Certificate Management概述

集中式证书管理是一项基于云的服务,可提供一个位置来查看和管理跨多个群集的 Cisco Unified Communications Manager、IM and Presence、Cisco Unity Connection 和 Cisco Emergency Responder 的证书。

开始使用前:

您必须在“服务管理”页面上为所需的群集启用证书管理服务。 有关详细信息,请参阅在 Control Hub 中启用 Cloud-Connected UC 服务

集中式证书管理提供以下主要功能:

  • 显示每个群集的证书状态的多群集控制板。

  • 详细列示单个群集级别的身份和信任证书。

  • 能够执行证书操作,例如生成 CSR、上传证书、续订、下载、复制、替换和删除。

  • 通过警报控制板显示已经到期和即将到期的证书。

  • 能够配置通知(例如证书到期的电子邮件通知)。

  • 跨多个信任存储区和群集分发证书。

  • 通过各种设置定义证书配置文件并将其分配给群集。

不能在 Cisco Emergency Responder 应用程序上分发和替换证书 。

访问证书管理服务

Cloud-Connected UC 服务套件中的证书管理服务管理用于本地部署的证书。

要访问证书管理,请执行以下步骤:

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。 此页面中的Certificate Management 卡提供Certificate Management的特性和功能。

2

在Certificate Management 卡上 ,单击任意链接以访问证书管理的各种功能。

下表列出了证书管理中的可用功能:

选项卡

说明

警告

汇总显示所有已经到期和即将到期的证书。 管理员可以对身份或信任证书执行必要的操作以保持其最新。

群集

显示给定组织中各个集群的证书状态摘要,并允许管理员对身份证书或信任证书采取必要的操作。

  • 您可以查看组织内特定群集的所有身份和信任证书。

  • “作业”选项卡显示对证书执行的所有操作汇总。

配置文件

验证群集中的证书是否符合配置的设置。 您可以创建自定义证书管理配置文件并将其关联到群集。

设置

配置管理员的电子邮件地址以接收证书到期通知。 所有字段均可在证书管理的“设置”页面中配置。
“访问警报”页

使用“警报 ”页执行以下操作:

  • 查看已经到期或即将到期的证书

  • 按证书过滤

  • 按产品过滤以查看证书状态。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 卡片Certificate Management 中的警报

页面上会显示已经到期和即将到期的证书。 证书会列出详细信息,例如群集名称、通用名称、证书类型、证书状态和到期日期。

3

(可选)选择下列选项之一:

  • 单击搜索以搜索特定证书。

  • 筛选证书 下拉列表中选择一个或多个证书。

  • 筛选产品 下拉列表中选择一个或多个产品。

所选证书将随群集、证书、通用名称、产品、类型、状态、服务器名称和到期等详细信息显示在证书列表中。

4

从列表页面选择一条记录以查看证书详细信息。

一个侧面板将打开以显示证书详细信息。 您可以查看 证书详细信息复制 PEM 格式证书。 执行此面板步骤 6 中列出的所有操作。

5

单击关闭以关闭侧面板,然后返回到列表页面。

6

将鼠标悬停在证书记录上,然后单击省略号对身份和信任存储区证书执行各种操作。

对身份证书 的操作 包括:

  • 续订自签证书。

  • 为 CA 签名证书生成 CSR。

  • 为 CA 签名证书上传证书,证书上会生成 CSR。

  • 为 CA 签名证书下载 CSR,证书上会生成 CSR。

  • 为 CA 签名证书删除 CSR,证书上会生成 CSR。

证书操作

证书使用

说明

续订证书

如果是自签证书,则使用续订证书。

当您想要对所选服务重复使用 Tomcat 证书时,使用“重新使用 Tomcat 证书”。

将根据 配置文件设置显示续订证书 窗口。

根据“配置文件设置” 页中的 选择续订证书操作,即:

  • 重用 Tomcat 证书 - 选择 在配置文件上使用 Tomcat,已启用“重用 Tomcat”选项。

  • 续订证书 - 选择 证书类型为自签名,续订已启用。

阅读警告消息并单击“重用 Tomcat 证书 以续订证书。

生成 CSR

当证书类型为“CA 签名证书”时使用生成 CSR 操作。

将显示 生成CSR 窗口。

单击 生成 以生成CSR。

上载证书

当证书类型为“CA 签名证书”并且 CSR 已生成时,使用上传操作。 您可以上传 .P7B 格式的证书链或者 .pem 或 .der 格式的身份证书。

此时会显示上传证书窗口。

  1. 单击 选择文件 上传证书。

    浏览并从本地计算机上传证书。

  2. 单击 上传 上传证书。

分发证书

使用分发操作,通过一个操作将证书分发到多个群集。 在 Control Hub 上选择多个群集和信任存储区,证书将分发到所选的 群集。

系统将弹出“ 分发证书 ”窗口。

  1. 选择要向其分发证书的群集和信任区。

  2. 单击分发 证书与所选群集和信任关联。

  3. 单击确定 关闭 分发证书窗口。

此程序不适用于 CER 应用程序。

下载 CSR

当证书类型为 CA 签名证书且 CSR 已生成时,使用“下载 CSR”。 您可以下载 CSR 以让 CA(证书颁发机构)为其签名。

单击下载CSR ,将CSR 证书签名请求下载到本地计算机。

删除 CSR

当 CSR 必须重新生成时,使用删除 CSR 操作。

此时会显示删除 CSR 窗口。

阅读警告消息并单击 Delete 以删除 CSR 证书签名请求。

如果配置文件中管理员配置的设置与证书属性不匹配,则会针对证书显示警告图标。 示例:Tomcat 证书为自签证书,但在配置文件设置中,其设置为 CA 签名证书,这导致不匹配。

请勿在未验证不匹配的情况下单击“提交 ,因为这可能会导致问题。

对信任存储区证书 的操作 包括:

  • 更换证书

  • 删除证书

证书操作

证书使用

说明

更换证书

使用“更换证书”将现有证书更换为新证书。

系统将弹出“ 替换证书 ”窗口。

  1. 单击 选择文件 以选择新证书。

    浏览并上传本地计算机上的新证书。

  2. 单击 替换 以替换证书。

此程序不适用于 CER 应用程序。

删除证书

当管理员想要删除即将到期和已经到期的证书时,请使用“删除证书”。

系统将弹出“ 删除证书 ”窗口。

  1. 选择要从中删除证书的群集和信任区。

  2. 单击 下一步 从所选集群和信任中删除证书。

  3. 阅读警告消息并单击删除 删除证书。

“删除证书 ”或 “替换证书 ”信任操作可能会失败,并显示错误 “找不到文件”。 当在多个采用 12.5 SU5 和 14 SU1 混合版本的群集上执行操作时,会出现此错误。

解决方案:对失败的节点重试操作。 验证相应群集的作业详细信息页面上的错误:无法删除证书,因为该节点上不存在此证书。

对信任存储区证书 身份证书 常见操作包括:

  • 下载 .der

  • 下载 .pem

证书操作类型

证书使用

说明

下载 .der

使用“下载 .der”下载二进制格式的证书。 DER(可分辨编码规则)是数字证书。

单击 下载 .der,以下载 .der(二进制)格式的证书。

.der 证书会下载到您本地的计算机。

下载 .pem

使用“下载 .pem”以 .pem 格式下载证书。 PEM(隐私增强邮件)是 ASCII 格式、Base64 编码的 DER 证书。

单击 下载 .pem 以下载 .pem (ASCII) 格式的证书。

.pem 证书将下载到您本地的计算机。

7

证书操作将添加到作业列表中。 您可以在“作业 选项卡下查看进度。

  1. 单击“作业 ”链接以查看证书操作的进度。

  2. 单击确定关闭“证书”窗口。

“访问集群”页面

“集群 ”页面列出了组织中所有集群的证书状态摘要。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡中的 群集

“群集摘要”页面显示群集以及群集相关详情,例如群集名称、状态、产品和配置文件。 管理员可以更改标准配置文件与群集的自定义配置文件的默认关联。

3

(可选)选择下列选项之一:

  • 单击搜索以搜索特定群集。

  • 过滤产品下拉框中,选择一个或多个产品。

4

单击列表页面中的集群记录可访问 集群详细信息 页面,该页面显示与所选集群关联的身份证书。

您可以导航到“ 信任存储 ”选项卡或 “作业 ”选项卡。 “信任存储区”选项卡显示群集中跨多个信任存储区的所有证书。 “作业”选项卡列出了对证书执行的操作以及操作状态。

控制板窗格将显示以下卡片:

  1. 身份证书

  2. 信任证书

  3. 作业详细信息

对于身份和信任证书卡片,将显示有效、已到期和即将到期的证书的摘要。 对于作业卡片,将显示当前月份总计、完成和待完成作业的摘要。

访问身份证书选项卡

访问身份证书选项卡

使用身份证书 查看群集中存在的所有身份证书。 您可以搜索特定的身份证书或查看证书的详细信息并执行必要操作。
1

从Webex Control Hub 中的客户视图,转至 服务>连接的 UC。

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡中的 群集

3

单击列表页面中的集群记录可访问 集群详细信息 页面,该页面显示与集群关联的身份证书。

对于 Cisco Emergency Responder 12.5 或 14 版本的群集,不支持 tomcat-ECDSA 证书。

4

(选填) 单击搜索以搜索特定证书。

5

(可选)在“ 筛选证书 ”下拉列表中,根据证书类型选择一个或多个证书。

证书将与服务器名称、通用名称、证书类型、证书状态以及到期日期等详细信息一起显示在证书列表中。

6

单击列表页面上的记录以查看证书详细信息。

一个侧面板将打开以显示证书详细信息。 您可以查看 证书详细信息复制 PEM 格式证书。 您也可以执行此面板第 8 步中列出的所有操作。

7

单击关闭以关闭侧面板,然后返回到列表页面。

当现有证书属性与配置文件不匹配且证书不符合时,将显示警告标志

8

将鼠标悬停在证书记录上,然后单击省略号执行各种操作。 有关详细信息,请参阅 身份证书 上的 操作。

9

(可选)单击查看配置文件

此时会显示与群集关联的配置文件。

访问信任存储区选项卡

访问信任存储区选项卡

“信任库 选项卡跨各种信任存储列出群集中的所有证书。
1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡中的 群集

3

单击列表页面中的集群记录以访问 集群详细信息 页面。

4

单击信任存储区选项卡以查看证书列表。

证书会显示在证书列表中,其中会包含通用名称、序列号、颁发者、状态和到期日期等详细信息。

5

(选填) 单击搜索以搜索特定证书。

6

(可选)在过滤证书下拉框中,选择一个或多个证书。

证书会显示在证书列表中,其中会包含通用名称、序列号、颁发者、状态和到期日期等详细信息。

7

单击列表页面上的记录以查看证书详细信息。

一个侧面板将打开以显示证书详细信息。 要查看与证书关联的所有集群,请参阅 证书详细信息复制 PEM 格式证书。 您也可以执行此面板第 9 步中列出的所有操作。

8

单击关闭以关闭侧面板,然后返回到列表页面。

9

将鼠标悬停在证书记录上,然后单击省略号执行各种操作。

请参阅 对信任存储证书 的操作 以了解详细信息。
10

单击状态为到期的证书记录以将更新的证书上传到信任存储区。

11

单击上传到信任区

此时会显示上传证书窗口。

12

选择所需的群集与信任存储区关联。

在执行操作之前,请仔细阅读显示的警告消息。

13

单击选择文件以浏览证书。

14

单击上传将证书上传到所需群集的信任存储区。

不支持通过 Control Hub 中的订阅者节点对 IPsec 和 CAPF 执行信任操作。 管理员必须在本地执行这些操作。

限制

信任证书操作的 CH 限制:

  1. 如果存在无法在同一群集的节点上进行复制的任何信任服务,则管理员必须在内部执行这些操作。 例如CAPF、IPSEC。
  2. 所有与信任相关的操作都仅发送到群集的发布方节点,因此该操作只能通过 pub 节点执行,不能从子节点执行。
    1. 删除信任
    2. 取代信任
    3. 分配信任
    4. 上传信任

