证书管理概述

集中式证书管理是一项基于云的服务,可提供一个位置来 查看和管理跨多个 群集的 Cisco Unified Communications Manager、IM and Presence、Cisco Unity Connection 和 Cisco Emergency Responder 的证书。

开始使用前:

您必须在“服务管理”页面上为所需的群集启用证书管理 服务。有关详细 信息,请参阅在 Control Hub 中启用 Cloud-Connected UC 服务

集中式证书管理提供以下主要 功能:

  • 显示每个群集的证书状态的多群集控制板。

  • 详细列示单个 群集级别的身份和信任证书。

  • 能够执行证书操作,例如生成 CSR、上传 证书、续订、下载、复制、替换和删除。

  • 通过警报控制板显示已经到期和即将到期的证书。

  • 能够配置通知(例如证书 到期的电子邮件通知)。

  • 跨多个信任存储区和群集分发证书。

  • 通过各种设置定义证书配置文件并将其分配给群集。


不能在 Cisco Emergency Responder 应用程序上分发和替换证书 。

访问证书管理服务

Cloud-Connected UC 服务套件中的证书管理服务管理 用于本地部署的证书。

要访问证书管理,请执行以下步骤:

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。此页面的 证书管理卡片提供 证书管理特性和功能。

2

证书管理卡片上,单击任何链接即可 访问证书管理的各种功能。

下表列出了 证书管理 中的可用功能:

选项卡

说明

警告

汇总显示所有已经到期和即将到期的证书。 管理员可以对身份或信任证书执行必要的操作 以保持其最新。

群集

汇总显示给定 组织中跨群集的证书状态。

  • 您可以查看组织内 特定群集的所有身份和信任证书。

  • “作业”选项卡显示对 证书执行的所有操作汇总。

配置文件

使用配置文件续订证书、生成 CSR 以及检查证书 合规性。您可以创建自定义证书管理配置文件 并将其关联到群集。

设置

配置管理员的电子邮件地址以接收 证书到期通知。所有字段均可在证书管理的 “设置”页面中配置。

使用警报页面执行以下操作:

  • 查看已经到期或即将到期的证书

  • 按证书过滤

  • 按产品过滤以查看证书状态。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击证书管理卡片上的警报

页面上会显示已经到期和即将到期的证书。证书会列出 详细信息,例如群集名称、通用名称、证书类型、证书 状态和到期日期。

3

(可选)选择下列选项之一:

  • 单击搜索以搜索特定证书。

  • 过滤证书 下拉列表中选择一个或多个证书。

  • 过滤产品下拉 列表中选择一个或多个产品。

所选证书将随群集、 证书、通用名称、产品、类型、状态、服务器名称和 到期等详细信息显示在证书列表中。

4

从列表页面选择一条记录以查看证书详细信息。

一个侧面板将打开以显示证书详细信息。您可以查看证书 详细信息复制 PEM 格式证书 。执行此面板步骤 6 中列出的所有 操作。

5

单击关闭以关闭侧面板,然后返回到列表页面。

6

将鼠标悬停在证书记录上,然后单击省略号对身份和信任存储区证书执行各种 操作。

身份证书的操作包括:

  • 续订自签证书。

  • 为 CA 签名证书生成 CSR。

  • 为 CA 签名证书上传证书,证书上会生成 CSR 。

  • 为 CA 签名证书下载 CSR,证书上会生成 CSR 。

  • 为 CA 签名证书删除 CSR,证书上会生成 CSR 。

证书操作

证书使用

说明

续订证书

如果是自签证书,则使用续订证书 。

当您想要对所选服务重复使用 Tomcat 证书时,使用“重新使用 Tomcat 证书” 。

续订证书窗口将根据 配置文件设置显示。

根据配置文件 设置页面中的选择,选择续订证书 操作,选择包括:

  • 重新使用 Tomcat 证书- 选择在配置文件中使用 Tomcat 时,重新使用 Tomcat 选项将启用。

  • 续订证书- 对于证书 类型,选择自签证书时,续订 将启用。

阅读警告消息,然后单击重新使用 Tomcat 证书以续订 证书。

生成 CSR

当证书类型为“CA 签名证书”时使用生成 CSR 操作。

此时会显示生成 CSR 窗口 。

单击生成以生成 CSR。

上载证书

当证书类型为“CA 签名证书”并且 CSR 已生成时,使用上传操作 。您可以上传 .P7B 格式的证书链或者 .pem 或 .der 格式的身份证书。

此时会显示上传证书窗口 。

  1. 单击选择文件以 上传证书。

    浏览并从本地 计算机上传证书。

  2. 单击上传以上传 证书。

分发证书

使用分发操作,通过一个 操作将证书分发到多个群集。 在 Control Hub 上选择多个群集和信任存储区,证书将分发到所选的 群集。

此时会显示分发证书窗口 。

  1. 选择要向其 分发证书的群集和信任区。

  2. 单击分发 将证书与所选 群集和信任区关联。

  3. 单击确定关闭 “分发证书”窗口。


 

此程序不适用于 CER 应用程序。

下载 CSR

当证书类型为 CA 签名证书且 CSR 已生成时,使用“下载 CSR”。 您可以下载 CSR 以让 CA(证书颁发机构)为其签名。

单击 下载 CSR 将 CSR 证书签名请求下载到您本地的 计算机。

删除 CSR

当 CSR 必须 重新生成时,使用删除 CSR 操作。

此时会显示删除 CSR 窗口。

阅读警告消息并单击 删除,以删除 CSR 证书签名请求。


 

如果配置文件中管理员配置的设置与 证书属性不匹配,则会针对 证书显示警告图标。示例:Tomcat 证书为自签证书,但在 配置文件设置中,其设置为 CA 签名证书,这导致不匹配。

请勿在不验证 不匹配的情况下盲目单击提交,否则可能导致问题。

信任存储区证书的操作包括:

  • 更换证书

  • 删除证书

证书操作

证书使用

说明

更换证书

使用“更换证书”将现有证书更换为新证书。

此时会显示更换证书窗口 。

  1. 单击选择文件以 选择新证书。

    浏览并上传 本地计算机上的新证书。

  2. 单击更换以更换 证书。


 

此程序不适用于 CER 应用程序。

删除证书

当管理员想要 删除即将到期和已经到期的证书时,请使用“删除证书”。

此时会显示删除证书窗口 。

  1. 选择要 从中删除证书的群集和信任区。

  2. 单击下一步从所选群集和 信任区删除 证书。

  3. 阅读警告消息,然后单击 删除以删除 证书。


 

删除证书更换证书 信任操作可能会失败,并显示错误:找不到文件 。当在多个采用 12.5 SU5 和 14 SU1 混合版本的群集上 执行操作时,会出现此错误。

解决方案:对失败的节点重试操作。验证 相应群集的作业详细信息页面上的错误: 无法删除证书,因为该 节点上不存在此证书。

信任存储区证书身份证书的常见操作包括:

  • 下载 .der

  • 下载 .pem

证书操作类型

证书使用

说明

下载 .der

使用“下载 .der”下载二进制格式的 证书。DER(可分辨编码规则)是 数字证书。

单击下载 .der 以下载 .der(二进制)格式的证书。

.der 证书会下载到您本地的 计算机。

下载 .pem

使用“下载 .pem”以 .pem 格式下载证书。PEM(隐私增强 邮件)是 ASCII 格式、Base64 编码的 DER 证书。

单击下载 .pem 以下载 .pem(ASCII)格式的证书。

.pem 证书将下载到您本地的 计算机。

7

证书操作将添加到作业列表中。您可以在作业选项卡下查看进度 。

  1. 单击作业链接查看证书操作的进度 。

  2. 单击确定关闭“证书”窗口。

群集 页面按群集 列出了组织中所有群集的证书状态摘要。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击证书管理卡片上的群集

