Огляд керування сертифікатами

Централізоване керування сертифікатами — це хмарна служба, що пропонує єдине місце для перегляду та керування сертифікатами Cisco Unified Communications Manager, IM і Presence, а також Cisco Unity Connection та Cisco Emergency Responder у кількох кластерах.

Перед початком:

Ви повинні ввімкнути службу керування сертифікатами на сторінці Керування службами для потрібного кластера. Щоб отримати додаткові відомості, перегляньте статтю Увімкнення підключених до хмари служб UC у Центрікерування.

Централізоване керування сертифікатами пропонує наступні ключові функції:

  • Багатокластерна панель, що показує стан сертифіката для кожного кластера.

  • Детальний перегляд сертифікатів ідентифікації та довіри на окремому кластерному рівні.

  • Можливість виконувати операції із сертифікатами, як-от створення CSR, передавання сертифіката, поновлення, завантаження, копіювання, заміна та видалення.

  • Сповіщає панель перегляду сертифікатів, термін дії яких завершується, а термін дії скоро завершується.

  • Можливість налаштувати сповіщення, як-от сповіщення електронною поштою, щодо закінчення терміну дії сертифіката.

  • Розподіліть сертифікати по кількох сховищах довіри та кластерах.

  • Визначте профіль сертифіката з різними параметрами та призначте до кластера.

Ви не можете Розповсюдити та замінити сертифікати в програмі Cisco Emergency Responder.

Доступ до служби керування сертифікатами

Служба керування сертифікатами в пакеті служб Cloud-Connected UC управляє сертифікатами для локального розгортання.

Щоб отримати доступ до керування сертифікатами, виконайте такі кроки.

1

З подання клієнта в Webex Control Hub перейдіть до Служби > Connected UC.

З’явиться сторінка Connected UC . Картка Керування сертифікатами на цій сторінці надає функції та функції керування сертифікатами.

2

На картці Керування сертифікатами клацніть будь-яке посилання, щоб отримати доступ до різних функцій керування сертифікатами.

У наступній таблиці перелічено функції, доступні в керуванні сертифікатами.

Вкладки

Опис

Оповіщення

Відображає зведені дані про всі сертифікати, термін дії яких завершується, і сертифікати, термін дії яких завершується. Адміністратор може вжити необхідних дій щодо посвідчень або сертифікатів довіри, щоб підтримувати їх актуальність.

Кластери

Відображає зведені дані про стан сертифіката по кластерах у даній організації та дозволяє адміністратору вжити необхідних дій щодо сертифікатів ідентифікації або довіри.

  • Ви можете переглянути всі сертифікати довіри та ідентифікації конкретного кластера в організації.

  • На вкладці «Завдання» показано зведені дані про всі дії, виконані в сертифікатах.

Профілі

Перевіряє відповідність сертифікатів у кластері налаштованим параметрам. Можна створити користувацький профіль керування сертифікатами та пов’язати його з кластером.

Налаштування

Налаштуйте адреси електронної пошти адміністраторів, щоб отримувати сповіщення про завершення терміну дії сертифіката. Усі поля можна налаштувати на сторінці налаштувань керування сертифікатами.
Сторінка сповіщень про доступ

Скористайтеся сторінкою Сповіщення , щоб зробити наступне.

  • Переглянути сертифікати, термін дії яких сплив або невдовзі завершиться

  • Фільтрувати за сертифікатом

  • Щоб переглянути стан сертифіката, виконайте фільтрування за продуктом.

1

З подання клієнта в Webex Control Hub перейдіть до Служби > Connected UC.

З’явиться сторінка Connected UC .

2

Клацніть Сповіщення з картки Керування сертифікатами .

На сторінці відображаються сертифікати, термін дії яких закінчився, і сертифікати скоро закінчуються. Відомості про список сертифікатів, як-от ім’я кластера, загальне ім’я, тип сертифіката, стан сертифіката та дата завершення терміну дії.

