Certificate Management 概述

Centralized Certificate Management 是一項雲端型的服務,提供單一位置以查看並管理多個叢集中的 Cisco Unified Communications Manager、IM and Presence 和 Cisco Unity Connection 和 Cisco Emergency Responder 憑證。

開始之前

您需於服務管理頁面上啟用所需的叢集的 Certificate Management服務。 有關詳細信息,請參閱在 Control Hub 中啟用雲連接的 UC 服務

集中式憑證管理提供以下關鍵功能:

  • 顯示每個叢集的憑證狀態的多叢集儀表板。

  • 個別叢集級別的身分和信任憑證的詳細檢視。

  • 執行憑證操作的功能,如產生 CSR、上傳憑證、續訂、下載、複製、取代、移除等。

  • 警示儀表板以查看已過期和即將過期的憑證。

  • 能夠設定通知,例如憑證過期的電子郵件通知。

  • 透過多個 Trust Store 和叢集分派憑證。

  • 使用不同設定來定義憑證設定檔,並分配給叢集。

您無法在 Cisco Emergency Responder 應用程式上分派和取代憑證。

存取憑證管理服務

Cloud-Connected UC 服務套件中的憑證管理服務可管理用於內部部署的憑證。

如要存取憑證管理,請執行以下步驟:

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。 這Certificate Management此頁面中的卡片提供了 Certificate Management 特性和功能。

2

Certificate Management卡,單擊任何鏈接以訪問證書管理的各種功能。

下表列出了憑證管理可用的功能:

標籤

說明

警示

顯示所有過期和即將過期的憑證摘要。 系統管理員可以對身份或trust憑證採取必要的行動,以保持憑證的最新狀態。

叢集

顯示給定組織中跨集群的證書狀態摘要,並允許管理員對身份或信任證書採取必要的操作。

  • 您可以查看組織內特定叢集的所有身分和trust憑證。

  • 「工作」標籤顯示了在憑證上執行的所有操作之摘要。

設定檔

驗證集群中的證書是否符合配置的設置。 您可以建立自訂憑證管理設定檔,並將設定檔與叢集建立關聯。

設定

設定系統管理員的電子郵件地址,以接收憑證到期通知。 所有欄位都可以在憑證管理的設定頁面中設定。

訪問警報頁面

使用警報頁面執行以下操作:

  • 查看已過期或即將過期的憑證

  • 按憑證篩選

  • 按產品篩選以查看憑證狀態。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊警報來自Certificate Management卡片。

該頁面同時顯示已過期和即將過期的憑證。 憑證會列出詳細資訊,例如叢集名稱、一般名稱、憑證類型、憑證狀態和有效期。

3

(可選)選擇下列其中一個選項:

  • 按一下搜尋,以搜尋特定憑證。

  • 選擇一個或多個證書過濾器證書下拉列表。

  • 選擇一種或多種產品過濾產品下拉列表。

選定的憑證與詳細資訊一起出現在憑證清單中,例如叢集、證書、一般名稱、產品、類型、狀態、伺服器名稱和到期日。

4

從清單頁面中選擇一項記錄,以查看憑證詳細資訊。

側面板會開啟,以顯示憑證詳細資訊。 你可以看到證書詳情或者複製 PEM 格式證書. 執行所有此面板步驟 6 中列出的操作。

5

按一下關閉,以關閉側面板並返回清單頁面。

6

將游標停在憑證記錄上,並按一下省略號,以便在「身分和 Trust Store 」執行各種操作。

上的操作身份證書是:

  • 更新自我簽署的憑證。

  • 為 CA 簽名產生 CSR。

  • 上傳 CA 簽名的憑證,並在憑證上產生 CSR。

  • 下載 CA 簽名的 CSR,並在憑證上產生 CSR。

  • 刪除 CA 簽名的 CSR,並在憑證上產生 CSR。

憑證作業

憑證使用

說明
更新憑證

當憑證是自我簽署時,請使用「更新憑證」。

當您需要為所選服務重新使用 Tomcat 憑證時,請重新使用 Tomcat 憑證。

更新證書根據配置文件設置顯示窗口。

根據在配置文件設置頁面,即:

  • 重用 Tomcat 證書 - 選擇在配置文件上使用 Tomcat,啟用重用 Tomcat 選項。

  • 更新證書 - 選擇證書類型為自簽名, 續訂已啟用。

閱讀警告消息並單擊重用 Tomcat 證書更新證書。

產生 CSR

當憑證類型為 CA 簽名時,請使用「產生 CSR」操作。

生成 CSR窗口顯示。

點擊產生生成 CSR。

上傳憑證

當憑證類型為 CA 簽名且產生了 CSR 時,請使用「上傳」操作。 您可以上傳 .P7B 格式的憑證鏈結或是 .pem 或 .der. 格式的身分憑證。

系統會顯示上傳憑證視窗。

  1. 點擊選擇文件上傳證書。

    在本機瀏覽並上傳憑證。

  2. 點擊上傳上傳證書。

分派憑證

使用「分派」操作,將憑證分派到單個操作中的多個叢集。 選擇多個集群和信任存儲控制中心,證書將分發到選定的集群。

分發證書窗口顯示。

  1. 選擇您想要分派憑證的叢集和trust。

  2. 點擊分發將證書與選定的集群和信任關聯。

  3. 點擊好的關閉分發證書窗口。


 

此流程在 CER 應用程式上並不適用。
下載 CSR

當憑證類型為 CA 簽名且已產生 CSR 時,請使用「下載 CSR」。 您可以下載 CSR,以獲得 CA(憑證頒發機構)的簽署。

點擊下載 CSR, 將 CSR 證書籤名請求下載到您的本地計算機。

刪除 CSR

當必須產生 CSR 時,請使用「刪除 CSR 操作」。

系統會顯示刪除 CSR視窗。

閱讀警告消息並單擊刪除, 刪除 CSR 證書籤名請求。


 

如果系統管理員在設定檔中所作的設定與憑證屬性並不相符時,憑證旁邊會出現一個警告圖示。 範例: Tomcat 證書是自簽名的,但在配置文件設置中它被設置為 CA 簽名,這會導致不匹配。

不要點擊提交不知不覺中沒有驗證不匹配,因為它可能會導致問題。

上的操作信任庫證書是:

  • 取代憑證

  • 移除憑證

憑證作業

憑證使用

說明

取代憑證

使用「取代憑證」,將現有憑證替換為新憑證。

更換證書窗口顯示。

  1. 點擊選擇文件選擇新證書。

    在本機瀏覽並上傳新憑證。

  2. 點擊代替更換證書。


 

此流程在 CER 應用程式上並不適用。

移除憑證

當系統管理員想要移除即將到期和已過期的憑證時,請移除憑證。

刪除證書窗口顯示。

  1. 從您要刪除憑證的位置選取叢集和trust。

  2. 點擊下一個從選定的集群和信任中刪除證書。

  3. 閱讀警告消息並單擊消除刪除證書。


 

刪除證書或者更換證書信任操作可能會失敗並出現錯誤文件未找到. 當透過多個具有 12.5 SU5 和 14 SU1 版本的混合版本的叢集上執行操作時,系統便會出現這個錯誤。

解決方案: 在失敗的節點上重試該操作。 驗證相應集群的 Jobs 詳細信息頁面上的錯誤,內容為無法刪除證書,因為它不在此節點上.

常用操作信任庫證書身份證書是:

  • 下載 .der

  • 下載 .pem

憑證操作類型

憑證使用

說明

下載 .der

使用 Download.der 以下載二進制格式的憑證。 DER (識別編碼規則) 為數位憑證。

點擊下載。der, 下載。der(二進制)格式的證書。

.der 憑證已下載到您的本機。

下載 .pem

使用 Download.pem 下載 .pem 格式的憑證。 PEM(隱私增強郵件)是 Base64 編碼的 DER 憑證,格式為 ASCII。

點擊下載。pem, 下載。pem (ASCII) 格式的證書。

.pem 憑證已下載到您的本機。

7

憑證操作已新增到「工作」清單。 您可以在下方查看進度工作標籤。

  1. 點擊工作鏈接以查看證書操作的進度。

  2. 按一下確定以關閉「憑證」視窗。

訪問集群頁面

集群頁面列出了組織中所有集群的每個集群的證書狀態摘要。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊集群來自Certificate Management卡片。

「叢集」摘要頁面顯示連詳細資訊的叢集,例如叢集名稱、狀態、產品,以及與叢集相關的設定檔。 系統管理員可以為叢集變更標準設定檔與自訂設定檔的預設關聯。

3

(可選)選擇下列其中一個選項:

  • 按一下搜尋,以搜尋特定叢集。

  • 篩選產品下拉式選單中,選取一個或多個產品。

4

點擊列表頁面中的一條集群記錄進行訪問集群詳細信息顯示與所選集群關聯的身份證書的頁面。

您可以導航到信任商店選項卡或工作標籤。 Trust Store 標籤會顯示各個 trust store 的叢集中所有的憑證。 「工作」標籤會列出對憑證和操作狀態執行的操作。

儀表板視窗會顯示以下卡片:

  1. 身分憑證

  2. trust憑證

  3. 工作詳細資料

對於身分和trust憑證卡,系統會顯示有效、到期和即將到期的憑證摘要。 對於「工作」卡,系統會顯示總計、完成和當月待處理工作的摘要。

存取身份憑證標籤

使用身份證明查看集群中存在的所有身份證書。 您可以搜尋特定的身分憑證,或查看憑證的詳細資訊,並執行必要的操作。

1

從客戶的角度來看Webex 控制中心,去服務> 連接 UC.

Connected UC 頁面隨即會出現。

2

點擊集群來自Certificate Management卡片。

3

點擊列表頁面中的一條集群記錄進行訪問集群詳細信息顯示與集群關聯的身份證書的頁面。


 

對於具有 Cisco Emergency Responder 12.5 或 14 版本的叢集,系統並不支援 tomcat-ECDSA 憑證。

4

(可選)按一下搜尋,以搜尋特定憑證。

5

(可選)在過濾器證書下拉菜單中,根據其類型選擇一個或多個證書。

憑證清單中的憑證會與伺服器名稱、一般名稱、憑證類型、憑證狀態和有效期等詳細資訊一併顯示。

6

按一下清單頁面中的記錄以查看憑證詳細資訊。

側面板會開啟,以顯示憑證詳細資訊。 你可以看到證書詳情或者複製 PEM 格式證書. 你也可以從此面板執行步驟 8 所列出的所有操作。

7

按一下關閉,以關閉側面板並返回清單頁面。


 

警告牌當現有證書屬性與配置文件不匹配且證書不合規時出現。

8

將游標停在憑證記錄上,並按一下省略號,以便執行各種操作。 看上的操作身份證書詳情。

9

(可選)按一下檢視設定檔

顯示與叢集相關的設定檔。

存取 Trust Store 標籤

信任商店選項卡列出了集群中跨各種信任存儲的所有證書。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊集群來自Certificate Management卡片。

3

點擊列表頁面中的一條集群記錄進行訪問集群詳細信息頁。

4

按一下 Trust Store 標籤以查看憑證清單。

憑證清單中的憑證會與一般名稱、序號、發布者、狀態和到期日等詳細資訊一併顯示。

5

(可選)按一下搜尋,以搜尋特定憑證。

6

(可選)在篩選器憑證下拉式選單中,選取一個或多個憑證。

憑證清單中的憑證會與一般名稱、序號、發布者、狀態和到期日等詳細資訊一併顯示。

7

按一下清單頁面中的記錄以查看憑證詳細資訊。

側面板會開啟,以顯示憑證詳細資訊。 要查看與證書關聯的所有集群,請參閱證書詳情或者複製 PEM 格式證書. 你也可以從此面板執行步驟 9 所列出的所有操作。

8

按一下關閉,以關閉側面板並返回清單頁面。

9

將游標停在憑證記錄上,並按一下省略號,以便執行各種操作。

上的操作信任庫證書詳情。
10

按一下具有到期狀態的憑證記錄,即可將已更新的憑證上傳到「 Trust Store 」。
11

按一下上傳到trust

系統會顯示上傳憑證視窗。

12

選擇所需叢集,以便與 Trust Store 建立關聯。


 

在執行操作前請仔細閱讀顯示的警告訊息。
13

按一下選擇檔案以瀏覽憑證。

14

按一下上傳,將憑證上傳到所需叢集的 Trust Store 。


 
「 Control Hub 」中的訂閱者節點不支援 IPsec 和 CAPF 的trust操作。 系統管理員需於公司處所內執行這些操作。

信任證書操作對 CH 的限制:

  1. 如果在同一個集群的節點上存在任何不發生復制的信任服務,管理員必須在本地執行這些操作。 例如 CAPF,IPSEC。
  2. 所有 Trust 相關的操作都只發送到集群的 Publisher 節點,所以只能通過 pub 節點進行操作,不能從子節點進行。
    1. 刪除信任
    2. 取代信任
    3. 分發信任
    4. 上傳信任

