертификат.

6

(Необязательно) В раскрывающемся списке Фильтр сертификатов выберите один или несколько сертификатов.

Сертификаты отображаются в списке сертификатов с такими сведениями, как общее имя, серийный номер, дата выдачи и дата окончания срока действия.

7

Щелкните запись из списка, чтобы просмотреть сведения о сертификате.

Откроется боковая панель, на которой отображаются сведения о сертификате. Для просмотра всех кластеров, связанных с сертификатом, см . сведения о сертификате или СКОПИРУЙТЕ сертификат формата PEM На этой панели также можно выполнить все операции, перечисленные в шаге 9.

8

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.

9

Наведите указатель мыши на запись сертификата и нажмите значок с многоточием, чтобы выполнить различные операции.

См . операции с сертификатами хранилищ Trust для детиалс.
10

Щелкните запись сертификата со статусом "Истекший срок годности", чтобы загрузить обновленный сертификат в доверенное хранилище.

11

Щелкните Выгрузить в доверенное хранилище.

Откроется окно Выгрузить сертификат.

12

Выберите необходимые кластеры, чтобы связать их с доверенным хранилищем.


 

Перед выполнением операции внимательно прочитайте отображаемое предупреждающее сообщение.

13

Щелкните Выбрать файл, чтобы выбрать сертификат.

14

Щелкните Выгрузить, чтобы загрузить сертификат в доверенное хранилище для требуемых кластеров.


 
Операции с сертификатами для доверенных хранилищ для IPsec и CAPF не поддерживаются в узлах-подписчиках в Control Hub. Администратор должен выполнять эти операции локально.

Ограничение на CH для операций доверенных сертификатов:

  1. При наличии любой доверенной службы, для которой репликация не происходит на узлах того же кластера, администратор должен выполнять эти операции локально. например, CAPF, IPSEC.
  2. Все операции доверия отправляются только на узел издателя кластера, поэтому эту операцию можно выполнять только через узел "Pub", но нельзя выполнять из дочерних узлов.
    1. Удаление отношения доверия
    2. Замена доверия
    3. Распространение отношения доверия
    4. Отправка отношения доверия

Ограничение на операции отмены доверительных отношений:

  1. Операцию можно выполнить только через узел Pub.
  2. Если сертификат отсутствует в Pub-узле и находится в подчиненных узлах, выполнение операции с помощью управляющего концентратора невозможно Операция должна быть выполнена локально.

Вкладка заданий

На вкладке Задания отображается сводная информация обо всех выполняемых действиях. На вкладке "Задания" отображается сводная информация обо всех, завершенных и выполняемых заданиях за текущий месяц.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

3

Щелкните запись кластера на странице "список", чтобы перейти на страницу "сведения о кластере"

4

Перейдите на вкладку Задания, чтобы просмотреть список заданий, выполненных за текущий месяц.

5

В раскрывающемся списке Текущий месяц выберите необходимый период для просмотра сводной информации о заданиях.

Состояние задания отображается в сводной информации о задании вместе с подробными сведениями, такими как тип задания, узел, отметка времени, сертификат и информация о продукте.

6

Щелкните запись из списка, чтобы просмотреть сведения о задании.

Откроется боковая панель, на которой отображаются сведения о задании.

7

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.

Страница "профили " позволяет определять такие параметры, как многосерверный/Multi-San, с помощью CA-signed и срок действия с собственной подписью, RSA vs ECDSA, длина ключа, алгоритм хеширования

Используйте отдельные профили для каждой версии кластера. Например, если на кластере выполняется версия 12.x, вам будут доступны только функции 12.x операций с сертификатами.

При создании пользовательского профиля администратор может связать созданный пользовательский профиль с кластером.

1

Из представления клиента в Cisco Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Профили на карточке Certificate Management.

Откроется страница Профили со списком созданных профилей.


 

По умолчанию служба управления сертификатами предоставляет стандартный профиль, а все кластеры, доступные службе управления сертификатами, связаны с этим профилем. Это только просмотр профиля. Наведите курсор мыши на профиль и нажмите на значок с многоточием, чтобы просмотреть или скопировать профиль.

3

Наведите указатель мыши на имя профиля и нажмите значок с многоточием, чтобы выполнить различные операции, такие как.

  • Изменить

    1. Щелкните Правка , чтобы изменить выбранный профиль.

  • Удалить

    1. Прочтите предупреждающее сообщение и нажмите удалить , чтобы удалить выбранный профиль

  • Копировать

    1. Щелкните Копировать , чтобы скопировать выбранный профиль

      Отображается окно Копировать пользовательский профиль.

    2. Щелкните создать , чтобы обновить или изменить настройки для каждого из продуктов, если это необходимо. В противном случае создайте копию выбранного профиля.

4

Щелкните Добавить профиль, чтобы создать новый пользовательский профиль.

5

Введите имя профиля.

6

Установите флажок, если необходимо задать для профиля значение по умолчанию.

7

Введите описание профиля.

8

Определите различные параметры сертификата для каждого из продуктов

9

Щелкните Создать, чтобы создать профиль.

Если для пользовательского профиля задано значение по умолчанию, снимите флажок, установленный по умолчанию, в пользовательском профиле, чтобы вернуться к стандартному профилю по умолчанию.

10

(Необязательно) Свяжите профиль с кластером. Нажмите вкладка «кластеры » в верхнем меню, откроется страница «список кластеров» Профиль можно связать с кластером на странице со списком.


 

Срок действия для версий 11.5x и 12.5x — 5 лет независимо от значения, выбранного в раскрывающемся списке со сроками действия. Начиная с 14 версии срок действия может быть 5–20 лет.

Не выполняйте операции, обозначенные в таблице как N, в противном случае операции завершаются сбоем.

Операция с сертификатами

Поддерживаемая версия

Функционирование операции

11.5

12.5

14 и более поздние

Обновление нескольких серверов Нет Нет Да Несмотря на то, что эта операция выполняется для многосерверного самозаверенного сертификата, он работает только на одном узле.
Повторное использование Нет Нет Да Операция работает только с Call Manager и Call Manager ECDSA в приложении Cisco Unified CM. Эта операция поддерживается для многосерверного сертификата ЦС и многосерверного самозаверенного сертификата.

Система автоматически отправляет сообщение электронной почты получателям, если срок действия сертификата подходит к концу.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Настройки на карточке Certificate Management.

3

Установка Времени запуска уведомлений.

Можно задать время запуска уведомлений от 30 до 365 дней.

4

Установка частоты отправки уведомлений.

Можно задать частоту уведомлений от 1 до 30 дней.

5

Введите адрес электронной почты Получателей уведомлений.

Можно ввести не более 25 адресов электронной почты.

6

Нажмите Сохранить.

Все адресаты получают уведомления по электронной почте, как показано на рисунке, когда срок действия сертификатов подходит к концу.