3

(Необов’язково) Виберіть один із перелічених далі варіантів.

  • Клацніть Пошук , щоб знайти певний сертифікат.

  • Виберіть один або кілька сертифікатів у розкривному списку Сертифікати фільтра .

  • Виберіть один або кілька продуктів із розкривного списку Фільтрувати продукти .

Вибрані сертифікати відображаються в списку сертифікатів разом із відомостями, як-от кластер, сертифікат, спільне ім’я, продукт, тип, стан, ім’я сервера й термін дії.

4

Виберіть запис на сторінці списку, щоб переглянути відомості про сертифікат.

Буде відкрито бічну панель для відображення відомостей про сертифікат. Можна переглянути Відомості про сертифікат або Скопіювати сертифікат формату PEM. Виконайте всі операції, перелічені на кроці 6 цієї панелі.

5

Клацніть Закрити , щоб закрити бічну панель і повернутися до сторінки списку.

6

Наведіть вказівник на запис сертифіката та клацніть еліпс, щоб виконати різні операції над сертифікатами сховища ідентифікації та довіри.

Операції над сертифікатами ідентифікації :

  • Подовжте дію сертифіката для самопідписання.

  • Створіть CSR для підписаного CA.

  • Передайте сертифікат для підписаного CA, і на сертифікаті створюється CSR.

  • Завантажте CSR для підписаного CA, і CSR створюється на сертифікаті.

  • Видаліть CSR для підписаного CA, і CSR створюється на сертифікаті.

Операція сертифіката

Використання сертифіката

Опис

Поновити сертифікат

Використовувати подовження сертифіката, коли сертифікат самопідписаний.

Використовуйте повторно сертифікат Tomcat, якщо потрібно повторно використовувати сертифікат Tomcat для вибраної служби.

Вікно Поновити сертифікат відображається на основі налаштувань профілю.

Виберіть дію «Поновити сертифікат» залежно від вибору на сторінці Налаштування профілю :

  • Повторне використання сертифіката Tomcat – виберіть Використовувати Tomcat у профілі, параметр Повторне використання Tomcat увімкнено.

  • Поновити сертифікат – виберіть Тип сертифіката як самопідписаний, поновлення ввімкнено.

Прочитайте попередження та Клацніть Повторно використати сертифікат Tomcat , щоб поновити сертифікат.

Створити CSR

Використовуйте операцію створення CSR, коли тип сертифіката підписано CA.

Відображається вікно Створити CSR .

Клацніть Створити , щоб створити CSR.

Передати сертифікат

Використовуйте операцію передавання, коли тип сертифіката підписано CA й CSR уже створено. Можна передати ланцюжок сертифікатів у форматі .P7B або сертифікат ідентифікації у форматі .pem або .der.

Відображається вікно Передати сертифікат .

  1. Клацніть Вибрати файл , щоб передати сертифікат.

    Перегляньте й передайте сертифікат із локального комп’ютера.

  2. Клацніть Передати , щоб передати сертифікат.

Поширити сертифікат

"Використовуйте операцію ""Розподілити"", щоб поширити сертифікат на кілька кластерів в одній операції." Виберіть кілька кластерів і сховищ довірених сертифікатів у Control Hub, сертифікат розподілено на вибрані кластери.

Відображається вікно Поширити сертифікат .

  1. Виберіть кластери та довіри, на які потрібно розповсюдити сертифікати.

  2. Клацніть Поширити , щоб зв’язати сертифікати з вибраними кластерами й довірами.

  3. Клацніть ОК , щоб закрити вікно розповсюдження сертифіката.

Ця процедура не працює для заявки на CER.

Завантажити CSR

Використовуйте Завантажити CSR, коли тип сертифіката підписано CA та CSR уже створено. Ви можете завантажити CSR, щоб підписати його центром сертифікації.

Клацніть Завантажити CSR, щоб завантажити запит на підпис сертифіката CSR на локальний комп’ютер.

