在 Webex Cloud-Connected UC 中管理憑證

憑證管理概觀

集中式憑證管理是雲端型服務，提供單一位置來檢視和管理跨多個叢集的Cisco Unified Communications Manager、 IM and Presence 與Cisco Unity Connection和Cisco Emergency Responder的憑證。

在開始之前：

您必須在所需的叢集的「服務管理」頁上啟用憑證管理服務。更多資訊，請參閱在 Control Hub 中啟用雲端連線 UC。

集中式憑證管理提供下列關鍵功能：

顯示每個叢集的憑證狀態的多叢集儀表板。
個別叢集層級的身分與信任憑證的詳細檢視。
能夠執行憑證操作，例如產生CSR、上傳憑證、續訂、下載、複製、取代和移除。
警示儀表板，用於檢視已過期和即將過期的憑證。
能夠配置通知，例如憑證到期的電子郵件通知。
跨多個信任儲存區和叢集分發憑證。
使用各種設定定義憑證設定檔並指定給叢集。

您無法在Cisco Emergency Responder應用程式上分發和取代憑證。

存取憑證管理服務

雲端連線 UC 服務套件中的憑證管理服務管理內部部署部署部署的憑證。

若要存取憑證管理，請執行下列步驟：

從的客戶檢視中Webex Control Hub ，轉至服務 >已連線 UC 。

即會出現已連線 UC 頁面。的憑證管理此頁面中的卡片提供了憑證管理功能。

於憑證管理卡片，按一下任何鏈結以存取憑證管理的各種功能。

下表列出了憑證管理中可用的功能：

標籤	說明
警示	顯示所有已過期和即將過期的憑證的摘要。管理員可以對身分或信任憑證採取必要的動作以使其保持最新。
叢集	顯示給定組織中各個叢集的憑證狀態摘要，並允許管理員對身份或信任憑證採取必要的動作。您可以檢視組織內特定叢集的所有身分和信任憑證。工作標籤顯示對憑證執行的所有動作的摘要。
設定檔	驗證叢集中的憑證是否符合已設定的設定。您可以建立自訂憑證管理設定檔並將其與叢集建立關聯。
設定	設定管理員的電子郵件地址以接收憑證到期通知。所有欄位均可在憑證管理的設定頁中設定。

存取警示頁面

使用警示頁面上，以執行以下操作：

檢視已過期或即將到期的憑證
按憑證篩選
按產品篩選以檢視憑證狀態。

從的客戶檢視中Webex Control Hub ，轉至服務 >已連線 UC 。

即會出現已連線 UC 頁面。

按一下警示來自憑證管理 卡。

此頁面會同時顯示已過期和即將過期的憑證。憑證會列出詳細資料，例如叢集名稱、一般名稱、憑證類型、憑證狀態和到期日期。

（可選）選擇下列其中一個選項：

按一下搜尋以搜尋特定憑證。
從下列中選取一個或多個憑證：篩選憑證下拉式清單。
請從下列項目中選取一個或多個產品：篩選產品下拉式清單。

所選的憑證與叢集、憑證、通用名稱、產品、類型、狀態、伺服器名稱和到期時間等詳細資料一起顯示在憑證清單中。

從清單頁面選取記錄以檢視憑證詳細資料。

側面板將開啟以顯示憑證詳細資料。您可以看到憑證詳細資料 或複製 PEM 格式的憑證。從此面板執行步驟 6 中所列的所有操作。

按一下關閉以關閉側面板並返回清單頁面。

將滑鼠移至憑證記錄上方，然後按一下省略號以對身分和信任儲存憑證執行各種操作。

操作於身分憑證是：

續訂自我簽署的憑證。
為已簽署的 CA 產生CSR 。
上傳 CA 憑證已簽署，並在憑證上產生CSR 。
下載 CA 的CSR已簽署，且在憑證上產生CSR 。
刪除 CA 的CSR已簽署，並在憑證上產生CSR 。

