Обзор управления сертификатами

Централизованное управление сертификатами — это облачная служба, предлагающая единое место для просмотра и управления сертификатами Cisco Unified Communications Manager, мгновенными сообщениями и присутствием, а также Cisco Unity Connection и Cisco Emergency Responder в нескольких кластерах.

Перед началом настройки:

Необходимо включить службу Certificate Management на странице управления сервисами нужного кластера. Подробнее см. в разделе Включение услуг Cloud-Connected UC в Control Hub.

Централизованное управление сертификатами предоставляет следующие ключевые функции:

  • Панель с несколькими кластерами, на которой отображаются состояния сертификатов для каждого кластера.

  • Подробное описание идентификационных сертификатов и сертификатов доверенного хранилища на отдельном уровне кластера.

  • Возможность выполнения операций с сертификатами, таких как генерация CSR, выгрузка сертификата, обновление, скачивание, копирование, замена и удаление.

  • Панель мониторинга оповещений для просмотра сертификатов с истекшим или скоро истекающим сроком действия.

  • Возможность настройки уведомлений, например уведомлений по электронной почте об истечении срока действия сертификата.

  • Распределите сертификаты по нескольким доверенным хранилищам и кластерам.

  • Определите профиль сертификата с различными настройками и назначьте его кластеру.


Вы не можете распространять и заменять сертификаты в приложении Cisco Emergency Responder .

Служба управления сертификатами

Служба управления сертификатами в облачных службах унифицированных коммуникаций контролирует сертификаты для локального развертывания.

Для доступа к управлению сертификатами выполните следующие действия:

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC. Карточка Управление сертификатами на этой странице предоставляет функционал Certificate Management.

2

На карточке Certificate Management щелкните любую ссылку, чтобы получить доступ к различным функциональным возможностям управления сертификатами.

В следующей таблице перечислены функциональные возможности, доступные в Certificate Management:

Вкладки

Описание

Уведомления

Отображается сводка по всем сертификатам с истекающим и истекшим сроком действия. Администратор может выполнять необходимые действия для своевременного обновления идентификационных сертификатов и сертификатов доверенного хранилища.

Кластеры

Отображается сводная информация о статусе сертификата для кластеров в данной организации.

  • В организации можно просматривать все идентификационные сертификаты и сертификаты доверенного хранилища конкретного кластера в организации.

  • На вкладке "Задания" отображается сводная информация обо всех действиях, выполняемых с помощью сертификатов.

Профили

Используется профиль для обновления сертификата, создания CSR и проверки соответствия сертификатов. Можно создать пользовательский профиль Certificate Management и привязывать его к кластеру.

Настройки

Настраиваются адреса электронной почты администраторов для получения уведомлений об истечении срока действия сертификатов. На странице настроек Certificate Management можно настроить все поля.

Используйте страницу Оповещения для выполнения следующих действий:

  • Просмотр сертификатов с истекающим или истекшим сроком действия

  • Фильтрация по сертификату

  • Фильтруется по продукту для просмотра статуса сертификата.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Оповещения на карточке Certificate Management.

На странице отображаются как просроченные сертификаты, так и сертификаты с истекающим сроком действия. В сертификате перечислены такие сведения, как имя кластера, общее имя, тип сертификата, статус сертификата и дата окончания срока действия.

3

(Необязательно) Выберите один из следующих вариантов:

  • Щелкните Поиск, чтобы найти нужный сертификат.

  • Выберите один или несколько сертификатов из выпадающего списка Фильтр сертификатов .

  • Выберите один или несколько продуктов из выпадающего списка Фильтр продуктов.

Выбранные сертификаты отображаются в списке сертификатов вместе с такими сведениями, как кластер, сертификат, общее имя, тип продукта, тип, статус, имя сервера и срок действия.

4

Выберите запись на странице со списком, чтобы просмотреть сведения о сертификате.

Откроется боковая панель, на которой отображаются сведения о сертификате. Выберите Сведения о сертификате или Скопировать сертификат в формате PEM. Выполните все действия, представленные в шаге 6 из этой панели.

5

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.