Видалити CSR

Використовуйте операцію видалення CSR, коли потрібно створити CSR повторно.

Відображається вікно Видалити CSR .

Прочитайте попередження та Клацніть Видалити, щоб видалити запит на підпис сертифіката CSR.

Якщо налаштування, налаштовані адміністратором у профілі, не збігаються з атрибутами сертифіката, перед сертифікатом з’явиться значок попередження. Приклад: Сертифікат Tomcat є самопідписаним, але в налаштуваннях профілю він встановив підписаний CA, що призводить до невідповідності.

Не натискайте Надіслати невідомо, не перевіряючи невідповідності, оскільки це може призвести до проблем.

Операції над сертифікатами сховища довіри :

  • Замінити сертифікат

  • Видалити сертифікат

Операція сертифіката

Використання сертифіката

Опис

Замінити сертифікат

Використовуйте сертифікат Замінити, щоб замінити наявний сертифікат новим.

Відображається вікно Замінити сертифікат .

  1. Клацніть Вибрати файл , щоб вибрати новий сертифікат.

    Перегляньте й передайте новий сертифікат із локального комп’ютера.

  2. Клацніть Замінити , щоб замінити сертифікат.

Ця процедура не працює для заявки на CER.

Видалити сертифікат

Використовуйте параметр Видалити сертифікат, коли адміністратор хоче видалити сертифікат, що завершується найближчим часом і завершується термін дії.

Відображається вікно Видалити сертифікат .

  1. Виберіть кластери й довіри, з яких потрібно видалити сертифікати.

  2. Клацніть Далі , щоб видалити сертифікат із вибраних кластерів і довір.

  3. Прочитайте попередження та Клацніть Видалити , щоб видалити сертифікат.

Операція видалення сертифіката або заміни сертифіката може не вдатися, оскільки помилка Файл не знайдено. Ця помилка з’являється, коли операція виконується на багатьох кластерах зі змішаними версіями 12.5 SU5 і 14 випусків SU1.

Рішення: Повторіть операцію на вузлах із помилками. "Перевірте помилку на сторінці відомостей про завдання для відповідного кластера, на якій читається ""Не вдалося видалити сертифікат, оскільки його немає на цьому вузлі.""

Загальними операціями сертифікатів сховища довіри й сертифікатів ідентифікації є:

  • Завантажити .der

  • Завантажити .pem

Тип операції сертифіката

Використання сертифіката

Опис

Завантажити .der

Щоб завантажити двійковий формат сертифіката, використовуйте Download.der. DER (Distinguished Encoding Rules) — цифровий сертифікат.

Клацніть Завантажити .der, щоб завантажити формат сертифіката .der (двійковий).

Сертифікат .der завантажено на локальний комп’ютер.

Завантажити .pem

Щоб завантажити сертифікат у форматі .pem, використовуйте Download.pem. PEM (Privacy Enhanced Mail) — це сертифікат DER з кодуванням Base64 у форматі ASCII.

Клацніть Завантажити .pem, щоб завантажити формат сертифіката у форматі .pem (ASCII).

Сертифікат .pem завантажено на локальний комп’ютер.

7

Операцію сертифіката додано до списку завдань. Перебіг виконання можна переглянути на вкладці Завдання .

АБО

  1. Клацніть посилання Завдання , щоб переглянути хід виконання операції сертифіката.

  2. Клацніть ОК , щоб закрити вікно сертифіката.

Сторінка кластерів доступу

На сторінці кластерів відображено зведені дані про стан сертифіката на основі кожного кластера для всіх кластерів в організації.

1

З подання клієнта в Webex Control Hub перейдіть до Служби > Connected UC.

З’явиться сторінка Connected UC .

2

Клацніть Кластери на картці Керування сертифікатами .

На сторінці зведених даних про кластер відображаються кластери з такими відомостями, як ім’я кластера, стан, продукт і профіль, пов’язані з кластером. Адміністратор може змінити асоціацію за замовчуванням стандартного профілю з користувацьким профілем для кластера.

