Certificate Management Огляд

Centralized Certificate Management – це хмарна служба, яка пропонує єдине місце для перегляду та керування сертифікатами Cisco Unified Communications Manager, IM and Presence та Cisco Unity Connection та Cisco Emergency Responder у кількох кластерах.

Перш ніж почати

Необхідно включити службу Certificate Management на сторінці Управління службами для потрібного кластера. Щоб отримати додаткові відомості, перегляньте статтю Увімкнення служб UC, підключених до хмари, у Control Hub.

Централізована Certificate Management пропонує такі ключові функції:

  • Панель керування кількома кластерами, що показує статус сертифіката для кожного кластера.

  • Детальний перегляд сертифікатів ідентичності та довіри на рівні окремого кластера.

  • Можливість виконувати операції з сертифікатами, такі як створення CSR, завантаження сертифіката, поновлення, завантаження, копіювання, заміна та видалення.

  • Сповіщає інформаційну панель для перегляду сертифікатів, термін дії яких закінчився та скоро закінчується.

  • Можливість налаштування сповіщень, таких як сповіщення електронною поштою, про закінчення терміну дії сертифіката.

  • Розподіліть сертифікати між кількома надійними сховищами та кластерами.

  • Визначте профіль сертифіката з різними налаштуваннями та призначте його кластеру.

Не можна розповсюджувати та замінювати сертифікати в програмі Cisco Emergency Responder.

Доступ до служби Certificate Management

Служба Certificate Management у наборі служб UC, підключеного до хмари, керує сертифікатами для локального розгортання.

Щоб отримати доступ до Certificate Management, виконайте наступні дії:

1

У поданні клієнта в Webex Control Hub перейдіть до розділу Services > Connected UC.

З'явиться сторінка Connected UC . Картка Certificate Management на цій сторінці надає Certificate Management функції та можливості.

2

Certificate ManagementНа картці натисніть будь-яке посилання, щоб отримати доступ до різних функцій керування сертифікатами.

У наведеній нижче таблиці перелічено функціональні можливості, доступні в Certificate Management:

Вкладки

Опис

Оповіщення

Відображає підсумок усіх сертифікатів, термін дії яких закінчився та закінчився. Адміністратор може вжити необхідних заходів щодо сертифікатів посвідчення або довіри, щоб підтримувати їх в актуальному стані.

Кластери

Відображає підсумок стану сертифікатів у різних кластерах певної організації та дозволяє адміністратору вжити необхідних заходів щодо сертифікатів ідентичності або довіри.

  • Можна переглянути всі сертифікати посвідчення та довіри певного кластера в організації.

  • Вкладка Завдання показує підсумок всіх дій, які виконуються над сертифікатами.

Профілі

Перевіряє, що сертифікати в кластері відповідають налаштованим параметрам. Ви можете створити профіль Custom Certificate Management і пов'язати їх із кластером.

Налаштування

Налаштуйте електронні адреси адміністраторів для отримання сповіщень про закінчення терміну дії сертифіката. Усі поля можна налаштувати на сторінці Налаштування Certificate Management.
Сторінка сповіщень про доступ

На сторінці «Оповіщення» можна виконати такі дії:

  • Перегляд сертифікатів із вичерпаним терміном дії або терміном дії скоро закінчуються

  • Фільтр за сертифікатом

  • Фільтруйте за товаром, щоб переглянути статус сертифіката.

1

У поданні клієнта в Webex Control Hub перейдіть до розділу Services > Connected UC.

З'явиться сторінка Connected UC .

2

Натисніть Сповіщення з Certificate Management картки.

На сторінці відображаються як прострочені, так і скоро закінчуються сертифікати. Сертифікати містять такі відомості, як ім'я кластера, загальне ім'я, тип сертифіката, статус сертифіката та дата закінчення терміну дії.

3

(Необов'язково.) Виберіть один із наведених нижче варіантів.

  • Натисніть Пошук , щоб знайти певний сертифікат.

  • Виберіть один або кілька сертифікатів із розкривного списку Фільтр сертифікатів .

