憑證管理概觀

Centralized Certificate Management 是一項雲端型的服務,提供單一位置以查看 並管理多個叢集中的 Cisco Unified Communications Manager、IM and Presence 和 Cisco Unity Connection 和 Cisco Emergency Responder 憑證。

開始之前

您需於服務管理頁面上啟用所需的叢集的 Certificate Management 服務。更多資訊 請參閱 在 Control Hub 中啟用 Cloud-Connected UC 服務

Centralized Certificate Management 提供以下的關鍵 功能:

  • 顯示每個叢集的憑證狀態的多叢集儀表板。

  • 個別叢集 級別的身分和 trust 憑證的詳細檢視。

  • 執行憑證操作的功能,如產生 CSR、上傳 憑證、續訂、下載、複製、取代、移除等。

  • 警示儀表板以查看已過期和即將過期的憑證。

  • 配置通知的功能,如憑證 過期的電子郵件通知。

  • 透過多個 Trust Store 和叢集分派憑證。

  • 使用不同設定來定義憑證設定檔,並分配給叢集。


您無法在 Cisco Emergency Responder 應用程式上分派和取代憑證。

存取憑證管理服務

Cloud-Connected UC 服務套件中的憑證管理服務可管理 用於內部部署的憑證。

如要存取憑證管理,請執行以下步驟:

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。此頁面的 憑證管理卡提供 憑證管理特點和功能。

2

憑證管理卡上,按一下任何連絡以 存取憑證管理的各種功能。

下表列出了 憑證管理 可用的功能:

標籤

描述

警示

顯示所有過期和即將過期的憑證摘要。 系統管理員可以對身份或trust 憑證採取必要的行動,以保持憑證的最新狀態。

叢集

顯示特定組織叢集中的憑證狀態摘要 。

  • 您可以查看 組織內特定叢集的所有身分和trust憑證。

  • 「工作」標籤顯示了在憑證上執行的所有操作之摘要 。

設定檔

使用設定檔更新憑證、產生 CSR 和檢查憑證 合規性。您可以建立自訂憑證管理設定檔 ,並將設定檔與叢集建立關聯。

設定

設定系統管理員的電子郵件地址,以接收 憑證到期通知。所有欄位都可以在 憑證管理的設定頁面中設定。

使用警示頁面執行以下操作:

  • 查看已過期或即將過期的憑證

  • 按憑證篩選

  • 按產品篩選以查看憑證狀態。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

按一下憑證管理卡的警示

該頁面同時顯示已過期和即將過期的憑證。憑證會列出 詳細資訊,例如叢集名稱、一般名稱、憑證類型、憑證 狀態和有效期。

3

(可選)選擇下列其中一個選項:

  • 按一下搜尋,以搜尋特定憑證。

  • 篩選憑證 下拉式清單中選取一個或多個憑證。

  • 篩選產品下拉式 清單中選擇一個或多個產品。

選定的憑證與詳細資訊一起出現在憑證清單中,例如叢集、 證書、一般名稱、產品、類型、狀態、伺服器名稱和 到期日。

4

從清單頁面中選擇一項記錄,以查看憑證詳細資訊。

側面板會開啟,以顯示憑證詳細資訊。您可以看到憑證 詳細資訊複製 PEM 格式憑證。執行所有 此面板步驟 6 中列出的操作。

5

按一下關閉,以關閉側面板並返回清單頁面。

6

將游標停在憑證記錄上,並按一下省略號,以便在「身分和 Trust Store 」執行各種 操作。

身份憑證上的操作是:

  • 更新自我簽署的憑證。

  • 為 CA 簽名產生 CSR。

  • 上傳 CA 簽名的憑證,並在憑證上 產生 CSR。

  • 下載 CA 簽名的 CSR,並在憑證上 產生 CSR。

  • 刪除 CA 簽名的 CSR,並在憑證上 產生 CSR。

憑證作業

憑證使用

描述

更新憑證

當憑證是自我簽署時,請使用「更新憑證」 。

當您需要為所選服務重新使用 Tomcat 憑證時, 請重新使用 Tomcat 憑證。

更新憑證視窗會根據 設定檔設定顯示。

根據 設定檔 設定頁面中的選擇,選擇更新憑證操作,即是:

  • 重新使用 Tomcat 憑證 — 在設定檔選取使用 Tomcat,便可啟用重新使用 Tomcat 選項。

  • 更新憑證 — 選取憑證 類型作為自我簽署, 便可啟用 更新。

參閱警告訊息,然後按一下重新使用 Tomcat 憑證以更新 憑證。

產生 CSR

當憑證類型為 CA 簽名時,請使用「產生 CSR」操作。

系統會顯示產生 CSR 視窗 。

按一下產生以產生 CSR。

上傳憑證

當憑證類型為 CA 簽名且產生了 CSR 時,請使用「上傳」操作 。您可以上傳 .P7B 格式的憑證鏈結或是 .pem 或 .der. 格式的身分憑證。

系統會顯示上傳憑證視窗 。

  1. 按一下選擇檔案以 上傳憑證。

    在本機瀏覽並上傳憑證 。

  2. 按一下上傳以上傳 憑證。

分派憑證

使用「分派」操作,將憑證分派到單個 操作中的多個叢集。透過 Control Hub 選取多叢集和 Trust Store ,系統便會將憑證分派到選定的 叢集。

系統會顯示分派憑證視窗 。

  1. 選擇您想要 分派憑證的叢集和trust。

  2. 按一下分派,以便 將憑證與所選叢集 和trust建立關聯。

  3. 按一下確定以關閉 「分派憑證」視窗。


 

此流程在 CER 應用程式並不適用。

下載 CSR

當憑證類型為 CA 簽名且已產生 CSR 時,請使用「下載 CSR」。 您可以下載 CSR,以獲得 CA(憑證頒發機構)的簽署。

按一下下載 CSR,將 CSR 憑證簽署請求下載到您的 本機。

刪除 CSR

當必須產生 CSR 時,請使用「刪除 CSR 操作」 。

系統會顯示刪除 CSR視窗。

請參閱警告訊息,並按一下 刪除以刪除 CSR 憑證簽名請求。


 

如果系統管理員在設定檔中所作的設定 與憑證屬性並不相符時,憑證旁邊會出現一個警告圖示 。例子:Tomcat 憑證為自我簽署,但在 設定檔設定中,此憑證會被設定為 CA 簽名,因而導致兩者不相符。

請勿在未驗證不相符項目的情況下,意外地點撃提交, 此舉可能會導致問題出現。

Trust Store 憑證的操作是:

  • 取代憑證

  • 移除憑證

憑證作業

憑證使用

描述

取代憑證

使用「取代憑證」,將現有憑證替換為新憑證。

系統會顯示取代憑證視窗 。

  1. 按一下選擇檔案以 選擇新憑證。

    在 本機瀏覽並上傳新憑證。

  2. 按一下取代以取代 憑證。


 

此流程在 CER 應用程式上並不適用。

移除憑證

當系統管理員想要移除 即將到期和已過期的憑證時,請移除憑證。

系統會顯示移除憑證視窗 。

  1. 從您要 刪除憑證的位置選取叢集和trust。

  2. 按一下下一個,以便 從所選叢集和 trust中移除憑證。

  3. 參閱警告訊息並按一下 移除,以移除 憑證。


 

移除憑證取代憑證 trust操作可能會因無法找到檔案 的錯誤而失敗。當透過多個具有 12.5 SU5 和 14 SU1 版本的混合版本的叢集上執行操作時, 系統便會出現這個錯誤。

解決方案:在失敗的節點上重試操作。針對相應的叢集在「工作」詳細資料頁面上驗證錯誤訊息 ,內容為 由於 節點上並無此憑證,因此無法移除憑證。

Trust Store 憑證身分憑證上的常見操作為:

  • 下載 .der

  • 下載 .pem

憑證操作類型

憑證使用

描述

下載 .der

使用 Download.der 以下載二進制格式的憑證 。DER (識別編碼規則) 為 數位憑證。

按一下 Download .der 以下載 .der (二進位) 格式的憑證。

.der 憑證已下載到您的 本機。

下載 .pem

使用 Download.pem 下載 .pem 格式的憑證。PEM(隱私增強 郵件)是 Base64 編碼的 DER 憑證 ,格式為 ASCII。

按一下 Download .pem 以下載 .pem (ASCII) 格式的憑證。

.pem 憑證已下載到您的 本機。

7

憑證操作已新增到「工作」清單。您可以 在工作標籤下方查看進度。

  1. 按一下工作連結以查看憑證操作 的進度。

  2. 按一下確定以關閉「憑證」視窗。

叢集頁面為組織中所有的叢集 列出每個叢集的憑證狀態摘要。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