3

(Необов’язково) Виберіть один із перелічених далі варіантів.

  • Клацніть Пошук , щоб знайти конкретний кластер.

  • У розкривному списку Фільтрувати продукти виберіть один або кілька продуктів.

4

Клацніть запис кластера на сторінці списку, щоб відвідати сторінку Відомості про кластер , на якій відображаються сертифікати ідентифікації, пов’язані з вибраним кластером.

Ви можете перейти на вкладку Сховища довіри або Завдання . "Вкладка ""Сховище довіри"" відображає всі сертифікати в кластері в різних сховищах довіри." На вкладці Завдання перелічено операції, які виконуються з сертифікатами, і стан дії.

На панелі інструментів відображаються такі карти:

  1. Сертифікати ідентифікації

  2. Сертифікати довіри

  3. Відомості про завдання

Для карток посвідчень і сертифікатів довіри відображається зведені дані про дійсні сертифікати, термін дії яких завершується, а термін дії скоро завершується. На картці "Завдання" відображено зведені дані про загальні, повні та невиконані завдання за поточний місяць.

Вкладка сертифіката ідентифікації доступу

Вкладка сертифіката ідентифікації доступу

Використовуйте сертифікат ідентифікації , щоб переглянути всі сертифікати ідентифікації, наявні в кластері. Можна шукати певний сертифікат ідентифікації або переглядати деталі сертифіката та виконати необхідні операції.
1

З подання клієнта в Webex Control Hub перейдіть до Служби> Connected UC.

З’явиться сторінка Connected UC .

2

Клацніть Кластери на картці Керування сертифікатами .

3

Клацніть запис кластера на сторінці списку, щоб відвідати сторінку Відомості про кластер , на якій відображаються сертифікати ідентифікації, пов’язані з кластером.

Для кластерів із Cisco Emergency Responder версії 12.5 або 14, сертифікат tomcat-ECDSA не підтримується.

4

(Необов’язково) Клацніть Пошук , щоб знайти певний сертифікат.

5

(Необов’язково) У розкривному списку Сертифікат фільтра виберіть один або кілька сертифікатів залежно від їхнього типу.

Сертифікати відображаються в списку сертифікатів разом із відомостями, як-от ім’я сервера, загальне ім’я, тип сертифіката, стан сертифіката й дата закінчення терміну дії.

6

Клацніть запис на сторінці списку, щоб переглянути відомості про сертифікат.

Буде відкрито бічну панель для відображення відомостей про сертифікат. Можна переглянути Відомості про сертифікат або Скопіювати сертифікат формату PEM. Також можна виконати всі операції, перелічені на кроці 8 цієї панелі.

7

Клацніть Закрити , щоб закрити бічну панель і повернутися до сторінки списку.

Попереджувальний знак з’являється, коли наявний атрибут сертифіката не відповідає профілю, а сертифікат не відповідає вимогам.

8

Наведіть вказівник на запис сертифіката та клацніть еліпс, щоб виконати різні операції. Докладніше див. в розділі Операції з сертифікатами ідентифікації .

9

(Необов’язково) Клацніть Переглянути профіль.

Відображено профіль, пов’язаний із кластером.

Доступ до вкладки сховища довіри

Доступ до вкладки сховища довіри

Вкладка Сховища довіри містить список усіх сертифікатів у кластері різних сховищ довіри.
1

З подання клієнта в Webex Control Hub перейдіть до Служби > Connected UC.

З’явиться сторінка Connected UC .

2

Клацніть Кластери на картці Керування сертифікатами .

3

Клацніть запис кластера на сторінці списку, щоб відвідати сторінку Відомості про кластер .

4

Клацніть вкладку Сховище довіри , щоб переглянути список сертифікатів.

Сертифікати відображаються в списку сертифікатів із відомостями, як-от загальне ім’я, серійний номер, Виданий Ким, Стан і дата завершення терміну дії.