  • Виберіть один або кілька продуктів зі спадного списку «Фільтр товарів ».

Вибрані сертифікати відображаються у списку сертифікатів разом із такими відомостями, як «Кластер», «Сертифікат», «Загальне ім'я», «Продукт», «Тип», «Статус», «Ім'я сервера» та «Термін дії».

4

Виберіть запис на сторінці списку, щоб переглянути відомості про сертифікат.

Відкриється бічна панель для відображення відомостей про сертифікат. Ви можете переглянути відомості про сертифікат або Копіювати сертифікат формату PEM. Виконайте всі операції, перелічені в кроці 6 з цієї панелі.

5

Натисніть «Закрити », щоб закрити бічну панель і повернутися на сторінку списку.

6

Наведіть курсор на запис сертифіката та клацніть три крапки, щоб виконати різні операції з сертифікатами Identity та Trust Store.

Операціями з ідентифікаційними сертифікатами є:

  • Продовжити сертифікат для самостійного підписання.

  • Згенеруйте CSR для підписаного ЦС.

  • Завантажити сертифікат для ЦС підписано, і на сертифікаті згенеровано CSR.

  • Завантажте CSR для ЦС Підписано, і на сертифікаті буде згенеровано CSR.

  • Видаліть CSR для підписаного ЦС, і на сертифікаті буде створено CSR.

Робота сертифіката

Використання сертифіката

Опис

Продовжити сертифікат

Використовуйте функцію «Поновити сертифікат», якщо сертифікат підписано самостійно.

Використовуйте сертифікат Tomcat повторно, якщо ви хочете повторно використовувати сертифікат Tomcat для вибраної послуги.

Вікно «Поновити сертифікат» відображається залежно від налаштувань профілю.

Виберіть дію «Поновити сертифікат» на основі вибору на сторінці «Налаштування профілю», а саме:

  • Повторне використання сертифіката Tomcat - виберіть Використовувати Tomcat у профілі, опція Повторне використання Tomcat увімкнена.

  • Продовжити сертифікат - виберіть Тип сертифіката як самопідписаний, Продовжити включено.

Прочитайте попередження та натисніть Повторно використовувати сертифікат Tomcat, щоб поновити сертифікат.

Створення CSR

Використовуйте операцію «Створити CSR», коли тип сертифіката підписано ЦС.

З'явиться вікно Створити CSR .

Натисніть «Створити », щоб згенерувати CSR.

Завантажити сертифікат

Використовуйте операцію завантаження, коли тип сертифіката підписано ЦС, а CSR вже згенеровано. Ви можете завантажити ланцюжок сертифікатів у форматі . P7B або сертифікат ідентифікації у форматі .pem або .der.

З'явиться вікно Завантажити сертифікат .

  1. Натисніть Вибрати файл , щоб завантажити сертифікат.

    Перегляньте та завантажте сертифікат зі свого локального комп'ютера.

  2. Натисніть Завантажити , щоб завантажити сертифікат.

Розповсюджувати сертифікат

Використовуйте операцію розподілу, щоб розподілити сертифікат між кількома кластерами за одну операцію. Виберіть кілька кластерів і сховищ довіри на Control Hub, сертифікат розподіляється між вибраними кластерами.

З'явиться вікно «Розподілити сертифікат».

  1. Виберіть кластери та трасти, серед яких потрібно розподілити сертифікати.

  2. Натисніть «Розподілити », щоб пов'язати сертифікати з вибраними кластерами та трастами.

  3. Натисніть кнопку ОК, щоб закрити вікно «Розподілити сертифікат».

Ця процедура не працює для застосування CER.

Завантажити CSR

Використовуйте функцію «Завантажити CSR», коли тип сертифіката підписано ЦС і CSR вже згенеровано. Ви можете завантажити CSR, щоб підписати його центром сертифікації (центром сертифікації).

Натисніть Завантажити CSR, щоб завантажити запит на підписання сертифіката CSR на свій локальний комп'ютер.

