憑證管理概觀

Centralized Certificate Management 是一項雲端型的服務，提供單一位置以查看並管理多個叢集中的 Cisco Unified Communications Manager、IM and Presence 和 Cisco Unity Connection 和 Cisco Emergency Responder 憑證。

開始之前

您需於服務管理頁面上啟用所需的叢集的 Certificate Management 服務。更多資訊請參閱在 Control Hub 中啟用 Cloud-Connected UC 服務。

Centralized Certificate Management 提供以下的關鍵功能：

顯示每個叢集的憑證狀態的多叢集儀表板。
個別叢集級別的身分和 trust 憑證的詳細檢視。
執行憑證操作的功能，如產生 CSR、上傳憑證、續訂、下載、複製、取代、移除等。
警示儀表板以查看已過期和即將過期的憑證。
配置通知的功能，如憑證過期的電子郵件通知。
透過多個 Trust Store 和叢集分派憑證。
使用不同設定來定義憑證設定檔，並指給叢集。

您無法在 Cisco Emergency Responder 應用程式上分派和取代憑證。

存取憑證管理服務

Cloud-Connected UC 服務套件中的憑證管理服務可管理用於內部部署的憑證。

如要存取憑證管理，請執行以下步驟：

在 Webex Control Hub 的客戶檢視中移至服務 > Connected UC。

Connected UC 頁面隨即會出現。此頁面的憑證管理卡提供憑證管理特點和功能。

在憑證管理卡上，按一下任何連絡以存取憑證管理的各種功能。

下表列出了憑證管理可用的功能：

標籤	描述
警示	顯示所有過期和即將過期的憑證摘要。系統管理員可以對身份或trust 憑證採取必要的行動，以保持憑證的最新狀態。
叢集	顯示特定組織中跨叢集的憑證狀態摘要，並允許系統管理員對身份或信任憑證採取必要的動作。您可以查看組織內特定叢集的所有身分和trust憑證。「工作」標籤顯示了在憑證上執行的所有操作之摘要。
設定檔	驗證叢集中的憑證是否符合配置的設定。您可建立自訂 Certificate Management 設定檔並將設定檔與叢集建立關聯。
設定	設定系統管理員的電子郵件地址，以接收憑證到期通知。所有欄位都可以在憑證管理的設定頁面中設定。

存取警示頁面

使用警示頁面執行以下操作：

查看已過期或即將過期的憑證
按憑證篩選
按產品篩選以查看憑證狀態。

在 Webex Control Hub 的客戶檢視中移至服務 > Connected UC。

Connected UC 頁面隨即會出現。

按一下憑證管理卡的警示。

該頁面同時顯示已過期和即將過期的憑證。憑證會列出詳細資訊，例如叢集名稱、一般名稱、憑證類型、憑證狀態和有效期。

（可任選）選擇下列其中一個選項：

按一下搜尋，以搜尋特定憑證。
從篩選憑證下拉式清單中選取一個或多個憑證。
從篩選產品下拉式清單中選擇一個或多個產品。

選定的憑證與詳細資訊一起出現在憑證清單中，例如叢集、證書、一般名稱、產品、類型、狀態、伺服器名稱和到期日。

從清單頁面中選擇一項記錄，以查看憑證詳細資訊。

側面板會開啟，以顯示憑證詳細資訊。您可以看到憑證詳細資訊或複製 PEM 格式憑證。執行所有此面板步驟 6 中列出的操作。

按一下關閉，以關閉側面板並返回清單頁面。

將游標停在憑證記錄上，並按一下省略號，以便在「身分和 Trust Store 」執行各種操作。

在身份憑證上的操作是：

更新自我簽署的憑證。
為 CA 簽名產生 CSR。
上傳 CA 簽名的憑證，並在憑證上產生 CSR。
下載 CA 簽名的 CSR，並在憑證上產生 CSR。
刪除 CA 簽名的 CSR，並在憑證上產生 CSR。

憑證作業

憑證使用

描述

更新憑證

當憑證是自我簽署時，請使用「更新憑證」。

當您需要為所選服務重新使用 Tomcat 憑證時，請重新使用 Tomcat 憑證。

更新憑證視窗會根據設定檔設定顯示。

根據設定檔設定頁面中的選擇，選擇更新憑證操作，即是：

重新使用 Tomcat 憑證 — 在設定檔選取使用 Tomcat，便可啟用重新使用 Tomcat 選項。
更新憑證 — 選取憑證類型作為自我簽署, 便可啟用更新。

