Certificate Management 概览

集中式证书管理是一项基于云的服务,可提供一个位置来查看和管理跨多个群集的 Cisco Unified Communications Manager、IM and Presence、Cisco Unity Connection 和 Cisco Emergency Responder 的证书。

开始使用前:

您必须在“服务管理”页面上为所需的群集启用证书管理服务。 有关详细信息,请参阅 在控制中枢中启用云连接的 UC 服务

集中式证书管理提供以下主要功能:

  • 显示每个群集的证书状态的多群集控制板。

  • 详细列示单个群集级别的身份和信任证书。

  • 能够执行证书操作,例如生成 CSR、上传证书、续订、下载、复制、替换和删除。

  • 通过警报控制板显示已经到期和即将到期的证书。

  • 能够配置通知(例如证书到期的电子邮件通知)。

  • 跨多个信任存储区和群集分发证书。

  • 通过各种设置定义证书配置文件并将其分配给群集。

不能在 Cisco Emergency Responder 应用程序上分发和替换证书 。

访问证书管理服务

Cloud-Connected UC 服务套件中的证书管理服务管理用于本地部署的证书。

要访问证书管理,请执行以下步骤:

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。 此页中的 Certificate Management 卡提供 Certificate Management 功能和功能。

2

在 Certificate Management 卡上,单击任何链接以访问证书管理的各种功能。

下表列出了证书管理中的可用功能:

选项卡

说明

警告

汇总显示所有已经到期和即将到期的证书。 管理员可以对身份或信任证书执行必要的操作以保持其最新。

群集

显示给定组织内群集的证书状态概要,并允许管理员对身份或信任证书执行必要的操作。

  • 您可以查看组织内特定群集的所有身份和信任证书。

  • “作业”选项卡显示对证书执行的所有操作汇总。

配置文件

验证群集中的证书是否符合配置的设置。 您可以创建自定义证书管理配置文件并将其关联到群集。

设置

配置管理员的电子邮件地址以接收证书到期通知。 所有字段均可在证书管理的“设置”页面中配置。

“访问告警”页

使用 "警报 " 页面执行以下操作:

  • 查看已经到期或即将到期的证书

  • 按证书过滤

  • 按产品过滤以查看证书状态。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡上的 " 告警 "

页面上会显示已经到期和即将到期的证书。 证书会列出详细信息,例如群集名称、通用名称、证书类型、证书状态和到期日期。

3

(可选)选择下列选项之一:

  • 单击搜索以搜索特定证书。

  • 从 "过滤器证书 " 下拉列表中选择一个或多个证书。

  • 从 "过滤器产品 " 下拉列表中选择一个或多个产品。

所选证书将随群集、证书、通用名称、产品、类型、状态、服务器名称和到期等详细信息显示在证书列表中。

4

从列表页面选择一条记录以查看证书详细信息。

一个侧面板将打开以显示证书详细信息。 您可以查看证书的 详细信息 复制 PEM 格式证书 。 执行此面板步骤 6 中列出的所有操作。

5

单击关闭以关闭侧面板,然后返回到列表页面。

6

将鼠标悬停在证书记录上,然后单击省略号对身份和信任存储区证书执行各种操作。

标识证书 的操作包括:

  • 续订自签证书。

  • 为 CA 签名证书生成 CSR。

  • 为 CA 签名证书上传证书,证书上会生成 CSR。

  • 为 CA 签名证书下载 CSR,证书上会生成 CSR。

  • 为 CA 签名证书删除 CSR,证书上会生成 CSR。

证书操作

证书使用

说明
续订证书

如果是自签证书,则使用续订证书。

当您想要对所选服务重复使用 Tomcat 证书时,使用“重新使用 Tomcat 证书”。

"续订证书 " 窗口将根据配置文件设置显示。

根据 "配置文件设置 " 页中 的选择,选择续订证书操作,如下所示:

  • 重新使用 Tomcat 证书-选择 在配置文件 中使用 Tomcat 时,将启用重复使用 tomcat 选项。

  • 续订证书-选择 证书类型为自我签名 ,已启用续订。

阅读警告消息,然后单击 重新使用 Tomcat 证书 以续订证书。

生成 CSR

当证书类型为“CA 签名证书”时使用生成 CSR 操作。

随即显示 "生成 CSR " 窗口。

单击 生成 以生成 CSR。

上载证书

当证书类型为“CA 签名证书”并且 CSR 已生成时,使用上传操作。 您可以上传 .P7B 格式的证书链或者 .pem 或 .der 格式的身份证书。

此时会显示上传证书窗口。

  1. 单击 选择文件 以上载证书。

    浏览并从本地计算机上传证书。

  2. 单击 "上载 " 上载证书。

分发证书

使用分发操作,通过一个操作将证书分发到多个群集。 选择控制中枢 的多个群集和信任存储区,证书将分发到所选的群集。

"分发证书 " 窗口将 会显示。

  1. 选择要向其分发证书的群集和信任区。

  2. 单击 " 分发 " 将证书与所选群集和信任关联。

  3. 单击 “确定”关闭“分发证书”窗口。


 

此程序不适用于 CER 应用程序。
下载 CSR

当证书类型为 CA 签名证书且 CSR 已生成时,使用“下载 CSR”。 您可以下载 CSR 以让 CA(证书颁发机构)为其签名。

单击 下载 CSR ,将 CSR 证书签名请求下载到您的本地计算机。

删除 CSR

当 CSR 必须重新生成时,使用删除 CSR 操作。

此时会显示删除 CSR 窗口。

阅读警告消息并单击 删除 ,以删除 CSR 证书签名请求。


 

如果配置文件中管理员配置的设置与证书属性不匹配,则会针对证书显示警告图标。 示例: Tomcat 证书是自签名的,但在其设置为 "CA 签名" 的配置文件设置中,这将导致不匹配。

请勿在不验证不匹配的情况下单击 " 在不知情提交 ",否则可能会导致问题。

信任存储证书 的操作包括:

  • 更换证书

  • 删除证书

证书操作

证书使用

说明

更换证书

使用“更换证书”将现有证书更换为新证书。

"替换证书 " 窗口将 会显示。

  1. 单击 选择文件 以选择新证书。

    浏览并上传本地计算机上的新证书。

  2. 单击 "替换 " 以替换证书。


 

此程序不适用于 CER 应用程序。

删除证书

当管理员想要删除即将到期和已经到期的证书时,请使用“删除证书”。

显示删除证书 窗口。

  1. 选择要从中删除证书的群集和信任区。

  2. 单击 下一步 从所选的群集和信任删除证书。

  3. 阅读警告消息,然后单击 删除 以删除证书。


 

"删除证书 " 或 "替换证书 信任" 操作可能会失败,并找不到 错误 文件。 当在多个采用 12.5 SU5 和 14 SU1 混合版本的群集上执行操作时,会出现此错误。

解决方案: 请在发生故障的节点上重试该操作。 验证相应群集的“作业详细信息”页上的错误无法删除,因为此节点 上不存在该证书。

信任存储区证书 标识证书 的常见操作包括:

  • 下载 .der

  • 下载 .pem

证书操作类型

证书使用

说明

下载 .der

使用“下载 .der”下载二进制格式的证书。 DER(可分辨编码规则)是数字证书。

单击 "下载的 der " 以下载证书的 der(二进制)格式。

.der 证书会下载到您本地的计算机。

下载 .pem

使用“下载 .pem”以 .pem 格式下载证书。 PEM(隐私增强邮件)是 ASCII 格式、Base64 编码的 DER 证书。

单击 下载 pem ,下载证书的 pem(ASCII)格式。

.pem 证书将下载到您本地的计算机。

7

证书操作将添加到作业列表中。 您可以在 " 作业 " 选项卡下查看进度。

  1. 单击作业 链接可查看证书操作的进度。

  2. 单击确定关闭“证书”窗口。

访问群集页

"群集 " 页基于组织中的所有群集列出了每个群集的证书状态概要。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡上的 " 群集 "

“群集摘要”页面显示群集以及群集相关详情,例如群集名称、状态、产品和配置文件。 管理员可以更改标准配置文件与群集的自定义配置文件的默认关联。

3

(可选)选择下列选项之一:

  • 单击搜索以搜索特定群集。

  • 过滤产品下拉框中,选择一个或多个产品。

4

在 "群集详细信息 " 页面中单击要访问 的群集记录,其中显示与所选群集关联的标识证书。

您可以导航到 "信任存储区 " 选项卡或 " 作业 " 选项卡。 “信任存储区”选项卡显示群集中跨多个信任存储区的所有证书。 “作业”选项卡列出了对证书执行的操作以及操作状态。

控制板窗格将显示以下卡片:

  1. 身份证书

  2. 信任证书

  3. 作业详细信息

对于身份和信任证书卡片,将显示有效、已到期和即将到期的证书的摘要。 对于作业卡片,将显示当前月份总计、完成和待完成作业的摘要。

访问身份证书选项卡

使用标识证书 查看群集中存在的所有身份证书。 您可以搜索特定的身份证书或查看证书的详细信息并执行必要操作。

1

Webex 控制中枢 的“客户”视图中,转至 "服务 > 连接的 UC "。

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡上的 " 群集 "

3

在 "群集详细信息 " 页面中单击要访问 的群集记录,其中显示与群集关联的身份证书。


 

对于 Cisco Emergency Responder 12.5 或 14 版本的群集,不支持 tomcat-ECDSA 证书。

4

(可选)单击搜索以搜索特定证书。

5

可在 " 过滤器证书 " 下拉框中,根据其类型选择一个或多个证书。

证书将与服务器名称、通用名称、证书类型、证书状态以及到期日期等详细信息一起显示在证书列表中。

6

单击列表页面上的记录以查看证书详细信息。

一个侧面板将打开以显示证书详细信息。 您可以查看 证书详细信息 复制 PEM 格式证书 。 您也可以执行此面板第 8 步中列出的所有操作。

7

单击关闭以关闭侧面板,然后返回到列表页面。


 

当现有证书属性与配置文件不匹配并且证书不符合时,就会显示警告符号

8

将鼠标悬停在证书记录上,然后单击省略号执行各种操作。 有关详细信息,请参阅 标识证书 的操作。

9

(可选)单击查看配置文件

此时会显示与群集关联的配置文件。

访问信任存储区选项卡

" 信任存储区 " 选项卡列出群集中各信任存储区的所有证书。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡上的 " 群集 "

3

在“列表”页中单击群集记录以访问 群集详细信息 页面。

4

单击信任存储区选项卡以查看证书列表。

证书会显示在证书列表中,其中会包含通用名称、序列号、颁发者、状态和到期日期等详细信息。

5

(可选)单击搜索以搜索特定证书。

6

(可选)在过滤证书下拉框中,选择一个或多个证书。

证书会显示在证书列表中,其中会包含通用名称、序列号、颁发者、状态和到期日期等详细信息。

7

单击列表页面上的记录以查看证书详细信息。

一个侧面板将打开以显示证书详细信息。 要查看与证书关联的所有群集,请参阅 证书详细信息 复制 PEM 格式证书 。 您也可以执行此面板第 9 步中列出的所有操作。

8

单击关闭以关闭侧面板,然后返回到列表页面。

9

将鼠标悬停在证书记录上,然后单击省略号执行各种操作。

请参阅 detials 的信任存储证书 的操作。
10

单击状态为到期的证书记录以将更新的证书上传到信任存储区。
11

单击上传到信任区

此时会显示上传证书窗口。

12

选择所需的群集与信任存储区关联。


 

在执行操作之前,请仔细阅读显示的警告消息。
13

单击选择文件以浏览证书。

14

单击上传将证书上传到所需群集的信任存储区。


 
Control Hub 中的订阅方节点不支持 IPsec 和 CAPF 的信任操作。 管理员必须在本地执行这些操作。

信任证书操作的频道限制:

  1. 如果在同一群集的节点上有复制不发生的任何信任服务,则管理员必须在本地执行这些操作。 例如 CAPF、IPSEC。
  2. 所有与信任相关的操作仅发送到群集的发布方节点,因此只能通过 "pub" 节点执行该操作,因此无法从子节点执行该操作。
    1. 删除信任
    2. 替换信任
    3. 分发信任
    4. 上载信任