6

Наведите указатель мыши на запись сертификата и нажмите на значок многоточия, чтобы выполнить различные операции с удостоверяющими сертификатами и сертификатами доверенных хранилищ.

Операции с сертификатами идентификации:

  • Обновление до самозаверенного сертификата.

  • Создание CSR для подписания ЦС.

  • Загрузка сертификата для подписания ЦС, CSR генерируется на сертификате.

  • Загрузка CSR для подписания ЦС, CSR генерируется на сертификате.

  • Удаление CSR для подписания ЦС, CSR генерируется на сертификате.

Операция с сертификатами

Использование сертификата

Описание

Обновление сертификата

Используйте "Обновление сертификата", когда сертификат является самозаверенным.

Используйте "Повторное использование сертификата Tomcat", чтобы повторно использовать сертификат Tomcat для выбранной службы.

В соответствии с параметрами профиля откроется окно Обновление сертификата.

Выберите "Обновление сертификата" в зависимости от выбранных параметров на странице Настройки профиля:

  • Повторное использование сертификата Tomcat: выберите Использовать Tomcat в профиле, функция повторного использования Tomcat включена.

  • Обновление сертификата: в качестве типа сертификата выберите "самозаверенный", функция обновления включена.

Прочтите предупреждающее сообщение и нажмите Повторно использовать сертификат Tomcat, чтобы обновить сертификат.

Создание CSR

Используйте функцию "Создание CSR" для типа сертификата "Подписание ЦС".

Откроется окно Создать CSR .

Нажмите Создать, чтобы создать CSR.

Выгрузить сертификат

Используйте функцию "Выгрузить" для сертификатов типа "Подписание ЦС" и при созданном CSR. Вы можете загрузить цепочку сертификатов в формате .P7B или идентификационный сертификат в формате .pem или .der.

Откроется окно Выгрузить сертификат.

  1. Щелкните Выбрать файл, чтобы выгрузить сертификат.

    Перейдите на локальный компьютер и перейдите к сертификату.

  2. Щелкните Выгрузить, чтобы выгрузить сертификат.

Распространение сертификата

Используйте операцию "Распространение" для распространения сертификата по нескольким кластерам с помощью одной операции. Выберите несколько кластеров и доверенных хранилищ в Control Hub, сертификат будет распределен по выбранным кластерам.

Откроется окно Распространение сертификата.

  1. Выберите кластеры и доверенные хранилища, для которых необходимо распределить сертификаты.

  2. Нажмите Распределить, чтобы связать сертификаты с выбранными кластерами и доверенными хранилищами.

  3. Нажмите кнопку ОК , чтобы закрыть окно "Расеределение сертификата".


 

Эта процедура неприменима к приложению CER.

Скачивание CSR

Используйте функцию "Скачивание CSR" для сертификатов типа "Подписание ЦС" и при созданном CSR. Можно скачать CSR, чтобы получить подпись от ЦС (центра сертификации).

Щелкните Скачивание CSR, чтобы загрузить запрос на подпись сертификата CSR на локальный компьютер.

Удаление CSR

Используйте операцию "Удаление CSR", когда необходимо повторно сформировать CSR.

Отобразится всплывающее окно Удаление CSR.

Прочтите предупреждающее сообщение и нажмите Удалить, чтобы удалить запрос на подпись сертификата CSR.


 

Если параметры, настроенные администратором в профиле, не соответствуют атрибутам сертификата, для сертификата появляется значок предупреждения. Пример: сертификат Tomcat является самозаверенным, но в параметрах профиля задано значение "Подписание ЦС", что приводит к несоответствию.

Не нажимайте кнопку Отправить, пока не удостоверитесь в отсутствии несоответствий, так как они могут привести к ошибкам.

Операции с Сертификатами доверенного хранилища:

  • Замена сертификата

  • Удаление сертификата

Операция с сертификатами

Использование сертификата

Описание

Замена сертификата

Используйте функцию "Замена сертификата", чтобы заменить существующий сертификат на новый.

Откроется окно Замена сертификата.

  1. Щелкните Выбрать файл, чтобы выбрать новый сертификат.