參閱警告訊息，然後按一下重新使用 Tomcat 憑證以更新憑證。

產生 CSR

當憑證類型為 CA 簽名時，請使用「產生 CSR」操作。

系統會顯示產生 CSR 視窗。

按一下產生以產生 CSR。

上傳憑證

當憑證類型為 CA 簽名且產生了 CSR 時，請使用「上傳」操作。您可以上傳 .P7B 格式的憑證鏈結或是 .pem 或 .der. 格式的身分憑證。

系統會顯示上傳憑證視窗。

按一下選擇檔案以上傳憑證。

在本機瀏覽並上傳憑證。
按一下上傳以上傳憑證。

分派憑證

使用「分派」操作，將憑證分派到單個操作中的多個叢集。透過 Control Hub 選取多叢集和 Trust Store ，系統便會將憑證分派到選定的叢集。

系統會顯示分派憑證視窗。

選擇您想要分派憑證的叢集和trust。
按一下分派，以便將憑證與所選叢集和trust建立關聯。
按一下確定以關閉「分派憑證」視窗。

此流程在 CER 應用程式上並不適用。

下載 CSR

當憑證類型為 CA 簽名且已產生 CSR 時，請使用「下載 CSR」。您可以下載 CSR以獲得 CA（憑證頒發機構）的簽署。

按一下下載 CSR，將 CSR 憑證簽署請求下載到您的本機。

刪除 CSR

當必須產生 CSR 時，請使用「刪除 CSR 操作」。

系統會顯示刪除 CSR視窗。

請參閱警告訊息，並按一下刪除以刪除 CSR 憑證簽名請求。

若系統管理員在設定檔中所作的設定與憑證屬性並不相符時，憑證旁邊會出現一個警告圖示。例子：Tomcat 憑證為自我簽署，但在設定檔設定中，此憑證會被設定為 CA 簽名，因而導致兩者不相符。

請勿在未驗證不相符項目的情況下，意外地點撃遞交，此舉可能會導致問題出現。

Trust Store 憑證的操作是：

取代憑證
移除憑證

憑證作業

憑證使用

描述

取代憑證

使用「取代憑證」，將現有憑證替換為新憑證。

系統會顯示取代憑證視窗。

按一下選擇檔案以選擇新憑證。

在本機瀏覽並上傳新憑證。
按一下取代以取代憑證。

此流程在 CER 應用程式上並不適用。

移除憑證

當系統管理員想要移除即將到期和已過期的憑證時，請移除憑證。

系統會顯示移除憑證視窗。

從您要刪除憑證的位置選取叢集和trust。
按一下下一個，以便從所選叢集和 trust中移除憑證。
參閱警告訊息並按一下移除，以移除憑證。

移除憑證或取代憑證 trust操作可能會因無法找到檔案的錯誤而失敗。當透過多個具有 12.5 SU5 和 14 SU1 版本的混合版本的叢集上執行操作時，系統便會出現這個錯誤。

解決方案：在失敗的節點上重試操作。針對相應的叢集在「工作」詳細資料頁面上驗證錯誤訊息，內容為由於節點上並無此憑證，因此無法移除憑證。

Trust Store 憑證和身分憑證上的常見操作為：

下載 .der
下載 .pem


憑證操作類型	憑證使用	描述
下載 .der	使用 Download.der 以下載二進制格式的憑證。DER (識別編碼規則) 為數位憑證。	按一下 Download .der 以下載 .der (二進位) 格式的憑證。 .der 憑證已下載到您的本機。
下載 .pem	使用 Download.pem 下載 .pem 格式的憑證。PEM（隱私增強郵件）是 Base64 編碼的 DER 憑證，格式為 ASCII。	按一下 Download .pem 以下載 .pem (ASCII) 格式的憑證。 .pem 憑證已下載到您的本機。

憑證操作已新增到「工作」清單。您可以在工作標籤下方查看進度。

或

按一下工作連結以查看憑證操作的進度。
按一下確定以關閉「憑證」視窗。

存取叢集頁面

叢集頁面為組織中所有的叢集列出每個叢集的憑證狀態摘要。

1	在 Webex Control Hub 的客戶檢視中移至服務 > Connected UC。 Connected UC 頁面隨即會出現。
2	從憑證管理卡按一下叢集。「叢集」摘要頁面顯示連詳細資訊的叢集，例如叢集名稱、狀態、產品，以及與叢集相關的設定檔。系統管理員可以為叢集變更標準設定檔與自訂設定檔的預設關聯。
3	（可任選）選擇下列其中一個選項：按一下搜尋，以搜尋特定叢集。在篩選產品下拉式選單中，選取一個或多個產品。
4	按一下清單頁面中的叢集記錄，以瀏覽叢集詳細資訊頁面，當中顯示與所選叢集相關的身分憑證。您可以導覽到 Trust Store 標籤或工作標籤。Trust Store 標籤會顯示各個 trust store 的叢集中所有的憑證。「工作」標籤會列出對憑證和操作狀態執行的操作。儀表板視窗會顯示以下卡片：身分憑證 trust憑證工作詳細資料對於身分和trust憑證卡，系統會顯示有效、到期和即將到期的憑證摘要。對於「工作」卡，系統會顯示總計、完成和當月待處理工作的摘要。