憑證管理卡中點擊叢集

「叢集」摘要頁面顯示連詳細資訊的叢集,例如叢集名稱、狀態、 產品,以及與叢集相關的設定檔。系統管理員可以為叢集 變更標準設定檔與自訂設定檔的預設關聯 。

3

(可選)選擇下列其中一個選項:

  • 按一下搜尋,以搜尋特定叢集。

  • 篩選產品下拉式選單中,選取一個或多個產品。

4

按一下清單頁面中的叢集記錄,以瀏覽叢集詳細資訊 頁面,當中顯示與所選叢集相關的身分憑證 。

您可以導覽到 Trust Store 標籤或 工作標籤。Trust Store 標籤會顯示各個 trust store 的叢集中所有的 憑證。「工作」標籤會列出 對憑證和操作狀態執行的操作。

儀表板視窗會顯示以下卡片:

  1. 身分憑證

  2. trust憑證

  3. 工作詳細資料

對於身分和trust憑證卡,系統會顯示有效、到期和 即將到期的憑證摘要。對於「工作」卡,系統會顯示總計、 完成和當月待處理工作的摘要。

存取身份憑證標籤

使用身分憑證,查看叢集中所顯示的所有身分憑證 。您可以搜尋特定的身分憑證,或查看 憑證的詳細資訊,並執行必要的操作。

1

Webex Control Hub的客戶檢視中移至 服務> Connected UC

Connected UC 頁面隨即會出現。

2

憑證管理卡點一下叢集

3

按一下清單頁面中的叢集記錄,以瀏覽叢集詳細資訊 頁面,當中顯示與叢集相關的身分憑證 。


 

對於具有 Cisco Emergency Responder 12.5 或 14 版本的叢集,系統並 不支援 tomcat-ECDSA 憑證。

4

(可選)按一下搜尋,以搜尋特定憑證。

5

(可選)在篩選器憑證下拉式選單中,根據其類型選取一個或多個憑證 。

憑證清單中的憑證會與 伺服器名稱、一般名稱、憑證類型、憑證狀態和有效期 等詳細資訊一併顯示。

6

按一下清單頁面中的記錄,以查看憑證詳細資訊。

側面板會開啟,以顯示憑證詳細資訊。你可以看到憑證 詳細資料複製 PEM 格式憑證。你也可以 從此面板執行步驟 8 所列出的所有操作。

7

按一下關閉,以關閉側面板並返回清單頁面。


 

當現有憑證屬性與設定檔不相符,且憑證不符合規範時,警告標誌便會 出現。

8

將游標停在憑證記錄上,並按一下省略號,以便執行各種操作 。查看身份 憑證上的操作,以了解詳細資料。

9

(可選)按一下檢視設定檔

顯示與叢集相關的設定檔。

存取 Trust Store 標籤

Trust Store 標籤會顯示 各個 trust store 的叢集中所有的憑證。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

憑證管理卡中點擊叢集

3

按一下清單頁面中的叢集記錄,以瀏覽叢集詳細資訊 頁面。

4

按一下 Trust Store 標籤以查看憑證清單。

憑證清單中的憑證會與 一般名稱、序號、發布者、狀態和到期日等詳細資訊一併顯示。

5

(可選)按一下搜尋,以搜尋特定憑證。

6

(可選)在篩選器憑證下拉式選單中,選取一個或多個憑證。

憑證清單中的憑證會與 一般名稱、序號、發布者、狀態和到期日等詳細資訊一併顯示。

7

按一下清單頁面中的記錄以查看憑證詳細資訊。

側面板會開啟, 以顯示憑證詳細資訊。如要查看與 憑證相關的所有叢集,請查看憑證詳細資訊複製 PEM 格式 憑證。你也可以從此面板執行 步驟 9 所列出的所有操作。

8

按一下關閉,以關閉側面板並返回清單頁面。

9

將游標停在憑證記錄上,並按一下省略號,以便執行各種 操作。

查看 Trust Store 憑證上的操作,以了解詳細資訊。
10

按一下具有到期狀態的憑證記錄,即可將已更新的憑證上傳到「 Trust Store 」。

11

按一下上傳到trust

系統會顯示上傳憑證視窗。

12

選擇所需叢集,以便與 Trust Store 建立關聯。


 