憑證操作	憑證使用情況	說明
續訂憑證	當憑證是自我簽署時，請使用續訂憑證。當您想要對所選服務重複使用 Tomcat 憑證時，請使用重複使用 Tomcat 憑證。	的續訂憑證會根據設定檔設定顯示視窗。根據在設定檔設定頁面，即：重複使用 Tomcat 憑證 - 選取在設定檔上使用 Tomcat ，會啟用「重複使用 Tomcat」選項。續訂憑證 - 選取憑證類型為自我簽署，已啟用續訂。閱讀警告訊息並按一下重複使用 Tomcat 憑證以續訂憑證。
產生 CSR	當憑證類型為 CA 簽署時，使用產生CSR操作。	的產生CSR 視窗顯示。按一下產生以產生CSR。
上傳憑證	當憑證類型為 CA 簽署且已產生CSR時，使用上傳操作。您可以上傳 .P7B 格式的憑證鏈結，或 .pem 或 .der 格式的身分憑證。	的上傳憑證視窗顯示。按一下選擇檔案以上傳憑證。從您的本地機器瀏覽並上傳憑證。按一下上傳以上傳憑證。
分發憑證	使用分發操作可在單一操作中將憑證分發到多個叢集。選取 Control Hub 上的多個叢集和信任儲存區，憑證將分發給所選的叢集。	的分發憑證視窗顯示。選取您要向其分發憑證的叢集和信任。按一下分發將憑證與所選的叢集和信任建立關聯。按一下確定以關閉「分發憑證」視窗。此程序不適用於 CER 應用程式。
下載 CSR	當憑證類型為 CA 簽署且已產生CSR時，使用下載CSR 。您可以下載CSR以讓 CA（憑證授權單位）簽署。	按一下下載CSR，以將CSR憑證簽署請求下載到您的本地機器。
刪除 CSR	當必須重新產生CSR時，請使用刪除CSR操作。	的刪除CSR 視窗顯示。閱讀警告訊息並按一下刪除，以刪除CSR代表憑證簽署請求。