    Перейдите на локальный компьютер и загрузите новый сертификат.

  2. Щелкните Заменить, чтобы заменить сертификат.


 

Эта процедура неприменима к приложению CER.

Удаление сертификата

Используйте "Удаление сертификата", чтобы удалить сертификаты с истекшим или истекающим сроком действия.

Откроется окно Удаление сертификата.

  1. Выберите кластеры и доверенные хранилища, из которых необходимо удалить сертификаты.

  2. Щелкните Далее, чтобы удалить сертификат из выбранных кластеров и доверенных центров.

  3. Прочтите предупреждающее сообщение и нажмите Удалить, чтобы удалить сертификат.


 

Операции Удаление сертификата или Замена сертификата могут закончится с ошибкой Файл не найден . Эта ошибка появляется, если операция выполняется над несколькими кластерами с разными версиями 12.5 SU5 и 14 SU1 .

Решение : повторите операцию на узлах, на которых произошел сбой. Проверьте наличие ошибок на странице сведений о задании для соответствующего кластера, в котором говорится, что сертификат нельзя удалить из-за того, что он отсутствует на этом узле.

Общие операции над Сертификатами доверенных хранилищ и Идентификационными сертификатами:

  • Скачать .der

  • Скачать .pem

Тип операции сертификата

Использование сертификата

Описание

Скачать .der

Чтобы загрузить сертификат в двоичном формате, используйте "Скачать .der" . DER (Distinguished Encoding Rules) — это цифровой сертификат.

Щелкните Скачать .der, чтобы скачать сертификат в двоичном формате .der.

Сертификат в формате .der загружается на локальный компьютер.

Скачать .pem

Используйте "Скачать .pem", чтобы скачать сертификат в формате .pem. PEM (Privacy Enhanced Mail) — это сертификат DER, закодированный Base64, в формате ASCII.

Нажмите Скачать .pem, чтобы загрузить сертификат в формате .pem (ASCII).

Сертификат в формате .pem загружен на локальный компьютер.

7

Операция сертификата добавляется в список заданий. На вкладке Задания можно отследить статус выполнения.

ИЛИ

  1. Щелкните ссылку Задания, чтобы просмотреть статус выполнения операции сертификата.

  2. Нажмите ОК, чтобы закрыть окно сертификата.

На странице Кластеры перечислены общие сведения о статусе сертификатов по кластерам для всех кластеров организации.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

На странице со сводной информацией о кластере отображаются кластеры и такие сведения, как имя кластера, статус, продукт и профиль, связанный с кластером. Администратор может изменить связанный стандартный профиль, заданный по умолчанию, на пользовательский профиль .

3

(Необязательно) Выберите один из следующих вариантов:

  • Щелкните Поиск, чтобы найти нужный кластер.

  • В раскрывающемся списке Фильтр продуктов выберите один или несколько продуктов.

4

Выберите кластер из списка, чтобы перейти на страницу Сведения о кластере , на которой отображены идентификационные сертификаты, связанные с выбранным кластером.

Вы можете перейти на вкладки Доверенное хранилище или Задания. На вкладке "Доверенное хранилище" отображаются все сертификаты в кластере в различных доверенных хранилищах. На вкладке "Задания" отображаются операции, которые выполняются над сертификатами, и статус их выполнения.

На панели мониторинга отображаются следующие карточки:

  1. Идентификационные сертификаты

  2. Сертификаты доверенного центра

  3. Сведения о задании

Для идентификационных сертификатов и сертификатов доверенных центров отображается сводная информация о действительных сертификатах, а также сертификатов с истекшим и истекающим сроком действия. Для карточки "Задания" отображается сводка по общим, завершенным и обрабатываемым заданиям за текущий месяц.

Вкладка идентификационных сертификатов

Используйте Идентификационный сертификат для просмотра всех идентификационных сертификатов, имеющихся в кластере. Можно выполнить поиск идентификационных сертификатов или просматривать сведения о сертификате и выполнять необходимые операции.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

3

Выберите кластер из списка, чтобы перейти на страницу Сведения о кластере , на которой отображены идентификационные сертификаты, связанные с кластером.