存取身份憑證標籤

使用身分憑證，查看叢集中所顯示的所有身分憑證。您可以搜尋特定的身分憑證，或查看憑證的詳細資訊，並執行必要的操作。

在 Webex Control Hub的客戶檢視中移至服務> Connected UC。

Connected UC 頁面隨即會出現。

從憑證管理卡按一下叢集。

按一下清單頁面中的叢集記錄，以瀏覽叢集詳細資訊 頁面，當中顯示與叢集相關的身分憑證。

對於具有 Cisco Emergency Responder 12.5 或 14 版本的叢集，系統並不支援 tomcat-ECDSA 憑證。

（可任選）按一下搜尋，以搜尋特定憑證。

（可任選）在篩選器憑證下拉式選單中，根據其類型選取一個或多個憑證。

憑證清單中的憑證會與伺服器名稱、一般名稱、憑證類型、憑證狀態和有效期等詳細資訊一併顯示。

按一下清單頁面中的記錄以查看憑證詳細資訊。

側面板會開啟，以顯示憑證詳細資訊。你可以看到憑證詳細資料或複製 PEM 格式憑證。你也可以從此面板執行步驟 8 所列出的所有操作。

按一下關閉，以關閉側面板並返回清單頁面。

當現有憑證屬性與設定檔不相符，且憑證不符合規範時，警告標誌便會出現。

將游標停在憑證記錄上，並按一下省略號，以便執行各種操作。查看身份憑證上的操作，以了解詳細資料。

（可任選）按一下檢視設定檔。

顯示與叢集相關的設定檔。

存取 Trust Store 標籤

Trust Store 標籤會顯示各個 trust store 的叢集中所有的憑證。

在 Webex Control Hub 的客戶檢視中移至服務 > Connected UC。

Connected UC 頁面隨即會出現。

從憑證管理卡按一下叢集。

按一下清單頁面中的叢集記錄，以瀏覽叢集詳細資訊 頁面。

按一下 Trust Store 標籤以查看憑證清單。

憑證清單中的憑證會與一般名稱、序號、發布者、狀態和到期日等詳細資訊一併顯示。

（可任選）按一下搜尋，以搜尋特定憑證。

（可任選）在篩選器憑證下拉式選單中，選取一個或多個憑證。

憑證清單中的憑證會與一般名稱、序號、發布者、狀態和到期日等詳細資訊一併顯示。

按一下清單頁面中的記錄以查看憑證詳細資訊。

側面板會開啟，以顯示憑證詳細資訊。如要查看與憑證相關的所有叢集，請查看憑證詳細資訊或複製 PEM 格式憑證。你也可以從此面板執行步驟 9 所列出的所有操作。

按一下關閉，以關閉側面板並返回清單頁面。

將游標停在憑證記錄上，並按一下省略號，以便執行各種操作。

查看 Trust Store 憑證上的操作，以了解詳細資訊。

按一下具有到期狀態的憑證記錄，即可將已更新的憑證上傳到「 Trust Store 」。

按一下上傳到trust。

系統會顯示上傳憑證視窗。

選擇所需叢集，以便與 Trust Store 建立關聯。

在執行操作前請仔細閱讀顯示的警告訊息。

按一下選擇檔案以瀏覽憑證。

按一下上傳，將憑證上傳到所需叢集的 Trust Store 。

「 Control Hub 」中的訂閱者節點不支援 IPsec 和 CAPF 的trust操作。系統管理員需於公司處所內執行這些操作。

存取工作標籤

工作標籤顯示所有已執行操作的摘要。「工作」標籤顯示總計、完成和當月待處理工作的摘要。

1	在 Webex Control Hub 的客戶檢視中移至服務 > Connected UC。 Connected UC 頁面隨即會出現。
2	在Certificate Management卡中按一下叢集。
3	按一下清單頁面中的叢集記錄，以瀏覽叢集詳細資訊頁面。
4	按一下工作標籤以查看當月執行的工作清單。
5	在當月下拉式選單中，選擇所需期間以查看工作摘要。在工作摘要中顯示的「工作狀態」狀態會與工作類型、節點、時間戳記記、憑證和產品資訊等詳細資訊一併顯示。
6	在清單頁面按一下記錄，以查看工作詳細資訊。側面板開啟以顯示工作詳細資訊。
7	按一下關閉，以關閉側面板並返回清單頁面。

