证书管理概述

Centralized Certificate Management是一种基于云的服务,可在多个集群中查看和管理Cisco Unified Communications Manager、IM and Presence、Cisco Unity Connection和Cisco Emergency Responder证书。

开始之前:

必须为所需的集群启用服务管理页面上的证书管理服务。有关更多信息,请参阅在 Control Hub 中启用云连接 UC 服务

集中式证书管理提供以下关键功能:

  • 多集群仪表板,显示每个集群的证书状态。

  • 在单个集群级别的身份和信任证书的详细视图。

  • 能够执行证书操作,例如生成CSR、上载证书、续订、下载、复制、替换和删除。

  • 提醒仪表板查看已过期和即将过期的证书。

  • 可配置证书到期电子邮件通知等通知。

  • 在多个信任存储和集群中分发证书。

  • 用各种设置定义证书配置文件并分配给集群。

无法在Cisco Emergency Responder应用程序上分发和替换证书。

访问证书管理服务

云连接UC套件中的证书管理服务管理用于本地部署的证书。

要访问证书管理,请执行以下步骤:

1

Webex Control Hub 中的客户视图,转至服务 > 连接的UC

已连接 UC 页面随即显示。本页中的证书管理 卡提供了证书管理功能和功能。

2

证书管理 卡上,单击任何链接以访问证书管理的各种功能。

下表列出了证书管理中可用的功能:

标签页

描述

提示

显示所有已过期和已过期证书的摘要。管理员可以针对身份证书或信任证书采取必要的操作以保持最新状态。

集群

显示给定组织中各个群集的证书状态摘要,并允许管理员对身份证书或信任证书采取必要的操作。

  • 您可以查看组织内特定集群的所有标识和信任证书。

  • 工作选项卡显示在证书上执行的所有操作的摘要。

档案

验证集群中的证书是否符合配置的设置。您可以创建自定义证书管理配置文件并将其关联到集群。

设置

配置管理员电子邮件地址以接收证书到期通知。在“证书管理”的“设置”页中可配置所有字段。
访问警报页面

使用提醒 页面执行以下操作:

  • 查看已过期或即将过期的证书

  • 按证书筛选

  • 按产品筛选,以查看证书状态。

1

Webex Control Hub 中的客户视图,转至服务 > 连接的UC

已连接 UC 页面随即显示。

2

单击证书管理 卡中的警报

该页面同时显示已过期和即将过期的证书。证书列表详细信息,如集群名称、通用名称、证书类型、证书状态和到期日期。

3

(可选)选择以下选项之一:

  • 单击搜索 以搜索特定证书。

  • 筛选证书 下拉列表中选择一个或多个证书。

  • 筛选产品 下拉列表中选择一个或多个产品。

所选证书会显示在证书列表中,以及诸如集群、证书、通用名称、产品、类型、状态、服务器名称和到期等详细信息。

4

从列表页中选择记录以查看证书详细信息。

打开侧面面板以显示证书详细信息。您可以查看证书详细信息复制PEM格式证书。执行此面板第6步中列出的所有操作。

5

单击关闭 以关闭侧面面板并返回列表页面。

6

将鼠标悬停在证书记录上,然后单击椭圆以在Identity and Trust Store证书上执行各种操作。

身份证 上的操作包括:

  • 为自签名续订证书。

  • 为已签署的CA生成CSR。

  • 上传CA已签名的证书,并在证书上生成CSR。

  • 下载CA已签署的CSR,并在证书上生成CSR。

  • 删除CA已签署的CSR,并在证书上生成CSR。

证书操作

证书使用情况

描述

续订证书

在证书自签名时使用“续订证书”。

要为所选服务重用Tomcat证书时,请使用“重用Tomcat证书”。

根据配置文件设置显示续订证书 窗口。

根据配置文件设置 页面中的选择选择续订证书操作,即:

  • 重用Tomcat证书-选择在配置文件上使用Tomcat,启用重用Tomcat选项。

  • 续订证书-选择 证书类型为自签名,启用续订。

阅读警告消息并单击重用Tomcat证书 以续订证书。

生成 CSR

当证书类型已签署CA时,使用“生成CSR操作”。

生成CSR 窗口显示。

单击生成 以生成CSR。

上传证书

当证书类型已签署CA并且已生成CSR时,请使用上传操作。您可以上传。P7B格式的证书链或。pem或。der格式的身份证书。

上传证书 窗口显示。

  1. 单击选择文件 上传证书。

    从本地计算机上浏览并上传证书。

  2. 单击上传 以上传证书。

分发证书

使用分发操作将证书分发到单个操作中的多个集群。在Control Hub上选择多个集群和信任存储,证书将分发给所选集群。

分发证书 窗口显示。

  1. 选择要向其分发证书的集群和信托。

  2. 单击分发 将证书与所选的集群和信任关联起来。

  3. 单击确定 关闭分发证书窗口。

此程序不适用于CER应用程序。

下载 CSR

当证书类型已签署CA并已生成CSR时,使用“下载CSR”。您可以下载CSR以获得CA(证书颁发机构)的签名。

单击下载CSR,将CSR证书签名请求下载到本地计算机。

删除 CSR

必须重生CSR时使用“删除CSR操作”。

删除CSR 窗口显示。

读取警告消息并单击删除以删除CSR证书签名请求。

如果配置文件中由管理员配置的设置与证书属性不匹配,证书上会显示警告图标。例如:Tomcat证书是自签名的,但在配置文件设置中将其设置为CA签名,这会导致不匹配。

请勿在未验证不匹配的情况下在不知情的情况下单击提交 ,因为这可能会导致问题。

Trust Store证书 上的操作包括:

  • 替换证书

  • 删除证书

证书操作

证书使用情况

描述

替换证书

使用“替换证书”将现有证书替换为新证书。

替换证书 窗口显示。

  1. 单击选择文件 以选择新证书。

    从本地计算机上浏览并上传新证书。

  2. 单击替换 以替换证书。

此程序不适用于CER应用程序。

删除证书

当管理员希望删除即将到期且已过期的证书时,请使用“删除证书”。

删除证书 窗口显示。

  1. 选择要从其中删除证书的集群和信托。

  2. 单击下一步 将证书从选定的集群和信托中删除。

  3. 读取警告消息并单击删除 以删除证书。

删除证书替换证书 信任操作可能失败,找不到文件错误。当操作在包含12.5 SU5和14 SU1版本混合版本的多个集群上执行时,会出现此错误。

解决方案:在失败的节点上重试操作。验证相应集群的“职位详细信息”页面上的错误,该错误读取“证书”无法删除,因为该证书不存在。

信任商店证书身份证书 的常见操作包括:

  • 下载 .der

  • 下载 .pem

证书操作类型

证书使用情况

描述

下载 .der

使用Download.der下载证书的二进制格式。DER(Distinguished Encoding Rules)是一种数字证书。

单击下载。der,下载证书的。der(二进制)格式。

.der证书下载到本地计算机。

下载 .pem

使用Download.pem以。pem格式下载证书。PEM(Privacy Enhanced Mail)是ASCII格式的Base64编码的DER证书。

单击下载。pem,下载证书的。pem (ASCII)格式。

.pem证书下载到您的本地计算机。

7

证书操作已添加到职位列表。您可以在工作 选项卡下查看进度。

  1. 单击作业 链接可查看证书操作的进度。

  2. 单击确定 关闭证书窗口。

访问集群页面

集群 页面列出组织内所有集群的证书状态摘要。

1

Webex Control Hub 中的客户视图,转至服务 > 连接的UC

已连接 UC 页面随即显示。

2

单击证书管理 卡中的集群

集群摘要页显示集群,其中包含集群名称、状态、产品以及与集群关联的配置文件等详细信息。管理员可以更改标准配置文件与集群的自定义配置文件的缺省关联。

3

(可选)选择以下选项之一:

  • 单击搜索 以搜索特定集群。

  • 筛选产品 下拉菜单中,选择一个或多个产品。

4

单击列表页中的集群记录,访问集群详细信息 页面,该页面显示与所选集群关联的身份证书。

您可以导航至 Trust Store 选项卡或Jobs 选项卡。信任商店标签页显示不同信任商店的集群中的所有证书。工作选项卡列出了在证书上执行的操作和操作状态。

仪表板面板显示这些卡片:

  1. 身份证明

  2. 信任证书

  3. 职位详细信息

对于身份和信任证书卡,将显示有效、过期和即将过期证书的摘要。对于职位卡,会显示当前月份总数、完整和待处理职位的摘要。

访问身份证书选项卡

访问身份证书选项卡

使用身份证书 查看集群中存在的所有身份证书。您可以搜索特定的身份证书或查看证书的详细信息并执行必要的操作。
1

Webex Control Hub 中的客户视图,转至 Services> Connected UC

已连接 UC 页面随即显示。

2

单击证书管理 卡中的集群

3

单击列表页中的集群记录,访问集群详细信息 页面,该页面显示与集群关联的身份证书。

对于具有Cisco Emergency Responder 12.5或14版本的集群,不支持tomcat-ECDSA证书。

4

(可选)单击搜索 以搜索特定证书。

5

(可选)在筛选证书 下拉菜单中,根据类型选择一个或多个证书。

证书会显示在证书列表中,以及诸如服务器名称、通用名称、证书类型、证书状态和到期日期等详细信息。

6

单击列表页中的记录可查看证书详细信息。

打开侧面面板以显示证书详细信息。您可以查看证书详细信息复制PEM格式证书。您还可以执行此面板第8步中列出的所有操作。

7

单击关闭 以关闭侧面面板并返回列表页面。

当现有证书属性与配置文件不匹配且证书不合规时,会显示警告标志

8

将鼠标悬停在证书记录上并单击椭圆以执行各种操作。有关详细信息,请参阅身份证书上的操作

9

(可选)单击查看配置文件

显示与集群关联的配置文件。

访问Trust Store选项卡

访问Trust Store选项卡

信任存储 标签页列出不同信任存储集群中的所有证书。
1

Webex Control Hub 中的客户视图,转至服务 > 连接的UC

已连接 UC 页面随即显示。

2

单击证书管理 卡中的集群

3

单击列表页中的集群记录,访问集群详细信息 页面。

4

单击信任存储 标签页可查看证书列表。

证书会显示在证书列表中,并包含诸如共同名称、序列号、签发人、状态和到期日期等详细信息。

5

(可选)单击搜索 以搜索特定证书。

6

(可选)在筛选证书 下拉菜单中,选择一个或多个证书。

证书会显示在证书列表中,并包含诸如共同名称、序列号、签发人、状态和到期日期等详细信息。

7

单击列表页中的记录可查看证书详细信息。

打开侧面面板以显示证书详细信息。要查看与证书关联的所有集群,请参阅证书详细信息复制PEM格式证书。您还可以执行此面板第9步中列出的所有操作。

8

单击关闭 以关闭侧面面板并返回列表页面。

9

将鼠标悬停在证书记录上并单击椭圆以执行各种操作。

请参阅Trust Store Certificates 上的操作 中查看证书。
10

单击已过期的证书记录,将更新后的证书上传至Trust Store。

11

单击上传至信任

上传证书 窗口显示。

12

选择与信任商店关联所需的集群。

执行操作前,请仔细阅读显示的警告消息。

13

单击选择文件 以浏览证书。

14

单击上传 将证书上传到信任存储中,以获取所需的集群。

Control Hub中的订阅者节点不支持针对IPsec和CAPF的信任操作。管理员必须在内部执行这些操作。

限制

信托证书操作的CH限制:

  1. 如果同一集群的节点上没有复制任何信任服务,管理员必须在本地执行这些操作。例如:capf,ipsec。
  2. 所有与信任相关的操作仅发送到集群的发布者节点,因此操作只能通过酒吧节点执行,不能从子节点执行。
    1. 删除信任
    2. 更换信任
    3. 分发信任
    4. 上传信任

删除信任操作的限制:

  1. 操作只能通过Pub节点执行。
  2. 如果证书不在Pub节点中并且存在于子节点中,则无法通过Control Hub执行操作。操作需要通过内部部署完成。

访问职位选项卡

访问职位选项卡

作业 标签页显示所有已执行操作的摘要。职位标签页显示当前月份总数、已完成和待处理职位的摘要。

1

Webex Control Hub 中的客户视图,转至服务 > 连接的UC

已连接 UC 页面随即显示。

2

单击证书管理 卡中的集群

3

单击列表页中的集群记录,访问集群详细信息 页面。

4

单击职位 标签页可查看当前月份中执行的职位列表。

5

当前月份 下拉菜单中,选择所需的期间以查看工作摘要。

作业状态显示在作业摘要中,以及诸如作业类型、节点、时间戳、证书和产品信息等详细信息。

6

单击列表页中的记录可查看职位详细信息。

打开侧面面板以显示作业详细信息。

7

单击关闭 以关闭侧面面板并返回列表页面。

访问配置文件页面

配置文件 页允许您定义诸如多服务器/多个SAN、CA签名与自签名等设置、有效期、RSA与ECDSA、密钥长度、哈希算法。

为集群的每个版本使用单独的配置文件。例如,如果集群运行12.x版本,执行证书操作时必须只看到12.x功能。

在创建自定义配置文件时,管理员可以将新创建的自定义配置文件关联到集群。

1

Cisco Webex Control Hub 中的客户视图,转至服务 > 连接的UC

已连接 UC 页面随即显示。

2

单击证书管理 卡中的配置文件

配置文件 页面将显示创建的配置文件列表。

默认情况下,证书管理服务提供标准配置文件,并为证书管理服务启用的所有集群都与此配置文件关联。这是只查看配置文件。将鼠标悬停在配置文件上,然后单击椭圆可查看或复制配置文件。

3

将鼠标悬停在配置文件名称上并单击椭圆以执行各种操作,如:

  • 编辑

    1. 单击编辑 以编辑所选配置文件。

  • 删除

    1. 读取警告消息,然后单击删除 删除所选配置文件。

  • 复制

    1. 单击复制 以复制所选配置文件。

      出现了自定义配置文件副本 窗口。

    2. 单击创建 以更新或修改每个产品的设置(如果需要)。否则,创建所选配置文件的副本。

4

单击添加配置文件 创建新的自定义配置文件。

5

输入个人资料名称

6

要将配置文件设置为默认,请选中复选框。

7

为配置文件输入描述

8

为每种产品定义不同的证书设置

9

单击创建 创建配置文件。

如果您已将自定义配置文件设置为默认,请取消选择自定义配置文件上的默认复选框,以将默认配置文件切换回默认配置文件。

10

(可选)将配置文件关联到集群。单击顶部菜单中的集群 选项卡,将显示集群列表页。您可以从列表页将配置文件关联到集群。

11.5x 和12.5x 版本的有效期为5年,无论有效性下拉菜单中选择的值如何。从版本14开始,有效期可能为5-20年。

不要运行表中列为N的操作,否则操作失败。

证书操作

支持的版本

操作的运作

11.5

12.5

14及更高版本

更新多台服务器NNY虽然此操作是在多台服务器自签名证书上执行的,但它仅适用于单个节点。
重用NNY操作仅适用于Cisco Unified CM应用程序上的Call Manager和Call Manager ECDSA。此操作适用于多服务器CA签名和多服务器自签名证书。
访问设置页面

当证书接近到期日期时,系统会自动向收件人发送电子邮件。

1

Webex Control Hub 中的客户视图,转至服务 > 连接的UC

已连接 UC 页面随即显示。

2

单击证书管理 卡中的设置

3

设置通知开始时间

您可以将“通知开始时间”设置为30-365天。

4

设置通知频率

您可以将通知频率设置为1-30天。

5

输入通知收件人的电子邮件地址。

您可以输入最多25个电子邮件地址。

6

单击保存

当证书接近到期日期时,所有收件人都会收到电子邮件通知,如图所示。