在執行操作前請仔細閱讀顯示的警告訊息。

13

按一下選擇檔案以瀏覽憑證。

14

按一下上傳,將憑證上傳到所需叢集的 Trust Store 。

「 Control Hub 」中的訂閱者節點不支援 IPsec 和 CAPF 的trust操作 。系統管理員需於公司處所內執行這些操作 。

存取工作標籤

工作標籤顯示所有已執行操作的摘要。 「工作 」標籤顯示總計、完成和當月待處理 工作的摘要。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

憑證管理卡按一下叢集

3

按一下清單頁面中的叢集記錄,以瀏覽叢集詳細資訊 頁面。

4

按一下工作標籤以查看當月執行的工作清單。

5

當月下拉式選單中,選擇所需期間以查看工作摘要。

在工作摘要中顯示的「工作狀態」狀態會與工作類型、節點、 時間戳記記、憑證和產品資訊等詳細資訊一併顯示。

6

在清單頁面按一下記錄,以查看工作詳細資訊。

側面板開啟以顯示工作詳細資訊。

7

按一下關閉,以關閉側面板並返回清單頁面。

設定檔頁面允許您定義設定,例如 多伺服器/多重 SAN、CA 簽名與自我簽署、有效期、RSA 與 ECDSA、 金鑰長度、雜湊演算法等。

為每個叢集版本使用個別的設定檔。例如,如果叢集運行 12.x 版本,您在執行憑證操作時僅能查看 12.x 的功能。

在創建自訂配置檔時,系統管理員可以將此新創建的 自訂配置檔與叢集建立關聯。

1

Cisco Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

憑證管理卡中點擊設定檔

設定檔頁面顯示已建立的設定檔清單。


 

在預設情況下,憑證管理服務提供標準設定檔,而所有 啟用憑證管理服務 的叢集會與此設定檔相關聯。這是一個僅供檢視的設定檔。將滑鼠游標停留在設定檔上,然後按一下 省略號以查看或複製設定檔。

3

將游標停在設定檔名稱上,並按一下省略號,以便執行各種操作, 例如:

  • 編輯

    1. 按一下編輯,以編輯選定的 設定檔。

  • 刪除

    1. 參閱警告訊息,並按一下 刪除,以刪除選定的 設定檔。

  • 複製

    1. 按一下複製,以複製選定的 設定檔。

      系統會顯示自訂設定檔副本視窗。

    2. 如有需要,按一下建立以更新或修改每個 產品的設定。否則,請建立選定 設定檔的副本。

4

按一下新增設定檔以建立新的自訂設定檔。

5

輸入設定檔名稱

6

如要將設定檔設定為預設,請選取該核取方塊。

7

為設定檔輸入說明

8

為每個產品定義各種憑證設定

9

按一下建立以建立設定檔。

如果您已將自訂設定檔設定為預設,請在自訂設定檔取消選取預設核取方塊 ,以便將標準設定檔切換回預設。

10

(可選)將設定檔與叢集建立關聯。在頂層功能表按一下 叢集標籤,系統便會顯示叢集清單 頁面。您可以從清單頁面將設定檔與叢集建立關聯。


 

11.5x 和 12.5x 版本的有效期為 5 年,與有效期下拉式清單中所選的值無關 。版本 14 或更新版本的有效期可以由 5 至 20 年不等。

請勿執行表中列為 N 的操作,否則 操作將會失敗。

憑證作業

支援的版本

操作的運作方式

11.5

12.5

版本 14 或更新版本

更新多個伺服器 雖然此操作已在多個伺服器 的自我簽署憑證上執行,但此操作僅適用於單個 節點。
重新使用 操作僅適用於 Cisco Unified CM 應用程式上的「通話系統管理員」和「通話系統管理員 ECDSA」。此操作適用於 多個伺服器 CA 簽名和多個伺服器自我簽署 憑證。

當憑證接近其到期日時,系統會自動傳送電子郵件訊息 給收件人。

1

Webex Control Hub 的客戶檢視中移至服務 > Connected UC

Connected UC 頁面隨即會出現。

2

憑證管理卡中點擊設定

3

設定通知開始時間

您可以將「通知開始時間」設定在 30 至 365 天之間。

4

設定通知頻率

您可以將「通知頻率」設定在 1 至 30 天之間。

5

輸入通知收件人的電子郵件地址。

您最多可輸入 25 個電子郵件地址。

6

按一下儲存

當憑證接近到期日時,所有收件人都會收到一封電子郵件通知(如圖所示) 。