存取設定檔頁面

設定檔頁面允許您定義設定，例如多伺服器/多重 SAN、CA 簽名與自我簽署、有效期、RSA 與 ECDSA、金鑰長度、雜湊演算法等。

為每個叢集版本使用個別的設定檔。例如，若叢集執行 12.x 版本，您在執行憑證操作時僅能查看 12.x 的功能。

在創建自訂配置檔時，系統管理員可以將此新創建的自訂配置檔與叢集建立關聯。

在 Cisco Webex Control Hub 的客戶檢視中移至服務 > Connected UC。

Connected UC 頁面隨即會出現。

在憑證管理卡中點擊設定檔。

設定檔頁面顯示已建立的設定檔清單。

在預設情況下，憑證管理服務提供標準設定檔，而所有啟用憑證管理服務的叢集會與此設定檔相關聯。這是一個僅供檢視的設定檔。將滑鼠游標停留在設定檔上，然後按一下省略號以查看或複製設定檔。

將游標停在設定檔名稱上，並按一下省略號，以便執行各種操作，例如：

編輯
1. 按一下編輯，以編輯選定的設定檔。
刪除
1. 參閱警告訊息，並按一下刪除，以刪除選定的設定檔。
複製
1. 按一下複製，以複製選定的設定檔。
  
  系統會顯示自訂設定檔副本視窗。
2. 如有需要，按一下建立以更新或修改每個產品的設定。否則，請建立選定設定檔的副本。

按一下新增設定檔以建立新的自訂設定檔。

輸入設定檔名稱。

如要將設定檔設定為預設，請選取該核取方塊。

為設定檔輸入說明。

為每個產品定義各種憑證設定

按一下建立以建立設定檔。

若您已將自訂設定檔設定為預設，請在自訂設定檔取消選取預設核取方塊，以便將標準設定檔切換回預設。

（可任選）將設定檔與叢集建立關聯。在頂層功能表按一下叢集標籤，系統便會顯示叢集清單頁面。您可以從清單頁面將設定檔與叢集建立關聯。

11.5x 和 12.5x 版本的有效期為 5 年，與有效期下拉式清單中所選的值無關。版本 14 或更新版本的有效期可以由 5 至 20 年不等。

請勿執行表中列為 N 的操作，否則操作將會失敗。


憑證作業	支援的版本			操作的運作方式
	11.5	12.5	版本 14 或更新版本
更新多個伺服器	否	否	是	雖然此操作已在多個伺服器的自我簽署憑證上執行，但此操作僅適用於單個節點。
重新使用	否	否	是	操作僅適用於 Cisco Unified CM 應用程式上的「通話系統管理員」和「通話系統管理員 ECDSA」。此操作適用於多個伺服器 CA 簽名和多個伺服器自我簽署憑證。

存取設定頁面

當憑證接近其到期日時，系統會自動傳送電子郵件訊息給收件人。

1	在 Webex Control Hub 的客戶檢視中移至服務 > Connected UC。 Connected UC 頁面隨即會出現。
2	在憑證管理卡中點擊設定。
3	設定通知開始時間。您可以將「通知開始時間」設定在 30 至 365 天之間。
4	設定通知頻率。您可以將「通知頻率」設定在 1 至 30 天之間。
5	輸入通知收件人的電子郵件地址。您最多可輸入 25 個電子郵件地址。
6	按一下儲存。當憑證接近到期日時，所有收件人都會收到一封電子郵件通知（如圖所示）。

1	在 Webex Control Hub 的客戶檢視中移至服務 > Connected UC。 Connected UC 頁面隨即會出現。
2	從憑證管理卡按一下叢集。「叢集」摘要頁面顯示連詳細資訊的叢集，例如叢集名稱、狀態、產品，以及與叢集相關的設定檔。系統管理員可以為叢集變更標準設定檔與自訂設定檔的預設關聯。
3	（可任選）選擇下列其中一個選項：按一下搜尋，以搜尋特定叢集。在篩選產品下拉式選單中，選取一個或多個產品。
4	按一下清單頁面中的叢集記錄，以瀏覽叢集詳細資訊頁面，當中顯示與所選叢集相關的身分憑證。您可以導覽到 Trust Store 標籤或工作標籤。Trust Store 標籤會顯示各個 trust store 的叢集中所有的憑證。「工作」標籤會列出對憑證和操作狀態執行的操作。儀表板視窗會顯示以下卡片：身分憑證 trust憑證工作詳細資料對於身分和trust憑證卡，系統會顯示有效、到期和即將到期的憑證摘要。對於「工作」卡，系統會顯示總計、完成和當月待處理工作的摘要。

1	在 Webex Control Hub 的客戶檢視中移至服務 > Connected UC。 Connected UC 頁面隨即會出現。
2	在憑證管理卡中點擊設定。
3	設定通知開始時間。您可以將「通知開始時間」設定在 30 至 365 天之間。
4	設定通知頻率。您可以將「通知頻率」設定在 1 至 30 天之間。
5	輸入通知收件人的電子郵件地址。您最多可輸入 25 個電子郵件地址。
6	按一下儲存。當憑證接近到期日時，所有收件人都會收到一封電子郵件通知（如圖所示）。