Видалити CSR

Використовуйте операцію Видалити CSR, коли CSR потрібно регенерувати.

Відкриється вікно Видалити CSR .

Прочитайте попередження та натисніть «Видалити», щоб видалити запит на підписання сертифіката CSR.

Якщо налаштування, налаштовані адміністратором у профілі, не збігаються з атрибутами сертифіката, проти сертифіката з'являється значок попередження. Приклад: сертифікат Tomcat самопідписаний, але в налаштуваннях профілю встановлено підписаний ЦС, це призводить до невідповідності.

Не натискайте Надіслати несвідомо, не перевіривши невідповідності, оскільки це може призвести до проблем.

Операції з сертифікатами Trust Store:

  • Замінити сертифікат

  • Видалити сертифікат

Робота сертифіката

Використання сертифіката

Опис

Замінити сертифікат

За допомогою кнопки Замінити сертифікат можна замінити наявний сертифікат новим.

З'явиться вікно Замінити сертифікат.

  1. Натисніть «Вибрати файл», щоб вибрати новий сертифікат.

    Перегляньте та завантажте новий сертифікат зі свого локального комп'ютера.

  2. Натисніть Замінити , щоб замінити сертифікат.

Ця процедура не працює для застосування CER.

Видалити сертифікат

Використовуйте опцію Видалити сертифікат, якщо адміністратор хоче видалити сертифікат, термін дії якого закінчується найближчим часом.

З'явиться вікно Видалити сертифікат .

  1. Виберіть кластери та трасти, з яких потрібно видалити сертифікати.

  2. Натисніть «Далі », щоб видалити сертифікат із вибраних кластерів і трастів.

  3. Прочитайте попереджувальне повідомлення та натисніть Видалити , щоб видалити сертифікат.

Операція "Видалити сертифікат" або "Замінити сертифікат " може завершитися помилкою Файл не знайдено. Ця помилка з'являється, коли операція виконується на багатьох кластерах зі змішаними версіями релізів 12.5 SU5 і 14 SU1.

Рішення: Повторіть спробу операції на вузлах, що вийшли з ладу. Перевірте помилку на сторінці відомостей про Jobs для відповідного кластера, на якій написано: Сертифікат не вдалося видалити, оскільки він відсутній на цьому вузлі.

Поширеними операціями із сертифікатами Trust Store і сертифікатами посвідчення є:

  • Завантажити домен .der

  • Завантажити файл .pem

Тип операції сертифіката

Використання сертифіката

Опис

Завантажити домен .der

Використовуйте Download.der для завантаження двійкового формату сертифіката. DER (Distinct Encoding Rules) – це цифровий сертифікат.

Натисніть Завантажити .der, щоб завантажити .der (двійковий) формат сертифіката.

Сертифікат .der буде завантажено на ваш локальний комп'ютер.

Завантажити файл .pem

Використовуйте Download.pem, щоб завантажити сертифікат у форматі .pem. PEM (Privacy Enhanced Mail) — це сертифікат DER із кодуванням Base64 у форматі ASCII.

Натисніть Завантажити .pem, щоб завантажити сертифікат у форматі .pem (ASCII).

Сертифікат .pem буде завантажено на ваш локальний комп'ютер.

7

Операція сертифіката додається до списку Вакансії. Ви можете переглянути прогрес на вкладці Вакансії .

АБО

  1. Натисніть на посилання Вакансії , щоб переглянути хід виконання операції сертифіката.

  2. Натисніть OK , щоб закрити вікно Сертифікат.

Сторінка кластерів доступу

Сторінка «Кластери» містить підсумок стану сертифіката для кожного кластера для всіх кластерів організації.

1

У поданні клієнта в Webex Control Hub перейдіть до розділу Services > Connected UC.

З'явиться сторінка Connected UC .

2

Натисніть Кластери з Certificate Management картки.

На сторінці «Підсумок кластера» відображаються кластери з такими відомостями, як назва кластера, статус, продукт і профіль, пов'язаний із кластером. Адміністратор може змінити зв'язок стандартного профілю за замовчуванням із користувацьким профілем для кластера.