“群集摘要”页面显示群集以及群集相关详情,例如群集名称、状态、 产品和配置文件。管理员可以 更改标准配置文件与群集的自定义配置文件的默认关联 。

3

(可选)选择下列选项之一:

  • 单击搜索以搜索特定群集。

  • 过滤产品下拉框中,选择一个或多个产品。

4

单击列表页面中的群集记录以访问群集详细信息 页面,该页面显示与 所选群集关联的身份证书。

您可以导航到信任存储区选项卡或 作业选项卡。“信任存储区”选项卡显示 群集中跨多个信任存储区的所有证书。“作业”选项卡列出了 对证书执行的操作以及操作状态。

控制板窗格将显示以下卡片:

  1. 身份证书

  2. 信任证书

  3. 作业详细信息

对于身份和信任证书卡片,将显示有效、已到期和 即将到期的证书的摘要。对于作业卡片,将 显示当前月份总计、完成和待完成作业的摘要。

访问身份证书选项卡

使用身份证书查看 群集中存在的所有身份证书。您可以搜索特定的身份证书或查看 证书的详细信息并执行必要操作。

1

Webex Control Hub 中的客户视图,转至 服务> Connected UC

此时 Connected UC 页面将显示。

2

单击证书管理卡片上的群集

3

单击列表页面中的群集记录以访问群集详细信息 页面,该页面会显示与 群集关联的身份证书。


 

对于 Cisco Emergency Responder 12.5 或 14 版本的群集, 不支持 tomcat-ECDSA 证书。

4

(可选)单击搜索以搜索特定证书。

5

(可选)在过滤证书下拉框中,根据其类型选择一个或多个证书 。

证书将与 服务器名称、通用名称、证书类型、证书状态以及 到期日期等详细信息一起显示在证书列表中。

6

单击列表页面上的记录以查看证书详细信息。

一个侧面板将打开以显示证书详细信息。您可以查看证书 详细信息复制 PEM 格式证书。您也可以 执行此面板第 8 步中列出的所有操作。

7

单击关闭以关闭侧面板,然后返回到列表页面。


 

当现有证书属性与 配置文件不匹配并且证书不合规时,就会显示警告符号

8

将鼠标悬停在证书记录上,然后单击省略号执行各种 操作。有关详细信息,请参阅身份 证书的操作

9

(可选)单击查看配置文件

此时会显示与群集关联的配置文件。

访问信任存储区选项卡

信任存储区选项卡会列出跨 各种信任存储区的群集中的所有证书。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击证书管理卡片上的群集

3

在列表页面单击群集记录以访问群集详细信息 页面。

4

单击信任存储区选项卡以查看证书列表。

证书会显示在证书列表中,其中会包含 通用名称、序列号、颁发者、状态和到期日期等详细信息。

5

(可选)单击搜索以搜索特定证书。

6

(可选)在过滤证书下拉框中,选择一个或多个证书。

证书会显示在证书列表中,其中会包含 通用名称、序列号、颁发者、状态和到期日期等详细信息。

7

单击列表页面上的记录以查看证书详细信息。

一个侧面板将打开以显示 证书详细信息。要查看与 证书关联的所有群集,请参阅证书详细信息复制 PEM 格式 证书。您也可以执行 此面板第 9 步中列出的所有操作。

8

单击关闭以关闭侧面板,然后返回到列表页面。

9

将鼠标悬停在证书记录上,然后单击省略号执行各种 操作。

有关详细信息,请参阅信任存储区 证书的操作。
10

单击状态为到期的证书记录以将更新的证书上传到信任存储区。

11

单击上传到信任区

此时会显示上传证书窗口。

12

选择所需的群集与信任存储区关联。


 