删除信任操作时的限制:

  1. 只能通过 "Pub" 节点执行操作。
  2. 如果证书在“发布”节点中不存在并存在于子节点中,则无法通过控制中枢执行操作。 操作需要通过内部部署完成。

访问作业选项卡

作业选项卡显示所有已执行操作的概要。 “作业”选项卡显示当前月份总计、完成和待完成作业的摘要。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡上的 " 群集 "

3

在“列表”页中单击群集记录以访问 群集详细信息 页面。

4

单击作业选项卡以查看在当前月内执行的作业列表。

5

当前月份下拉框中,选择所需的时段以查看作业摘要。

作业状态与作业类型、节点、时间戳、证书和产品信息等详细信息一起显示在作业摘要中。

6

单击列表页面上的记录以查看作业详细信息。

一个侧面板将打开以显示作业详细信息。
7

单击关闭以关闭侧面板,然后返回到列表页面。

访问配置文件页

"配置文件 " 页面可让您定义设置,例如多服务器/多 SAN、CA 签名与 自签证书、有效期、RSA 与 ECDSA、密钥长度、哈希算法。

对每个版本的群集使用单独的配置文件。 例如,如果群集运行的是的是 12.x 版本,则在执行证书操作时只能看到 12.x 的功能。

在创建自定义配置文件时,管理员可以将新创建的自定义配置文件关联到群集。

1

Cisco Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡上的 " 配置文件 "

此时会显示配置文件页面,其中包含已创建配置文件的列表。


 

默认情况下,证书管理服务将提供标准配置文件,所有为证书管理服务启用的群集都与此配置文件相关联。 这是仅查看配置文件。 将鼠标悬停在配置文件上,然后单击省略号以查看或复制该配置文件。

3

将鼠标悬停在配置文件名称上,然后单击省略号以执行各种操作,例如:

  • 编辑

    1. 单击 编辑 可编辑所选的配置文件。

  • 删除

    1. 阅读警告消息,然后单击 删除 以删除所选的配置文件。

  • 复制

    1. 单击 复制 复制选定的配置文件。

      自定义配置文件的副本窗口将显示。

    2. 单击 创建 以更新或修改每个产品的设置(如果需要)。 否则,创建所选配置文件的副本。

4

单击添加配置文件以创建新的自定义配置文件。

5

输入配置文件名称
6

如果要将配置文件设置为默认值,请选中此复选框。
7

输入配置文件说明
8

定义每个产品的各种证书设置
9

单击创建以创建配置文件。

如果将自定义配置文件设置为“默认值”,请取消选中自定义配置文件上的默认复选框以默认切换回标准配置文件。

10

(可选)将配置文件关联到群集。 从顶部菜单中单击 群集 选项卡,将显示群集列表页面。 您可以从列表页面将配置文件关联到群集。


 

11.5x 和 12.5x 版本的有效期为 5 年,与有效期下拉列表中选择的值无关。 版本 14 以后,有效期可能介于 5 到 20 年之间。

不要运行表中列为 N 的操作,否则操作会失败。

证书操作

支持的版本

操作的功能

11.5

12.5

14 和更高版本
续订多服务器 N N Y 虽然此操作是在多服务器自签证书上执行的,但它仅使用语言单个节点。
重新使用 N N Y 操作仅适用于 Cisco Unified CM 应用程序上的呼叫管理器和呼叫管理器 ECDSA。 此操作适用于多服务器 CA 签名证书和多服务器自签证书。

访问设置页

当证书接近其到期日期时,系统会自动向收件人发送电子邮件消息。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡上的 " 设置 "

3

设置通知开始时间

您可以设置 30-365 天的通知开始时间。
4

设置通知频率

您可以设置 1-30 天的通知频率。
5

输入通知收件人的电子邮件地址。

最多只能输入 25 个电子邮件地址。
6

单击保存

当证书接近到期日期时,所有收件人都会收到电子邮件通知,如图片中所示。