تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند إجراء إعادة إنشاء الشهادات في Unified Communications Manager.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
توصي Cisco بتثبيت هذه الأدوات:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يصف هذا المستند الإجراء بالتفصيل حول كيفية إعادة إنشاء الشهادات في الإصدار 8.x من Cisco Unified Communications Manager (CUCM) والإصدارات الأحدث. راجع دليل الأمان للإصدار المحدد.
Communications Manager (CUCM)، الإصدار 8.x - 11.5.x يتم توقيع ITL بواسطة شهادة مدير المكالمات.
مدير الاتصالات (CUCM) الإصدار 12.0+ يتم توقيع ITL بواسطة شهادة ITLRovery.
التفاعل بين ملفات ITL و CTL
يعتمد هاتف Cisco IP على ملف CTL للتعرف على وضع أمان نظام المجموعة (وضع غير آمن أو مختلط). يتتبع ملف CTL وضع أمان نظام المجموعة من خلال تضمين شهادة "مدير الاتصالات الموحدة" في سجل "مدير الاتصالات الموحدة". يحتوي ملف ITL أيضا على إشارة وضع أمان نظام المجموعة.
تلميح: يمكن أن تؤثر عملية إعادة إنشاء بعض الشهادات على نقاط النهاية. ضع في اعتبارك خطة عمل بعد ساعات العمل العادية نظرا لمتطلبات إعادة تشغيل الخدمات وإعادة تشغيل الهواتف. تحقق من تسجيل الهاتف عبر RTMT قبل العملية وأثناءها وبعدها الموصى بها بشدة. أنت مطلوب فقط لإعادة تشغيل الخدمات إذا كانت الخدمات قيد التشغيل على الخادم.
تحذير: يمكن أن تحتوي نقاط النهاية التي تحتوي حاليا على عدم تطابق ITL (ITL غير صالح) على مشاكل تسجيل بعد هذه العملية. بالنسبة للأجهزة التي تحتوي على قائمة تحكم في الوصول (ITL) غير صحيحة، يعد حذف قائمة التحكم في الوصول (ITL) على نقطة النهاية حلا نموذجيا لأفضل الممارسات بعد اكتمال عملية إعادة الإنشاء، وقد تم تسجيل جميع الهواتف الأخرى. الرجاء مراجعة نماذج الهواتف المحددة حول كيفية حذف شهادات ITL/CTL (الأمان).
من المهم للغاية لوظائف النظام الناجحة أن يتم تحديث جميع الشهادات عبر مجموعة CUCM. إذا كانت الشهادات منتهية الصلاحية أو غير صالحة، فإنها يمكن أن تؤثر بشكل كبير على الوظيفة العادية للنظام. قد يختلف التأثير بناء على إعداد نظامك. يتم عرض قائمة بالخدمات الخاصة بالشهادات المحددة غير الصالحة أو التي انتهت صلاحيتها هنا:
خدمة التحقق من الثقة (TVS) هي المكون الرئيسي للتأمين بشكل افتراضي. تمكن أجهزة التلفزيون Cisco Unified IP Phones من مصادقة خوادم التطبيقات، مثل خدمات EM والدليل و MIDlet، عند إنشاء HTTPS.
توفر أجهزة التلفاز هذه الميزات التالية:
ITLRecovery (خدمة التحقق من الثقة)
دعم ECDSA لمدير الشهادات
في الإصدار 11.0 من Unified Communications Manager، يدعم مدير الشهادات إنشاء شهادات ECDSA ذاتية التوقيع وطلب توقيع شهادة ECDSA (CSR). الإصدارات السابقة من Unified Communications Manager تدعم شهادة RSA فقط. ومع ذلك، تمت إضافة شهادة CallManager-ECDSA إلى الإصدار 11.0 من Unified Communications Manager مع شهادة RSA الموجودة.
تشترك كل من شهادات CallManager و CallManager-ECDSA في مخزن الشهادات الموثوق به الشائع—CallManager-Trust. يقوم Unified Communications Manager بتحميل هذه الشهادات إلى مخزن الثقة هذا.
شهادة هوية موقعة من طرف خارجي
ملاحظة: يمكن للجهة الخارجية أن تعني جهة منح الشهادة الداخلية (CA) أو مصادر خارجية مثل Go-Daddy و Verising وغيرها. شهادة الهوية هي شهادة الخادم للقائمة المحددة (Tomcat، Call Manager، وما إلى ذلك).
ملاحظة: يلزم تشغيل كافة نقاط النهاية وتسجيلها قبل تجديد الشهادات. وإلا، فإن الهواتف غير المتصلة تتطلب إزالة سجل المعاملات الدولي.
عملية إعادة إنشاء Tomcat و Tomcat-ECDSA متطابقة، بما في ذلك إعادة تشغيل الخدمة.