 

Для кластеров с Cisco Emergency Responder версии 12.5 или 14 сертификат tomcat-ECDSA не поддерживается.

4

(Необязательно) Щелкните Поиск, чтобы найти нужный сертификат.

5

(Необязательно) В раскрывающемся списке Фильтр сертификатов выберите один или несколько сертификатов на основе типа.

Сертификаты отображаются в списке сертификатов вместе с такими сведениями, как имя сервера, общее имя, тип сертификата, состояние сертификата и дата окончания срока действия.

6

Щелкните запись из списка, чтобы просмотреть сведения о сертификате.

Откроется боковая панель, на которой отображаются сведения о сертификате. Выберите Сведения о сертификате или Скопировать сертификат в формате PEM. На этой панели также можно выполнить все операции, перечисленные в шаге 8

7

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.


 

Если существующий атрибут сертификата не соответствует профилю, а сертификат не соответствует требованиям, появляется Предупреждающий знак.

8

Наведите указатель мыши на запись сертификата и нажмите значок с многоточием, чтобы выполнить различные операции. Подробные сведения см. в разделе Идентификационные сертификаты.

9

(Необязательно) Щелкните Просмотр профиля.

Отображается профиль, связанный с кластером.

Вкладка сертификатов доверенного хранилища

На вкладке Доверенное хранилище перечислены все сертификаты в кластере для различных доверенных хранилищ.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

3

Щелкните запись кластера в списке, чтобы перейти на страницу Сведения о кластере .

4

Перейдите на вкладку Доверенное хранилище, чтобы просмотреть список сертификатов.

Сертификаты отображаются в списке сертификатов с такими сведениями, как общее имя, серийный номер, дата выдачи и дата окончания срока действия.

5

(Необязательно) Щелкните Поиск, чтобы найти нужный сертификат.

6

(Необязательно) В раскрывающемся списке Фильтр сертификатов выберите один или несколько сертификатов.

Сертификаты отображаются в списке сертификатов с такими сведениями, как общее имя, серийный номер, дата выдачи и дата окончания срока действия.

7

Щелкните запись из списка, чтобы просмотреть сведения о сертификате.

Откроется боковая панель, на которой отображаются сведения о сертификате. Для просмотра всех кластеров, связанных с сертификатом, см. Сведения о сертификате или Скопируйте сертификат формата PEM. На этой панели также можно выполнить все операции, перечисленные в шаге 9.

8

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.

9

Наведите указатель мыши на запись сертификата и нажмите значок с многоточием, чтобы выполнить различные операции.

10

Щелкните запись сертификата со статусом "Истекший срок годности", чтобы загрузить обновленный сертификат в доверенное хранилище.

11

Щелкните Выгрузить в доверенное хранилище.

Откроется окно Выгрузить сертификат.

12

Выберите необходимые кластеры, чтобы связать их с доверенным хранилищем.


 

Перед выполнением операции внимательно прочитайте отображаемое предупреждающее сообщение.

13

Щелкните Выбрать файл, чтобы выбрать сертификат.

14

Щелкните Выгрузить, чтобы загрузить сертификат в доверенное хранилище для требуемых кластеров.

Операции с сертификатами для доверенных хранилищ для IPsec и CAPF не поддерживаются в узлах-подписчиках в Control Hub. Администратор должен выполнять эти операции локально.

Вкладка заданий

На вкладке Задания отображается сводная информация обо всех выполняемых действиях. На вкладке "Задания" отображается сводная информация обо всех, завершенных и выполняемых заданиях за текущий месяц.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Кластеры на карточке Certificate Management.

3

Щелкните запись кластера в списке, чтобы перейти на страницу Сведения о кластере .

4

Перейдите на вкладку Задания, чтобы просмотреть список заданий, выполненных за текущий месяц.

5

В раскрывающемся списке Текущий месяц выберите необходимый период для просмотра сводной информации о заданиях.

Состояние задания отображается в сводной информации о задании вместе с подробными сведениями, такими как тип задания, узел, отметка времени, сертификат и информация о продукте.