若管理員在設定檔中設定的設定與憑證屬性不相符，則憑證會出現警告圖示。範例：Tomcat 憑證是自我簽署的，但在設定檔設定中設定為 CA 簽署，這會導致不相符。

請勿按一下提交不知不覺中沒有驗證不相符，因為這可能會導致問題。

操作於信任庫憑證是：

取代憑證
移除憑證

憑證操作

憑證使用情況

說明

取代憑證

使用取代憑證以將現有憑證取代為新憑證。

的取代憑證視窗顯示。

按一下選擇檔案以選取新憑證。

從您的本地機器瀏覽並上傳新憑證。
按一下取代取代憑證。

此程序不適用於 CER 應用程式。

移除憑證

當管理員想要移除即將到期和已過期的憑證時，使用移除憑證。

的移除憑證視窗顯示。

選取您要從中刪除憑證的叢集和信任。
按一下下一個從所選的叢集和信任移除憑證。
閱讀警告訊息並按一下移除以移除憑證。

移除憑證或取代憑證信任操作可能會失敗並發生錯誤找不到檔案。當在許多混合使用 12.5 SU5 和 14 SU1 發行版的叢集上執行此操作時，會出現此錯誤。

解決方案：在發生故障的節點上重試作業。驗證相應叢集的「工作」詳細資訊頁面上的錯誤，即無法移除憑證，因為此節點上不存在憑證。

上的一般操作信任庫憑證和身分憑證是：

下載 .der
下載 .pem

憑證操作類型

憑證使用情況

說明

下載 .der

使用 Download.der 來下載憑證的二進制格式。DER（可識別編碼規則）是數位憑證。

按一下下載 .der ，以下載 .der（二進制）格式的憑證。

.der 憑證已下載至您的本地機器。

下載 .pem

使用 Download.pem 以下載 .pem 格式的憑證。PEM（增強隱私權的郵件）是採用ASCII格式的 Base64 編碼的 DER 憑證。

按一下下載 .pem ，以下載 .pem (ASCII) 格式的憑證。

.pem 憑證已下載到您的本地機器。

憑證作業已新增至「工作」清單。您可以在下檢視進度工作標籤。

或

按一下工作鏈結，以檢視憑證作業的進度。
按一下確定以關閉「憑證」視窗。

存取叢集頁面

叢集頁面按每個叢集列出組織中所有叢集的憑證狀態摘要。

1	從的客戶檢視中Webex Control Hub ，轉至服務 >已連線 UC 。即會出現已連線 UC 頁面。
2	按一下叢集來自憑證管理卡。「叢集摘要」頁面顯示帶有詳細資料的叢集，例如叢集名稱、狀態、產品以及與叢集關聯的設定檔。管理員可以變更標准設定檔與叢集的自訂設定檔的預設關聯。
3	（可選）選擇下列其中一個選項：按一下搜尋以搜尋特定叢集。在篩選產品下拉式中，選取一個或多個產品。
4	在清單頁面中按一下要存取的叢集記錄叢集詳細資料頁面，其中顯示與所選叢集關聯的身分憑證。您可以導覽至信任儲存標籤或工作標籤。「信任儲存區」標籤顯示叢集中各種信任儲存區的所有憑證。「工作」標籤列出了對憑證執行的操作以及動作的狀態。儀表板窗格顯示這些卡片：身分憑證信任憑證工作詳細資訊對於身分與信任憑證卡片，會顯示有效、已過期及即將到期的憑證的摘要。對於「工作」卡片，會顯示當月的總計、已完成和待處理的工作的摘要。

存取身分憑證標籤

使用身分憑證以檢視叢集中存在的所有身分憑證。您可以搜尋特定身份憑證或檢視憑證的詳細資料並執行必要的操作。

1	從的客戶檢視中Webex Control Hub ，轉至服務> 已連線 UC 。即會出現已連線 UC 頁面。
2	按一下叢集來自憑證管理卡。
3	在清單頁面中按一下要存取的叢集記錄叢集詳細資訊頁面，其中顯示與叢集關聯的身分憑證。具有Cisco Emergency Responder 12.5 或 14 版本的叢集，不支援 tomcat-ECDSA 憑證。
4	（選用）按一下搜尋以搜尋特定憑證。
5	（可選）在篩選憑證下拉清單，請根據憑證類型選取一個或多個憑證。憑證與伺服器名稱、一般名稱、憑證類型、憑證狀態和到期日期等詳細資料一起顯示在憑證清單中。
6	從清單頁面按一下記錄以檢視憑證詳細資料。側面板將開啟以顯示憑證詳細資料。您可以看到憑證詳細資料或複製 PEM 格式的憑證。您還可以從此面板執行步驟 8 中列出的所有操作。
7	按一下關閉以關閉側面板並返回清單頁面。的警告標誌當現有的憑證屬性與設定檔不相符且憑證不符合要求時，會出現。
8	將滑鼠移至憑證記錄上方，然後按一下省略號以執行各種操作。請參閱操作於身分憑證以取得詳細資料。
9	（可選）按一下檢視設定檔。顯示與叢集關聯的設定檔。

存取信任儲存標籤

的信任儲存標籤列出叢集中各種信任儲存區中的所有憑證。

1	從的客戶檢視中Webex Control Hub ，轉至服務 >已連線 UC 。即會出現已連線 UC 頁面。
2	按一下叢集來自憑證管理卡。
3	在清單頁面中按一下要存取的叢集記錄叢集詳細資訊頁面。
4	按一下信任儲存標籤以檢視憑證清單。憑證會顯示在憑證清單中，包含一般名稱、序號、發行者、狀態和到期日期等詳細資料。
5	（選用）按一下搜尋以搜尋特定憑證。
6	（可選）在篩選憑證下拉式中，選取一個或多個憑證。憑證會顯示在憑證清單中，包含一般名稱、序號、發行者、狀態和到期日期等詳細資料。
7	從清單頁面按一下記錄以檢視憑證詳細資料。側面板將開啟以顯示憑證詳細資料。若要檢視與憑證關聯的所有叢集，請參閱憑證詳細資料或複製 PEM 格式憑證。您還可以從此面板執行步驟 9 中列出的所有操作。
8	按一下關閉以關閉側面板並返回清單頁面。
9	將滑鼠移至憑證記錄上方，然後按一下省略號以執行各種操作。請參閱操作於信任庫憑證的詳細資料。
10	按一下狀態已過期的憑證記錄，以將更新的憑證上傳至信任儲存區。
11	按一下上傳至信任。的上傳憑證視窗顯示。
12	選取所需的叢集以與信任儲存區建立關聯。在執行操作前，請仔細閱讀顯示的警告訊息。
13	按一下選擇檔案以瀏覽憑證。
14	按一下上傳將憑證上傳至所需叢集的信任儲存區。不支援透過 Control Hub 中的訂閱者節點對 IPsec 和CAPF進行信任操作。管理員必須在內部部署執行這些操作。