3

(Необов'язково.) Виберіть один із наведених нижче варіантів.

  • Натисніть Пошук , щоб знайти певний кластер.

  • У випадаючому меню Фільтр товарів виберіть один або кілька продуктів.

4

Натисніть на запис кластера на сторінці списку, щоб перейти на сторінку «Відомості про кластер», на якій відображаються сертифікати ідентичності, пов'язані з обраним кластером.

Ви можете перейти на вкладку Trust Store або Jobs . На вкладці «Сховище довіри» відображаються всі сертифікати в кластері між різними сховищами довіри. У вкладці «Завдання» перераховані операції, які виконуються над сертифікатами, і статус дії.

На панелі приладової панелі відображаються такі картки:

  1. Сертифікати особи

  2. Сертифікати довіри

  3. Деталі вакансій

Для картки сертифікатів посвідчення особи та довіри відображається зведена інформація про діючі, прострочені та закінчуються сертифікати, термін дії яких закінчується. Для картки «Вакансії» відображається підсумок загальних, завершених та незавершених завдань за поточний місяць.

Вкладка «Сертифікат посвідчення доступу»

Вкладка «Сертифікат посвідчення доступу»

Використовуйте сертифікат посвідчення для перегляду всіх сертифікатів посвідчення , наявних у кластері. Ви можете шукати конкретний сертифікат особи або переглядати відомості про сертифікат і виконувати необхідні операції.
1

У поданні клієнта в Webex Control Hub перейдіть до розділу Служби> Підключений UC.

З'явиться сторінка Connected UC .

2

Натисніть Кластери з Certificate Management картки.

3

Натисніть на запис кластера на сторінці списку, щоб перейти на сторінку відомостей про кластер, на якій відображаються сертифікати ідентичності, пов'язані з кластером.

Для кластерів з версіями Cisco Emergency Responder 12.5 або 14 сертифікат tomcat-ECDSA не підтримується.

4

(Необов'язково.) Натисніть Пошук , щоб знайти певний сертифікат.

5

(Необов'язково.) У розкривному меню Фільтр сертифікатів виберіть один або кілька сертифікатів за їх типом.

Сертифікати відображаються в списку сертифікатів разом із такими відомостями, як ім'я сервера, загальне ім'я, тип сертифіката, статус сертифіката та дата закінчення терміну дії.

6

Натисніть на запис на сторінці списку, щоб переглянути деталі сертифіката.

Відкриється бічна панель для відображення відомостей про сертифікат. Ви можете переглянути «Відомості про сертифікат» або «Копіювати сертифікат формату PEM». Ви також можете виконувати всі операції, перелічені в кроці 8 з цієї панелі.

7

Натисніть «Закрити », щоб закрити бічну панель і повернутися на сторінку списку.

Попереджувальний знак з'являється, коли існуючий атрибут сертифіката не збігається з профілем і сертифікат не відповідає.

8

Наведіть курсор на запис сертифіката та клацніть три крапки, щоб виконати різні операції. Дивіться розділ Операції з сертифікатами посвідчень для отримання детальної інформації.

9

(Необов'язково.) Натисніть Переглянути профіль.

Відобразиться профіль, пов'язаний із кластером.

Перейдіть на вкладку "Магазин довіри"

Перейдіть на вкладку "Магазин довіри"

На вкладці «Магазин довіри» перелічено всі сертифікати в кластері між різними сховищами довіри.
1

У поданні клієнта в Webex Control Hub перейдіть до розділу Services > Connected UC.

З'явиться сторінка Connected UC .

2

Натисніть Кластери з Certificate Management картки.

3

Натисніть на запис кластера на сторінці списку, щоб перейти на сторінку відомостей про кластер.

4

Перейдіть на вкладку Trust Store , щоб переглянути список сертифікатів.

Сертифікати відображаються у списку сертифікатів із такими відомостями, як загальна назва, серійний номер, автор випуску, статус і дата закінчення терміну дії.

