Certificate Management概觀

Centralized Certificate Management 是一項雲端型的服務,提供單一位置以查看並管理多個叢集中的 Cisco Unified Communications Manager、IM and Presence 和 Cisco Unity Connection 和 Cisco Emergency Responder 憑證。

開始之前

您需於服務管理頁面上啟用所需的叢集的 Certificate Management服務。 如需更多資訊,請參閱在 ControlHub 中啟用 Cloud-Connected UC 服務

集中式憑證管理提供以下關鍵功能:

  • 顯示每個叢集的憑證狀態的多叢集儀表板。

  • 個別叢集級別的身分和信任憑證的詳細檢視。

  • 執行憑證操作的功能,如產生 CSR、上傳憑證、續訂、下載、複製、取代、移除等。

  • 警示儀表板以查看已過期和即將過期的憑證。

  • 能夠設定通知,例如憑證過期的電子郵件通知。

  • 透過多個 Trust Store 和叢集分派憑證。

  • 使用不同設定來定義憑證設定檔,並分配給叢集。

您無法在 Cisco Emergency Responder 應用程式上分派和取代憑證。

存取憑證管理服務

Cloud-Connected UC 服務套件中的憑證管理服務可管理用於內部部署的憑證。

如要存取憑證管理,請執行以下步驟:

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。 此頁面中的Certificate Management 卡提供Certificate Management特性和功能。

2

Certificate Management 卡上,按兩下任何連結以訪問證書管理的各種功能。

下表列出了憑證管理可用的功能:

標籤

描述

警示

顯示所有過期和即將過期的憑證摘要。 系統管理員可以對身份或trust憑證採取必要的行動,以保持憑證的最新狀態。

叢集

顯示給定組織中跨叢集的憑證狀態摘要,並允許管理員對身分或信任憑證執行必要的動作。

  • 您可以查看組織內特定叢集的所有身分和trust憑證。

  • 「工作」標籤顯示了在憑證上執行的所有操作之摘要。

設定檔

驗證叢集中的憑證是否符合設定的設定。 您可以建立自訂憑證管理設定檔,並將設定檔與叢集建立關聯。

設定

設定系統管理員的電子郵件地址,以接收憑證到期通知。 所有欄位都可以在憑證管理的設定頁面中設定。
存取警示頁面

使用「 警報 」頁執行以下操作:

  • 查看已過期或即將過期的憑證

  • 按憑證篩選

  • 按產品篩選以查看憑證狀態。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊 Certificate Management 卡片中的 警報

該頁面同時顯示已過期和即將過期的憑證。 憑證會列出詳細資訊,例如叢集名稱、一般名稱、憑證類型、憑證狀態和有效期。

3

(可選)選擇下列其中一個選項:

  • 按一下搜尋,以搜尋特定憑證。

  • 「篩選憑證 」下拉式清單中選取一個或多個憑證。

  • 篩選產品 下拉清單中選擇一個或多個產品。

選定的憑證與詳細資訊一起出現在憑證清單中,例如叢集、證書、一般名稱、產品、類型、狀態、伺服器名稱和到期日。

4

從清單頁面中選擇一項記錄,以查看憑證詳細資訊。

側面板會開啟,以顯示憑證詳細資訊。 您可以查看 憑證詳細資訊複製 PEM 格式憑證。 執行所有此面板步驟 6 中列出的操作。

5

按一下關閉,以關閉側面板並返回清單頁面。

6

將游標停在憑證記錄上,並按一下省略號,以便在「身分和 Trust Store 」執行各種操作。

對身份憑證 操作包括:

  • 更新自我簽署的憑證。

  • 為 CA 簽名產生 CSR。

  • 上傳 CA 簽名的憑證,並在憑證上產生 CSR。

  • 下載 CA 簽名的 CSR,並在憑證上產生 CSR。

  • 刪除 CA 簽名的 CSR,並在憑證上產生 CSR。

憑證作業

憑證使用

描述

更新憑證

當憑證是自我簽署時,請使用「更新憑證」。

當您需要為所選服務重新使用 Tomcat 憑證時,請重新使用 Tomcat 憑證。

根據設定檔設定,隨即顯示「 更新憑證 」視窗。

根據「設定檔設定 」頁面中的 選擇選擇「續訂憑證」操作,即:

  • 重新使用 Tomcat 憑證 - 選擇 在設定檔上使用 Tomcat,重新使用 Tomcat 選項處於啟用狀態。

  • 續訂證書 - 選擇 “證書類型”作為“自簽名”,啟用“續訂”。

閱讀警告消息,然後按下重新 使用 Tomcat 證書 以續訂證書。

產生 CSR

當憑證類型為 CA 簽名時,請使用「產生 CSR」操作。

此時將顯示「 生成CSR 」視窗。

按兩下 生成 以生成CSR。

上傳憑證

當憑證類型為 CA 簽名且產生了 CSR 時,請使用「上傳」操作。 您可以上傳 .P7B 格式的憑證鏈結或是 .pem 或 .der. 格式的身分憑證。

系統會顯示上傳憑證視窗。

  1. 按兩下 選擇檔案 以上傳證書。

    在本機瀏覽並上傳憑證。

  2. 按兩下 上傳 以上傳證書。

分派憑證

使用「分派」操作,將憑證分派到單個操作中的多個叢集。 透過 Control Hub 選取多叢集和 Trust Store ,系統便會將憑證分派到選定的叢集。

「分派憑證 」視窗會隨即顯示。

  1. 選擇您想要分派憑證的叢集和trust。

  2. 按一下 「分發 」,將憑證與所選叢集和trust建立關聯。

  3. 按一下 「確定 」關閉「分派憑證」視窗。

此流程在 CER 應用程式上並不適用。

下載 CSR

當憑證類型為 CA 簽名且已產生 CSR 時,請使用「下載 CSR」。 您可以下載 CSR,以獲得 CA(憑證頒發機構)的簽署。

單擊「 下載CSR」,將CSR證書簽名請求下載到本地電腦。

刪除 CSR

當必須產生 CSR 時,請使用「刪除 CSR 操作」。

系統會顯示刪除 CSR視窗。

閱讀警告消息,然後按兩下 刪除以刪除CSR證書簽名請求。

如果系統管理員在設定檔中所作的設定與憑證屬性並不相符時,憑證旁邊會出現一個警告圖示。 例子:Tomcat 憑證為自我簽署,但在設定檔設定中,此憑證會被設定為 CA 簽名,因而導致兩者不相符。

請勿在未驗證不匹配的情況下在不知不覺中按下 “提交” ,因為這可能會導致問題。

對信任存放區憑證 操作包括:

  • 取代憑證

  • 移除憑證

憑證作業

憑證使用

描述

取代憑證

使用「取代憑證」,將現有憑證替換為新憑證。

「取代憑證 」視窗隨即顯示。

  1. 按兩下 選擇檔案 以選擇新證書。

    在本機瀏覽並上傳新憑證。

  2. 按兩下 「替換 」以替換證書。

此流程在 CER 應用程式上並不適用。

移除憑證

當系統管理員想要移除即將到期和已過期的憑證時,請移除憑證。

「移除憑證 」視窗會隨即顯示。

  1. 從您要刪除憑證的位置選取叢集和trust。

  2. 下一步 ,從所選叢集和信任中移除憑證。

  3. 閱讀警告消息,然後按兩下 刪除 以刪除證書。

移除憑證取代憑證 信任操作可能會失敗,並顯示錯誤 「找不到檔案」。 當透過多個具有 12.5 SU5 和 14 SU1 版本的混合版本的叢集上執行操作時,系統便會出現這個錯誤。

解決方案:在失敗的節點上重試操作。 針對相應的叢集在「工作」詳細資料頁面上驗證錯誤訊息,內容為由於節點上並無此憑證,因此無法移除憑證。

Trust Store 憑證 身份憑證 上的 常見操作包括:

  • 下載 .der

  • 下載 .pem

憑證操作類型

憑證使用

描述

下載 .der

使用 Download.der 以下載二進制格式的憑證。 DER (識別編碼規則) 為數位憑證。

單擊「 下載 .der」以下載證書的 .der(二進位)格式。

.der 憑證已下載到您的本機。

下載 .pem

使用 Download.pem 下載 .pem 格式的憑證。 PEM(隱私增強郵件)是 Base64 編碼的 DER 憑證,格式為 ASCII。

單擊下載 .pem,以下載證書的 .pem (ASCII) 格式。

.pem 憑證已下載到您的本機。

7

憑證操作已新增到「工作」清單。 您可以在「作業 」選項卡下 查看進度。

  1. 按一下「工作 」連結可檢視憑證操作的進度。

  2. 按一下確定以關閉「憑證」視窗。

存取叢集頁面

叢集 頁面列出組織中所有叢集的每個叢集的憑證狀態摘要。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊 Certificate Management 卡中的 集群

「叢集」摘要頁面顯示連詳細資訊的叢集,例如叢集名稱、狀態、產品,以及與叢集相關的設定檔。 系統管理員可以為叢集變更標準設定檔與自訂設定檔的預設關聯。

3

(可選)選擇下列其中一個選項:

  • 按一下搜尋,以搜尋特定叢集。

  • 篩選產品下拉式選單中,選取一個或多個產品。

4

單擊清單頁面中的群集記錄以訪問 群集詳細資訊 頁面,其中顯示與所選群集關聯的身份證書。

您可以導覽到 「Trust Store 」標籤或 「作業 」標籤。 Trust Store 標籤會顯示各個 trust store 的叢集中所有的憑證。 「工作」標籤會列出對憑證和操作狀態執行的操作。

儀表板視窗會顯示以下卡片:

  1. 身分憑證

  2. trust憑證

  3. 工作詳細資料

對於身分和trust憑證卡,系統會顯示有效、到期和即將到期的憑證摘要。 對於「工作」卡,系統會顯示總計、完成和當月待處理工作的摘要。

存取身份憑證標籤

存取身份憑證標籤

使用身份憑證 檢視叢集中存在的所有身份憑證。 您可以搜尋特定的身分憑證,或查看憑證的詳細資訊,並執行必要的操作。
1

從Webex Control Hub 的客戶檢視中,移至 服務> Connected UC。

Connected UC 頁面隨即會出現。

2

點擊 Certificate Management 卡中的 集群

3

單擊清單頁面中的群集記錄以訪問 群集詳細資訊 頁面,其中顯示與群集關聯的身份證書。

對於具有 Cisco Emergency Responder 12.5 或 14 版本的叢集,系統並不支援 tomcat-ECDSA 憑證。

4

(選用) 按一下搜尋,以搜尋特定憑證。

5

(選用) 在「篩選器證書 」下拉清單中,根據其類型選擇一個或多個證書。

憑證清單中的憑證會與伺服器名稱、一般名稱、憑證類型、憑證狀態和有效期等詳細資訊一併顯示。

6

按一下清單頁面中的記錄以查看憑證詳細資訊。

側面板會開啟,以顯示憑證詳細資訊。 您可以查看 憑證詳細資訊複製 PEM 格式憑證。 你也可以從此面板執行步驟 8 所列出的所有操作。

7

按一下關閉,以關閉側面板並返回清單頁面。

當現有憑證屬性與設定檔不符且憑證不合規時,會出現警告訊號

8

將游標停在憑證記錄上,並按一下省略號,以便執行各種操作。 有關詳細資訊,請參閱 對身份證書 操作。

9

(可選)按一下檢視設定檔

顯示與叢集相關的設定檔。

存取 Trust Store 標籤

存取 Trust Store 標籤

Trust Store 標籤會列出各個 trust store 的叢集中的所有憑證。
1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊 Certificate Management 卡中的 集群

3

單擊清單頁面中的集群記錄,訪問 集群詳情 頁面。

4

按一下 Trust Store 標籤以查看憑證清單。

憑證清單中的憑證會與一般名稱、序號、發布者、狀態和到期日等詳細資訊一併顯示。

5

(選用) 按一下搜尋,以搜尋特定憑證。

6

(可選)在篩選器憑證下拉式選單中,選取一個或多個憑證。

憑證清單中的憑證會與一般名稱、序號、發布者、狀態和到期日等詳細資訊一併顯示。

7

按一下清單頁面中的記錄以查看憑證詳細資訊。

側面板會開啟,以顯示憑證詳細資訊。 要查看與證書關聯的所有集群,請參閱 證書詳細資訊複製 PEM 格式證書。 你也可以從此面板執行步驟 9 所列出的所有操作。

8

按一下關閉,以關閉側面板並返回清單頁面。

9

將游標停在憑證記錄上,並按一下省略號,以便執行各種操作。

有關詳細資訊,請參閱 對信任存儲證書 操作。
10

按一下具有到期狀態的憑證記錄,即可將已更新的憑證上傳到「 Trust Store 」。

11

按一下上傳到trust

系統會顯示上傳憑證視窗。

12

選擇所需叢集,以便與 Trust Store 建立關聯。

在執行操作前請仔細閱讀顯示的警告訊息。

13

按一下選擇檔案以瀏覽憑證。

14

按一下上傳,將憑證上傳到所需叢集的 Trust Store 。

IPsec 和 CAPF 的信任操作無法透過 Control Hub 中的使用者節點進行。 系統管理員需於公司處所內執行這些操作。

侷限

信任憑證操作的 CH 限制:

  1. 如果存在任何信任服務,並且不會在同一群集的節點上進行複製,則管理員必須在本地執行這些操作。 例如 CAPF、IPSEC。
  2. 所有與 Trust 相關的操作僅發送到群集的發布者節點,因此只能通過 pub 節點執行操作,無法從子節點執行。
    1. 移除信任
    2. 取代信任
    3. 分發信任
    4. 上傳信任

移除信任操作的限制:

  1. 操作只能通過 Pub 節點執行。
  2. 如果憑證不存在於 Pub 節點中而存在於子節點中,則無法透過 Control Hub 執行操作。 操作需要通過內部部署完成。

存取工作標籤

存取工作標籤

工作標籤顯示所有已執行操作的摘要。 「工作 」標籤顯示總計、完成和當月待處理 工作的摘要。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊 Certificate Management 卡中的 集群

3

單擊清單頁面中的集群記錄,訪問 集群詳情 頁面。

4

按一下工作標籤以查看當月執行的工作清單。

5

當月下拉式選單中,選擇所需期間以查看工作摘要。

在工作摘要中顯示的「工作狀態」狀態會與工作類型、節點、時間戳記記、憑證和產品資訊等詳細資訊一併顯示。

6

在清單頁面按一下記錄,以查看工作詳細資訊。

側面板開啟以顯示工作詳細資訊。

7

按一下關閉,以關閉側面板並返回清單頁面。

存取設定檔頁面

“配置檔 ”頁面允許您定義設置,例如多伺服器/多 SAN、CA 簽名與自簽名、有效期、RSA 與 ECDSA、密鑰長度、哈希演演演算法。

為每個叢集版本使用個別的設定檔。 例如,如果叢集運行 12.x版本,您在執行憑證操作時僅能查看 12.x 的功能。

在創建自訂配置檔時,系統管理員可以將此新創建的自訂配置檔與叢集建立關聯。

1

Cisco Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊 Certificate Management 卡中的 配置檔

設定檔頁面顯示已建立的設定檔清單。

在預設情況下,憑證管理服務提供標準設定檔,而所有啟用憑證管理服務的叢集會與此設定檔相關聯。 這是一個僅供檢視的設定檔。 將滑鼠游標停留在設定檔上,然後按一下省略號以查看或複製設定檔。

3

將游標停在設定檔名稱上,並按一下省略號,以便執行各種操作,例如:

  • 編輯

    1. 按一下 編輯 以編輯選取的設定檔。

  • 刪除

    1. 閱讀警告消息,然後按下 刪除 以刪除選定的配置檔。

  • 複製

    1. 按下 複製 以複製選定的配置檔。

      系統會顯示自訂設定檔副本視窗。

    2. 如果需要,單擊“創建 以更新或修改每個產品的設置。 否則,請建立選定設定檔的副本。

4

按一下新增設定檔以建立新的自訂設定檔。

5

輸入設定檔名稱

6

如要將設定檔設定為預設,請選取該核取方塊。

7

為設定檔輸入說明

8

為每個產品定義各種憑證設定

9

按一下建立以建立設定檔。

如果您已將自訂設定檔設定為預設,請在自訂設定檔取消選取預設核取方塊,以便將標準設定檔切換回預設。

10

(可選)將設定檔與叢集建立關聯。 在頂層功能表中按一下 「叢集 」頁籤,系統便會顯示「叢集」清單頁面。 您可以從清單頁面將設定檔與叢集建立關聯。

11.5x 和 12.5x 版本的有效期為 5 年,與有效期下拉式清單中所選的值無關。 版本 14 或更新版本的有效期可以由 5 至 20 年不等。

請勿執行表中列為 N 的操作,否則操作將會失敗。

憑證作業

支援的版本

操作的運作方式

11.5

12.5

版本 14 或更新版本

更新多個伺服器雖然此操作已在多個伺服器的自我簽署憑證上執行,但此操作僅適用於單個節點。
重新使用操作僅適用於 Cisco Unified CM 應用程式上的「通話系統管理員」和「通話系統管理員 ECDSA」。 此操作適用於多個伺服器 CA 簽名和多個伺服器自我簽署憑證。
存取設定頁面

當憑證接近其到期日時,系統會自動傳送電子郵件訊息給收件人。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊 Certificate Management 卡中的 設置

3

設定通知開始時間

您可以將「通知開始時間」設定在 30 至 365 天之間。

4

設定通知頻率

您可以將「通知頻率」設定在 1 至 30 天之間。

5

輸入通知收件人的電子郵件地址。

您最多可輸入 25 個電子郵件地址。

6

按一下儲存

當憑證接近到期日時,所有收件人都會收到一封電子郵件通知(如圖所示)。