限制

對信任憑證操作的 CH 的限制：

如果有任何信任服務不會在相同叢集的節點上發生復制，則管理員必須在內部部署執行這些操作。例如：CAPF， IPSEC。
所有與信任相關的操作只會傳送至叢集的發布者節點，因此該操作只能透過 pub 節點執行，無法從子節點執行。
1. 移除信任
2. 取代信任
3. 分發信任
4. 上傳信任

移除信任操作的限制：

只能透過 Pub 節點執行操作。
若憑證不在 Pub 節點中且不在子節點中，則無法透過 Control Hub 執行操作。需要透過內部部署完成操作。

存取工作標籤

工作標籤顯示已執行的所有操作的摘要。工作標籤顯示當月的總計、已完成和待處理的工作的摘要。

1	從的客戶檢視中Webex Control Hub ，轉至服務 >已連線 UC 。即會出現已連線 UC 頁面。
2	按一下叢集來自憑證管理卡。
3	在清單頁面中按一下要存取的叢集記錄叢集詳細資訊頁面。
4	按一下工作標籤以檢視當月執行的工作清單。
5	在當月下拉清單，選取所需的期間來檢視工作摘要。工作狀態與工作類型、節點、時間戳記、憑證和產品資訊等詳細資料一起出現在工作摘要中。
6	從清單頁面按一下記錄以檢視工作詳細資料。側面板將開啟以顯示工作詳細資料。
7	按一下關閉以關閉側面板並返回清單頁面。

存取設定檔頁面

設定檔頁面可讓您定義設定，例如多伺服器/多 SAN、CA 簽署與自我簽署、有效期、 RSA與 ECDSA、金鑰長度、雜湊演算法。

對每個版本的叢集使用單獨的設定檔。例如，如果叢集執行 12.x 版本，則您在執行憑證操作時只能看到 12.x 功能。

在建立自訂設定檔時，管理員可以將新建立的自訂設定檔與叢集建立關聯。

從的客戶檢視中Cisco Webex Control Hub ，轉至服務 >已連線 UC 。

即會出現已連線 UC 頁面。

按一下設定檔 來自憑證管理 卡。

的設定檔頁面會出現，其中包含已建立的設定檔清單。

依預設，憑證管理服務提供標准設定檔，且所有已啟用憑證管理服務的叢集都與此設定檔關聯。這是僅供檢視的設定檔。將滑鼠移至設定檔上方，然後按一下省略號以檢視或複制設定檔。

將滑鼠移至設定設定檔名稱上方，然後按一下省略號以執行各種操作，例如：

編輯
1. 按一下編輯以編輯選取的設定檔。
刪除
1. 閱讀警告訊息並按一下刪除以刪除選取的設定檔。
複製
1. 按一下複製以復制選取的設定檔。
  
  的自訂設定檔副本視窗。
2. 按一下建立以根據需要更新或修改每個產品的設定。否則，建立所選設定檔的副本。

按一下新增設定檔以建立新的自訂設定檔。

輸入設定檔名稱。

如果要將設定檔設定為預設，請核取此核取方塊。

輸入說明用於設定檔。

定義每個產品的各種憑證設定

按一下建立以建立設定檔。

如果您已將自訂設定檔設定為預設，請取消選取自訂設定檔上的預設勾選方塊以切換回標准設定檔作為預設。

（可選）將設定檔與叢集建立關聯。按一下叢集從頂層功能表中選取標籤，叢集清單頁面即會顯示。您可以從清單頁面將設定檔與叢集建立關聯。

11 的有效期限。5x 和 12。5x 版本為 5 年，與在有效性下拉清單中選擇的值無關。從版本 14 開始，有效期可以在 5 到 20 年之間。

請不要執行表中列為 N 的作業，否則作業會失敗。

憑證操作	支援的版本			操作的功能
	11.5	12.5	14 及更高版本
續訂多伺服器	否	否	是	雖然此作業是在多伺服器自我簽署憑證上執行，但它僅適用於單一節點。
重複使用	否	否	是	操作僅適用於Cisco Unified CM應用程式上的 Call Manager 和 Call Manager ECDSA。此作業適用於多伺服器 CA 簽署的和多伺服器自我簽署憑證。