6

Щелкните запись из списка, чтобы просмотреть сведения о задании.

Откроется боковая панель, на которой отображаются сведения о задании.

7

Щелкните Закрыть, чтобы закрыть боковую панель и вернуться к странице со списком.

Страница Профили позволяет определить настройки, такие как Multi-Server/Multi-SAN, подписанные ЦС и самозаверенные сертификаты, срок действия, RSA и ECDSA, длина ключа, хэш-алгоритм.

Используйте отдельные профили для каждой версии кластера. Например, если на кластере выполняется версия 12.x , вам будут доступны только функции 12.x операций с сертификатами.

При создании пользовательского профиля администратор может связать созданный пользовательский профиль с кластером.

1

Из представления клиента в Cisco Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Профили на карточке Certificate Management.

Откроется страница Профили со списком созданных профилей.


 

По умолчанию служба управления сертификатами предоставляет стандартный профиль, а все кластеры, доступные службе управления сертификатами, связаны с этим профилем. Это только просмотр профиля. Наведите курсор мыши на профиль и нажмите на значок с многоточием, чтобы просмотреть или скопировать профиль.

3

Наведите указатель мыши на имя профиля и нажмите значок с многоточием, чтобы выполнить различные операции, такие как .

  • Изменить

    1. Щелкните Изменить, чтобы изменить выбранный профиль.

  • Удалить

    1. Прочтите предупреждающее сообщение и нажмите Удалить, чтобы удалить выбранный профиль.

  • Копировать

    1. Щелкните Копировать, чтобы скопировать выбранный профиль.

      Отображается окно Копировать пользовательский профиль.

    2. Щелкните Создать, чтобы обновить или изменить настройки для каждого из продуктов, если это необходимо. В противном случае создайте копию выбранного профиля.

4

Щелкните Добавить профиль, чтобы создать новый пользовательский профиль.

5

Введите имя профиля.

6

Установите флажок, если необходимо задать для профиля значение по умолчанию.

7

Введите описание профиля.

8

Определите различные параметры сертификата для каждого из продуктов

9

Щелкните Создать, чтобы создать профиль.

Если для пользовательского профиля задано значение по умолчанию, снимите флажок, установленный по умолчанию, в пользовательском профиле, чтобы вернуться к стандартному профилю по умолчанию.

10

(Необязательно) Свяжите профиль с кластером. Щелкните вкладку Кластеры в верхней части меню, откроется страница со списком кластеров. Профиль можно связать с кластером на странице со списком.


 

Срок действия для версий 11.5x и 12.5x — 5 лет независимо от значения, выбранного в раскрывающемся списке со сроками действия. Начиная с 14 версии срок действия может быть 5–20 лет.

Не выполняйте операции, обозначенные в таблице как N, в противном случае операции завершаются сбоем.

Операция с сертификатами

Поддерживаемая версия

Функционирование операции

11,5

12.5

14 и более поздние

Обновление нескольких серверов Нет Нет Да Несмотря на то, что эта операция выполняется для многосерверного самозаверенного сертификата, он работает только на одном узле.
Повторное использование Нет Нет Да Операция работает только с Call Manager и Call Manager ECDSA в приложении Cisco Unified CM. Эта операция поддерживается для многосерверного сертификата ЦС и многосерверного самозаверенного сертификата .

Система автоматически отправляет сообщение электронной почты получателям, если срок действия сертификата подходит к концу.

1

Из представления клиента в Webex Control Hub перейдите в раздел Сервисы > Подключенная система UC.

Отобразится страница Подключенная система UC.

2

Щелкните Настройки на карточке Certificate Management.

3

Установка Времени запуска уведомлений.

Можно задать время запуска уведомлений от 30 до 365 дней.

4

Установка частоты отправки уведомлений.

Можно задать частоту уведомлений от 1 до 30 дней.

5

Введите адрес электронной почты Получателей уведомлений.

Можно ввести не более 25 адресов электронной почты.

6

Щелкните Сохранить.

Все адресаты получают уведомления по электронной почте, как показано на рисунке, когда срок действия сертификатов подходит к концу.