删除信任操作的限制:

  1. 操作只能通过 Pub 节点执行。
  2. 如果证书不存在于 Pub 节点中而存在于子节点中,则无法通过 Control Hub 执行操作。 操作需要通过内部部署完成。

访问作业选项卡

访问作业选项卡

作业选项卡显示所有已执行操作的概要。 “作业”选项卡显示当前月份总计、完成和待完成作业的摘要。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡中的 群集

3

单击列表页面中的集群记录以访问 集群详细信息 页面。

4

单击作业选项卡以查看在当前月内执行的作业列表。

5

当前月份下拉框中,选择所需的时段以查看作业摘要。

作业状态与作业类型、节点、时间戳、证书和产品信息等详细信息一起显示在作业摘要中。

6

单击列表页面上的记录以查看作业详细信息。

一个侧面板将打开以显示作业详细信息。

7

单击关闭以关闭侧面板,然后返回到列表页面。

“访问档案”页

配置文件 页面允许您定义设置,例如多服务器/多 SAN、CA 签名与自签名、有效期、RSA与 ECDSA、密钥长度、哈希算法。

对每个版本的群集使用单独的配置文件。 例如,如果群集运行的是的是 12.x 版本,则在执行证书操作时只能看到 12.x 的功能。

在创建自定义配置文件时,管理员可以将新创建的自定义配置文件关联到群集。

1

Cisco Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡中的 配置文件

此时会显示配置文件页面,其中包含已创建配置文件的列表。

默认情况下,证书管理服务将提供标准配置文件,所有为证书管理服务启用的群集都与此配置文件相关联。 这是仅查看配置文件。 将鼠标悬停在配置文件上,然后单击省略号以查看或复制该配置文件。

3

将鼠标悬停在配置文件名称上,然后单击省略号以执行各种操作,例如:

  • 编辑

    1. 单击 编辑 以编辑选定的配置文件。

  • 删除

    1. 阅读警告消息并单击删除 删除选定的配置文件。

  • 复制

    1. 单击 复制 以复制选定的配置文件。

      自定义配置文件的副本窗口将显示。

    2. 如果需要,单击创建 更新或修改每个产品的设置。 否则,创建所选配置文件的副本。

4

单击添加配置文件以创建新的自定义配置文件。

5

输入配置文件名称

6

如果要将配置文件设置为默认值,请选中此复选框。

7

输入配置文件说明

8

定义每个产品的各种证书设置

9

单击创建以创建配置文件。

如果将自定义配置文件设置为“默认值”,请取消选中自定义配置文件上的默认复选框以默认切换回标准配置文件。

10

(可选)将配置文件关联到群集。 单击 顶部菜单中的群集 选项卡,将显示群集列表页面。 您可以从列表页面将配置文件关联到群集。

11.5x 和 12.5x 版本的有效期为 5 年,与有效期下拉列表中选择的值无关。 版本 14 以后,有效期可能介于 5 到 20 年之间。

不要运行表中列为 N 的操作,否则操作会失败。

证书操作

支持的版本

操作的功能

11.5

12.5

14 和更高版本

续订多服务器NNY虽然此操作是在多服务器自签证书上执行的,但它仅使用语言单个节点。
重新使用NNY操作仅适用于 Cisco Unified CM 应用程序上的呼叫管理器和呼叫管理器 ECDSA。 此操作适用于多服务器 CA 签名证书和多服务器自签证书。
“访问设置”页

当证书接近其到期日期时,系统会自动向收件人发送电子邮件消息。

1

Webex Control Hub 中的客户视图,转至服务 > Connected UC

此时 Connected UC 页面将显示。

2

单击 Certificate Management 卡中的 设置

3

设置通知开始时间

您可以设置 30-365 天的通知开始时间。

4

设置通知频率

您可以设置 1-30 天的通知频率。

5

输入通知收件人的电子邮件地址。

最多只能输入 25 个电子邮件地址。

6

单击保存

当证书接近到期日期时,所有收件人都会收到电子邮件通知,如图片中所示。