5

(Необов’язково) Клацніть Пошук , щоб знайти певний сертифікат.

6

(Необов’язково) У розкривному списку Сертифікат фільтра виберіть один або кілька сертифікатів.

Сертифікати відображаються в списку сертифікатів із відомостями, як-от загальне ім’я, серійний номер, Виданий Ким, Стан і дата завершення терміну дії.

7

Клацніть запис на сторінці списку, щоб переглянути відомості про сертифікат.

Буде відкрито бічну панель для відображення відомостей про сертифікат. Щоб переглянути всі кластери, пов’язані з сертифікатом, перегляньте Відомості про сертифікат або Скопіюйте сертифікат формату PEM. Ви також можете виконати всі операції, перелічені на кроці 9 цієї панелі.

8

Клацніть Закрити , щоб закрити бічну панель і повернутися до сторінки списку.

9

Наведіть вказівник на запис сертифіката й клацніть еліпс, щоб виконати різні операції.

Див. розділ Операції на сертифікатах сховища довіри для детіалів.
10

Клацніть запис сертифіката зі станом закінчення терміну дії, щоб передати оновлений сертифікат до сховища довіри.

11

Клацніть Передати в довіру.

Відображається вікно Передати сертифікат .

12

Виберіть необхідні кластери, які необхідно пов’язати зі сховищем довіри.

Уважно прочитайте відображуване попередження, перш ніж виконувати операцію.

13

Клацніть Вибрати файл , щоб знайти сертифікат.

14

Клацніть Передати , щоб передати сертифікат до сховища довірених сертифікатів для необхідних кластерів.

Операції довіри для IPsec і CAPF не підтримуються через вузли-абоненти в Control Hub. Адміністратор повинен виконувати ці операції локально.

Обмеження

Обмеження щодо CH для операцій сертифікатів довіри:

  1. Якщо існує будь-яка служба довіри, для якої реплікація не відбувається на вузлах одного й того самого кластера, адміністратор повинен виконати ці операції локально. Наприклад: capf, ipsec.
  2. Усі операції, пов’язані з довірою, надсилаються лише до вузла видавця кластера, тому операція може бути виконана лише через вузол пабу, а не з підвузлів.
    1. Видалити довіру
    2. Замінити довіру
    3. Розподілити довіру
    4. Передати довіру

Обмеження для видалення операцій довіри:

  1. Операцію можна виконати лише через вузол Pub.
  2. Якщо сертифікат відсутній у вузлі Pub і присутній у підвузлах, операцію неможливо виконати через Control hub. Операцію необхідно виконати локально.

Доступ до вкладки завдань

Доступ до вкладки завдань

На вкладці Завдання відображено зведені дані про всі виконані операції. На вкладці "Завдання" показано зведені дані про загальні, повні та невиконані завдання за поточний місяць.

1

З подання клієнта в Webex Control Hub перейдіть до Служби > Connected UC.

З’явиться сторінка Connected UC .

2

Клацніть Кластери на картці Керування сертифікатами .

3

Клацніть запис кластера на сторінці списку, щоб відвідати сторінку Відомості про кластер .

4

Клацніть вкладку Завдання , щоб переглянути список завдань, виконаних у поточному місяці.

5

У розкривному списку Поточний місяць виберіть необхідний період, щоб переглянути зведення про завдання.

Стан завдання відображається в зведених даних про завдання разом із такими відомостями, як тип завдання, вузол, відмітка часу, сертифікат і інформація про продукт.

6

Клацніть запис на сторінці списку, щоб переглянути відомості про роботу.

Буде відкрито бічну панель для відображення відомостей про завдання.

7

Клацніть Закрити , щоб закрити бічну панель і повернутися до сторінки списку.

Сторінка профілів доступу

На сторінці профілів можна визначити такі налаштування, як «Кілька серверів/Кілька SAN», «Підписаний CA» проти «Самопідписаний», термін дії, RSA проти ECDSA, довжина ключа, алгоритм гешування.