存取設定頁面

當憑證接近其到期日時，系統會自動向收件者傳送電子郵件訊息。

1	從的客戶檢視中Webex Control Hub ，轉至服務 >已連線 UC 。即會出現已連線 UC 頁面。
2	按一下設定來自憑證管理卡。
3	設定通知開始時間。您可以在 30 到 365 天之間設定通知開始時間。
4	設定通知頻率。您可以在 1 到 30 天之間設定通知頻率。
5	輸入以下人員的電子郵件地址：通知接收者。您最多可以輸入 25 個電子郵件地址。
6	按一下儲存。當憑證接近到期日期時，所有收件人都會收到如鏡像所顯示的電子郵件通知。

1	從的客戶檢視中Webex Control Hub ，轉至服務 >已連線 UC 。即會出現已連線 UC 頁面。
2	按一下叢集來自憑證管理卡。「叢集摘要」頁面顯示帶有詳細資料的叢集，例如叢集名稱、狀態、產品以及與叢集關聯的設定檔。管理員可以變更標准設定檔與叢集的自訂設定檔的預設關聯。
3	（可選）選擇下列其中一個選項：按一下搜尋以搜尋特定叢集。在篩選產品下拉式中，選取一個或多個產品。
4	在清單頁面中按一下要存取的叢集記錄叢集詳細資料頁面，其中顯示與所選叢集關聯的身分憑證。您可以導覽至信任儲存標籤或工作標籤。「信任儲存區」標籤顯示叢集中各種信任儲存區的所有憑證。「工作」標籤列出了對憑證執行的操作以及動作的狀態。儀表板窗格顯示這些卡片：身分憑證信任憑證工作詳細資訊對於身分與信任憑證卡片，會顯示有效、已過期及即將到期的憑證的摘要。對於「工作」卡片，會顯示當月的總計、已完成和待處理的工作的摘要。

1	從的客戶檢視中Webex Control Hub ，轉至服務> 已連線 UC 。即會出現已連線 UC 頁面。
2	按一下叢集來自憑證管理卡。
3	在清單頁面中按一下要存取的叢集記錄叢集詳細資訊頁面，其中顯示與叢集關聯的身分憑證。具有Cisco Emergency Responder 12.5 或 14 版本的叢集，不支援 tomcat-ECDSA 憑證。
4	（選用）按一下搜尋以搜尋特定憑證。
5	（可選）在篩選憑證下拉清單，請根據憑證類型選取一個或多個憑證。憑證與伺服器名稱、一般名稱、憑證類型、憑證狀態和到期日期等詳細資料一起顯示在憑證清單中。
6	從清單頁面按一下記錄以檢視憑證詳細資料。側面板將開啟以顯示憑證詳細資料。您可以看到憑證詳細資料或複製 PEM 格式的憑證。您還可以從此面板執行步驟 8 中列出的所有操作。
7	按一下關閉以關閉側面板並返回清單頁面。的警告標誌當現有的憑證屬性與設定檔不相符且憑證不符合要求時，會出現。
8	將滑鼠移至憑證記錄上方，然後按一下省略號以執行各種操作。請參閱操作於身分憑證以取得詳細資料。
9	（可選）按一下檢視設定檔。顯示與叢集關聯的設定檔。

1	從的客戶檢視中Webex Control Hub ，轉至服務 >已連線 UC 。即會出現已連線 UC 頁面。
2	按一下設定來自憑證管理卡。
3	設定通知開始時間。您可以在 30 到 365 天之間設定通知開始時間。
4	設定通知頻率。您可以在 1 到 30 天之間設定通知頻率。
5	輸入以下人員的電子郵件地址：通知接收者。您最多可以輸入 25 個電子郵件地址。
6	按一下儲存。當憑證接近到期日期時，所有收件人都會收到如鏡像所顯示的電子郵件通知。

感謝您的意見回饋。