刪除信任操作的限制:

  1. 只能通過 Pub 節點進行操作。
  2. 如果證書不存在於 Pub 節點中並且存在於子節點中,則無法通過 Control hub 執行操作。 操作需要通過內部進行。

存取工作標籤

工作標籤顯示所有已執行操作的摘要。 「工作 」標籤顯示總計、完成和當月待處理 工作的摘要。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊集群來自Certificate Management卡片。

3

點擊列表頁面中的一條集群記錄進行訪問集群詳細信息頁。

4

按一下工作標籤以查看當月執行的工作清單。

5

當月下拉式選單中,選擇所需期間以查看工作摘要。

在工作摘要中顯示的「工作狀態」狀態會與工作類型、節點、時間戳記記、憑證和產品資訊等詳細資訊一併顯示。

6

在清單頁面按一下記錄,以查看工作詳細資訊。

側面板開啟以顯示工作詳細資訊。
7

按一下關閉,以關閉側面板並返回清單頁面。

訪問個人資料頁面

簡介頁面允許您定義設置,例如多服務器/多 SAN、CA 簽名與 自簽名,有效期,RSA vs. ECDSA,密鑰長度,哈希算法。

為每個叢集版本使用個別的設定檔。 例如,如果叢集運行 12.x版本,您在執行憑證操作時僅能查看 12.x 的功能。

在創建自訂配置檔時,系統管理員可以將此新創建的自訂配置檔與叢集建立關聯。

1

Cisco Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊簡介來自Certificate Management卡片。

設定檔頁面顯示已建立的設定檔清單。


 

在預設情況下,憑證管理服務提供標準設定檔,而所有啟用憑證管理服務的叢集會與此設定檔相關聯。 這是一個僅供檢視的設定檔。 將滑鼠游標停留在設定檔上,然後按一下省略號以查看或複製設定檔。

3

將游標停在設定檔名稱上,並按一下省略號,以便執行各種操作,例如:

  • 編輯

    1. 點擊編輯編輯選定的配置文件。

  • 刪除

    1. 閱讀警告消息並單擊刪除刪除選定的配置文件。

  • 複製

    1. 點擊複製複製選定的配置文件。

      系統會顯示自訂設定檔副本視窗。

    2. 點擊創造如果需要,更新或修改每個產品的設置。 否則,請建立選定設定檔的副本。

4

按一下新增設定檔以建立新的自訂設定檔。

5

輸入設定檔名稱
6

如要將設定檔設定為預設,請選取該核取方塊。
7

為設定檔輸入說明
8

為每個產品定義各種憑證設定
9

按一下建立以建立設定檔。

如果您已將自訂設定檔設定為預設,請在自訂設定檔取消選取預設核取方塊,以便將標準設定檔切換回預設。

10

(可選)將設定檔與叢集建立關聯。 點擊集群從頂部菜單選項卡,將顯示集群列表頁面。 您可以從清單頁面將設定檔與叢集建立關聯。


 

11.5x 和 12.5x 版本的有效期為 5 年,與有效期下拉式清單中所選的值無關。 版本 14 或更新版本的有效期可以由 5 至 20 年不等。

請勿執行表中列為 N 的操作,否則操作將會失敗。

憑證作業

支援的版本

操作的運作方式

11.5

12.5

版本 14 或更新版本
更新多個伺服器 雖然此操作已在多個伺服器的自我簽署憑證上執行,但此操作僅適用於單個節點。
重新使用 操作僅適用於 Cisco Unified CM 應用程式上的「通話系統管理員」和「通話系統管理員 ECDSA」。 此操作適用於多個伺服器 CA 簽名和多個伺服器自我簽署憑證。

訪問設置頁面

當憑證接近其到期日時,系統會自動傳送電子郵件訊息給收件人。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

點擊設置來自Certificate Management卡片。

3

設定通知開始時間

您可以將「通知開始時間」設定在 30 至 365 天之間。
4

設定通知頻率

您可以將「通知頻率」設定在 1 至 30 天之間。
5

輸入通知收件人的電子郵件地址。

您最多可輸入 25 個電子郵件地址。
6

按一下儲存

當憑證接近到期日時,所有收件人都會收到一封電子郵件通知(如圖所示)。