在执行操作之前,请仔细阅读显示的警告消息。

13

单击选择文件以浏览证书。

14

单击上传将证书上传到所需群集的信任存储区。

Control Hub 中的订阅方节点不支持 IPsec 和 CAPF 的信任操作。管理员必须在本地执行这些操作 。

访问作业选项卡

作业选项卡显示所有已执行操作的概要。 “作业”选项卡显示当前月份总计、完成和待完成作业的摘要 。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击证书管理卡片上的群集

3

在列表页面单击群集记录以访问群集详细信息 页面。

4

单击作业选项卡以查看在当前月内执行的作业列表。

5

当前月份下拉框中,选择所需的时段以查看作业摘要。

作业状态与作业类型、节点、 时间戳、证书和产品信息等详细信息一起显示在作业摘要中。

6

单击列表页面上的记录以查看作业详细信息。

一个侧面板将打开以显示作业详细信息。

7

单击关闭以关闭侧面板,然后返回到列表页面。

配置文件页面可让您定义设置 ,例如多服务器/多 SAN、CA 签名与自签证书、有效期、RSA 与 ECDSA、 密钥长度、散列算法。

对每个版本的群集使用单独的配置文件。例如,如果群集运行的是的是 12.x 版本,则在执行证书操作时只能看到 12.x 的功能。

在创建自定义配置文件时,管理员可以将新创建的 自定义配置文件关联到群集。

1

Cisco Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击证书管理卡片上的配置文件

此时会显示配置文件页面,其中包含已创建配置文件的列表。


 

默认情况下,证书管理服务将提供标准配置文件,所有为 证书管理服务启用的群集都与此 配置文件相关联。这是仅查看配置文件。将鼠标悬停在配置文件上,然后单击 省略号以查看或复制该配置文件。

3

将鼠标悬停在配置文件名称上,然后单击省略号以执行各种操作, 例如:

  • 编辑

    1. 单击编辑可编辑所选的 配置文件。

  • 删除

    1. 阅读警告消息,然后单击 删除以删除所选的 配置文件。

  • 复制

    1. 单击复制以复制所选的 配置文件。

      自定义配置文件的副本窗口将显示。

    2. 单击创建以更新或修改每个产品的 设置(如果需要)。否则,创建所选 配置文件的副本。

4

单击添加配置文件以创建新的自定义配置文件。

5

输入配置文件名称

6

如果要将配置文件设置为默认值,请选中此复选框。

7

输入配置文件的说明

8

定义每个产品的各种证书设置

9

单击创建以创建配置文件。

如果将自定义配置文件设置为“默认值”,请取消选中自定义 配置文件上的默认复选框以默认切换回标准配置文件。

10

(可选)将配置文件关联到群集。从顶部菜单单击 群集选项卡,此时会显示群集列表 页面。您可以从列表页面将配置文件关联到群集。


 

11.5x 和 12.5x 版本的有效期为 5 年,与有效期下拉列表中 选择的值无关。版本 14 以后,有效期可能 介于 5 到 20 年之间。

不要运行表中列为 N 的操作,否则 操作会失败。

证书操作

支持的版本

操作的功能

11.5

12.5

14 和更高版本

续订多服务器 N N Y 虽然此操作是在多服务器 自签证书上执行的,但它仅使用语言单个 节点。
重新使用 N N Y 操作仅适用于 Cisco Unified CM 应用程序上的呼叫管理器和呼叫管理器 ECDSA。此操作适用 于多服务器 CA 签名证书和多服务器自签 证书。

当证书接近 其到期日期时,系统会自动向收件人发送电子邮件消息。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击证书管理卡片中的设置

3

设置通知开始时间

您可以设置 30-365 天的通知开始时间。

4

设置通知频率

您可以设置 1-30 天的通知频率。

5

输入通知收件人的电子邮件地址。

最多只能输入 25 个电子邮件地址。

6

单击保存

当证书 接近到期日期时,所有收件人都会收到电子邮件通知,如图片中所示。