5

(Необов'язково.) Натисніть Пошук , щоб знайти певний сертифікат.

6

(Необов'язково.) У спадному меню Фільтр сертифікатів виберіть один або кілька сертифікатів.

Сертифікати відображаються у списку сертифікатів із такими відомостями, як загальна назва, серійний номер, автор випуску, статус і дата закінчення терміну дії.

7

Натисніть на запис на сторінці списку, щоб переглянути деталі сертифіката.

Відкриється бічна панель для відображення відомостей про сертифікат. Щоб переглянути всі кластери, пов'язані з сертифікатом, перегляньте розділи «Відомості про сертифікат» або «Копіювання сертифіката формату PEM». Ви також можете виконувати всі операції, перелічені в кроці 9 з цієї панелі.

8

Натисніть «Закрити », щоб закрити бічну панель і повернутися на сторінку списку.

9

Наведіть курсор на запис сертифіката та клацніть три крапки, щоб виконати різні операції.

Перегляньте розділ Операції з сертифікатами Trust Store для угод.
10

Клацніть запис сертифіката з простроченим станом, щоб завантажити оновлений сертифікат у Магазин довіри.

11

Натисніть Завантажити в довірче управління.

З'явиться вікно Завантажити сертифікат .

12

Виберіть потрібні кластери, які потрібно пов'язати зі сховищем довіри.

Уважно прочитайте попереджувальне повідомлення, що відображається, перш ніж виконувати операцію.

13

Натисніть «Вибрати файл», щоб знайти сертифікат.

14

Натисніть Завантажити , щоб завантажити сертифікат у сховище довіри для потрібних кластерів.

Довірчі операції для IPsec і CAPF не підтримуються через абонентські вузли в Control Hub. Адміністратор повинен виконувати ці операції локально.

Обмеження

Обмеження на операції з CH для Trust Certificates:

  1. Якщо існує будь-яка довірча служба, реплікація якої не відбувається на вузлах одного кластера, адміністратор повинен виконувати ці операції локально. Наприклад, CAPF, IPSEC.
  2. Усі операції, пов'язані з довірою, надсилаються лише на вузол Publisher кластера, тому операція може бути виконана лише через вузол pub, не може бути виконана з підвузлів.
    1. Як позбутися довіри
    2. Замініть довіру
    3. Розподіляйте довіру
    4. Довіра до завантаження

Обмеження на операції з видалення довіри:

  1. Операція може бути виконана тільки через вузол Pub.
  2. Якщо сертифікат відсутній у вузлі Pub і присутній у підвузлах, операція не може бути виконана через Control Hub. Операція повинна здійснюватися через локальне приміщення.

Доступ до вкладки «Вакансії»

Доступ до вкладки «Вакансії»

Вкладка «Завдання» показує підсумок всіх виконаних операцій. Вкладка «Вакансії» показує підсумкову, завершену та незавершену роботу за поточний місяць.

1

У поданні клієнта в Webex Control Hub перейдіть до розділу Services > Connected UC.

З'явиться сторінка Connected UC .

2

Натисніть Кластери з Certificate Management картки.

3

Натисніть на запис кластера на сторінці списку, щоб перейти на сторінку відомостей про кластер.

4

Перейдіть на вкладку Завдання, щоб переглянути список завдань, виконаних у поточному місяці.

5

У випадаючому меню «Поточний місяць » виберіть необхідний період, щоб переглянути резюме вакансії.

Статус завдання відображається у зведенні вакансії разом із такими деталями, як тип завдання, вузол, позначка часу, сертифікат та інформація про продукт.

6

Натисніть на запис на сторінці оголошення, щоб переглянути деталі вакансії.

Відкриється бічна панель для відображення деталей роботи.

7

Натисніть «Закрити », щоб закрити бічну панель і повернутися на сторінку списку.

Сторінка профілів доступу

Сторінка "Профілі" дозволяє визначити такі параметри , як Multi-Server/Multi-SAN, CA-Signed vs. Self-Signed, термін дії, RSA проти ECDSA, довжина ключа, алгоритм хешування.