Використовуйте окремі профілі для кожної версії кластера. Наприклад, якщо кластер працює версії 12.x, під час виконання операцій із сертифікатами потрібно відобразити лише функції 12.x.

Під час створення користувацького профілю адміністратор може пов’язати щойно створений користувацький профіль із кластером.

1

З подання клієнта в Cisco Webex Control Hub перейдіть до Служби > Connected UC.

З’явиться сторінка Connected UC .

2

Клацніть Профілі на картці Керування сертифікатами .

Сторінка Профілі з’явиться зі списком створених профілів.

За замовчуванням служба керування сертифікатами надає стандартний профіль, а всі кластери, увімкнені для служби керування сертифікатами, пов’язані з цим профілем. Це профіль лише для перегляду. Наведіть вказівник на профіль і клацніть еліпс, щоб переглянути або скопіювати профіль.

3

Наведіть вказівник на назву профілю і клацніть лівою кнопкою миші, щоб виконати різні дії, наприклад:

  • Редагувати

    1. Клацніть Змінити , щоб змінити вибраний профіль.

  • Видалити

    1. Прочитайте попередження та Клацніть Видалити , щоб видалити вибраний профіль.

  • Копіювати

    1. Клацніть Копіювати , щоб скопіювати вибраний профіль.

      З’явиться вікно Копія користувацького профілю .

    2. Клацніть Створити , щоб за потреби оновити або змінити налаштування для кожного продукту. В іншому разі створіть копію вибраного профілю.

4

Клацніть Додати профіль , щоб створити новий користувацький профіль.

5

Введіть ім’я профілю.

6

Установіть прапорець, щоб установити профіль за замовчуванням.

7

Введіть Опис для профілю.

8

Визначити різні налаштування сертифіката для кожного продукту

9

Клацніть Створити , щоб створити профіль.

Якщо ви встановили користувацький профіль за замовчуванням, зніміть прапорець за замовчуванням у користувацькому профілі, щоб повернутися до стандартного профілю за замовчуванням.

10

(Необов’язково) зв’яжіть профіль із кластером. Клацніть вкладку Кластери у верхньому меню, і з’явиться сторінка Список кластерів. Можна пов’язати профіль із кластером зі сторінки списку.

Термін дії для версій 11.5x і 12.5x становить 5 років незалежно від значення, вибраного в розкривному списку. Випуск 14, термін дії може бути від 5 до 20 років.

Не виконуйте операції, перелічені як N у таблиці, інакше операції не вдасться.

Операція сертифіката

Підтримувана версія

Функціонування операції

11.5

12.5

14 і пізніші

Поновити багатосервернийNNYХоча ця операція виконується на багатосерверному самопідписаному сертифікаті, вона працює лише на одному вузлі.
Повторне використанняNNYОперація працює лише в диспетчері викликів і диспетчері викликів ECDSA в програмі Cisco Unified CM. Ця операція працює як для багатосерверних, підписаних CA, так і для багатосерверних самопідписаних сертифікатів.
Доступ до сторінки налаштувань

Система автоматично надсилає повідомлення електронної пошти отримувачам, коли термін дії сертифіката наближається до закінчення.

1

З подання клієнта в Webex Control Hub перейдіть до Служби > Connected UC.

З’явиться сторінка Connected UC .

2

Клацніть Налаштування на картці Керування сертифікатами .

3

Установіть час початку сповіщень.

Час початку сповіщень можна встановити в діапазоні від 30 до 365 днів.

4

Установіть частоту сповіщень.

Можна встановити частоту сповіщень в діапазоні від 1 до 30 днів.

5

Введіть адресу електронної пошти отримувачів сповіщень.

Можна ввести максимум 25 адрес електронної пошти.

6

Клацніть Зберегти.

Усі отримувачі отримують сповіщення електронною поштою, як показано на зображенні, коли термін дії сертифікатів наближається до закінчення.