Використовуйте окремі профілі для кожної версії кластера. Наприклад, якщо кластер працює під керуванням версії 12.x, під час виконання операцій із сертифікатами ви повинні бачити лише функції 12.x.

Після створення настроюваного профілю адміністратор може пов'язати щойно створений користувацький профіль із кластером.

1

У поданні клієнта в Cisco Webex Control Hub перейдіть до розділу Послуги > Підключений UC.

З'явиться сторінка Connected UC .

2

Натисніть Профілі з Certificate Management картки .

З'явиться сторінка Профілі зі списком створених профілів.

За замовчуванням служба керування сертифікатами надає стандартний профіль, і всі кластери, включені для служби керування сертифікатами, пов'язані з цим профілем. Це профіль лише для перегляду. Наведіть курсор на профіль і натисніть на три крапки, щоб переглянути або скопіювати профіль.

3

Наведіть курсор на ім'я профілю та натисніть на три крапки, щоб виконати різні операції, наприклад:

  • Змінити

    1. Натисніть «Редагувати », щоб відредагувати вибраний профіль.

  • Видалити

    1. Прочитайте попереджувальне повідомлення та натисніть Видалити , щоб видалити вибраний профіль.

  • Копіювати

    1. Натисніть «Копіювати », щоб скопіювати вибраний профіль.

      З'явиться вікно Копія користувацького профілю .

    2. Натисніть Створити , щоб оновити або змінити налаштування для кожного з продуктів (за потреби). Або створіть копію обраного профілю.

4

Натисніть «Додати профіль », щоб створити новий користувацький профіль.

5

Введіть ім'я профілю.

6

Поставте галочку, якщо ви хочете встановити профіль за замовчуванням.

7

Введіть Опис профілю.

8

Визначте різні налаштування сертифіката для кожного з продуктів

9

Натисніть Створити , щоб створити профіль.

Якщо ви встановили користувацький профіль за замовчуванням, зніміть прапорець за замовчуванням у спеціальному профілі, щоб повернутися до стандартного профілю за замовчуванням.

10

(Необов'язково.) Зв'яжіть профіль із кластером. Виберіть вкладку Кластери у верхньому меню, відкриється сторінка зі списком Кластери. Ви можете пов'язати профіль із кластером на сторінці списку.

Термін дії для версій 11.5x і 12.5x становить 5 років, незалежно від значення, вибраного в випадаючому меню терміну дії. Випуск 14 і далі, термін дії може становити від 5 до 20 років.

Не виконуйте операції, які в таблиці вказані як N, інакше операції завершаться помилкою.

Робота сертифіката

Підтримувана версія

Функціонування операції

11.5

12.5

14 і пізніші

Оновити Multi серверNNYХоча ця операція виконується на багатосерверному самопідписаному сертифікаті, вона працює лише на одному вузлі.
Повторного використанняNNYОперація працює тільки на диспетчері викликів і диспетчері викликів ECDSA в додатку Cisco Unified CM. Ця операція працює як для багатосерверного підписаного ЦС, так і для багатосерверного самопідписаного сертифіката.
Сторінка налаштувань доступу

Система автоматично надсилає одержувачам повідомлення на електронну пошту, коли термін дії сертифіката наближається.

1

У поданні клієнта в Webex Control Hub перейдіть до розділу Services > Connected UC.

З'явиться сторінка Connected UC .

2

Натисніть Налаштування з Certificate Management картки .

3

Встановіть час початку сповіщень.

Ви можете встановити час початку сповіщень у діапазоні від 30 до 365 днів.

4

Встановіть частоту сповіщень.

Ви можете встановити частоту сповіщень від 1 до 30 днів.

5

Введіть електронну адресу одержувача сповіщень.

Можна ввести не більше 25 електронних адрес.

6

Натисніть Зберегти.

Усі одержувачі отримують сповіщення електронною поштою, як показано на зображенні, коли термін дії сертифікатів наближається до терміну дії.