تحديد ما إذا كانت شهادات الجهات الخارجية قيد الاستخدام:
5. تستخدم هذه الخطوات من بيئة CCX، إذا كان ذلك ينطبق:
مراجع إضافية:
ملاحظة: CUCM/Instant Messaging and Presence (IM&P) قبل الإصدار 10.x، يعمل Master
وكيل DRF على كل من ناشر CUCM وناشر IM&P. تعمل الخدمة المحلية ل DRF على المشتركين على التوالي. الإصدارات 10.x والأعلى، يعمل Master
وكيل DRF على ناشر CUCM فقط والخدمة المحلية DRF على مشتركي CUCM وناشر ومشتركي IM&P.
ملاحظة: يستخدم نظام إستعادة البيانات بعد الكوارث إتصالات قائمة على طبقة مأخذ التوصيل الآمنة (SSL) بين Master
العميل والوكيل المحلي لمصادقة البيانات وتشفيرها بين عقد مجموعة CUCM. يستخدم DRS شهادات IPSec لتشفير المفاتيح العام/الخاص الخاص. اعلم أنه إذا قمت بحذف ملف IPSec TrustStore (hostname.pem) من صفحة "إدارة الشهادات"، فإن DRS لا يعمل كما هو متوقع. إذا قمت بحذف ملف ثقة IPSec يدويا، فيجب عليك التأكد من تحميل شهادة IPSec إلى مخزن ثقة IPSec. لمزيد من التفاصيل، ارجع إلى صفحة تعليمات إدارة الشهادات في أدلة أمان مدير الاتصالات الموحدة من Cisco.
IPSEC PEM
الشهادة.يجب أن تكون شهادة IPSec.pem الموجودة في الناشر صالحة ويجب أن تكون موجودة في جميع المشتركين كجهات IPSec الموثوق بها. شهادة IPSec.pem للمشترك غير موجودة في الناشر كثقة IPSec في عملية نشر قياسية. للتحقق من الصلاحية، قارن الأرقام التسلسلية في شهادة IPSec.pem من PUB مع ثقة IPSec في الوحدات الفرعية. يجب أن تتطابق.
ملاحظة: بداية من CUCM 14، لا يمكن العثور على شهادة CAPF إلا على الناشر.
تحذير: تأكد من تحديد ما إذا كان نظام المجموعة في الوضع المختلط قبل المتابعة. ارجع إلى القسم تعريف وضع أمان نظام المجموعة.
CAPF PEM
الشهادة.إعادة ضبط الهواتف الآن. قم بمراقبة إجراءاتها عبر أداة RTMT للتأكد من نجاح إعادة التعيين ومن إعادة تسجيل الأجهزة إلى CUCM. انتظر حتى يكتمل تسجيل الهاتف قبل المتابعة إلى الشهادة التالية. قد تستغرق عملية تسجيل الهواتف هذه بعض الوقت. مع العلم، لا تقوم الأجهزة التي تحتوي على قوائم تحكم في الوصول (ITL) سيئة قبل عملية إعادة الإنشاء بالتسجيل مرة أخرى إلى نظام المجموعة حتى يتم إزالته.
تكون عملية إعادة إنشاء CallManager و CallManager-ECDSA متطابقة، بما في ذلك عمليات إعادة تشغيل الخدمة.
تحذير: تأكد من تحديد ما إذا كان نظام المجموعة في الوضع المختلط قبل المتابعة. ارجع إلى القسم تعريف وضع أمان نظام المجموعة.
تحذير: لا تقم بإعادة إنشاء شهادات CallManager.PEM و TVS.PEM في نفس الوقت في الإصدارات 8.x-11.5، أو إذا تم توقيع ITL بواسطة شهادة مدير المكالمات. وهذا يتسبب في عدم تطابق لا يمكن إسترداده مع ITL المثبت على نقاط النهاية التي تتطلب إزالة ITL من جميع نقاط النهاية في المجموعة، أو الاستعادة من DRS لبدء تحديثات الشهادة مرة أخرى.
إعادة ضبط الهواتف الآن. قم بمراقبة إجراءاتها عبر أداة RTMT للتأكد من نجاح إعادة التعيين ومن إعادة تسجيل الأجهزة إلى CUCM. انتظر حتى يكتمل تسجيل الهاتف قبل المتابعة إلى الشهادة التالية. قد تستغرق عملية تسجيل الهواتف هذه بعض الوقت. مع العلم، لا تقوم الأجهزة التي تحتوي على قوائم تحكم في الوصول (ITL) سيئة قبل عملية إعادة الإنشاء بالتسجيل مرة أخرى إلى المجموعة حتى يتم إزالة ITL.
تحذير: لا تقم بإعادة إنشاء شهادات CallManager.PEM و TVS.PEM في نفس الوقت في الإصدارات 8.x-11.5، أو إذا تم توقيع ITL بواسطة شهادة مدير المكالمات. وهذا يتسبب في عدم تطابق لا يمكن إسترداده مع ITL المثبت على نقاط النهاية التي تتطلب إزالة ITL من جميع نقاط النهاية في المجموعة، أو الاستعادة من DRS لبدء تحديثات الشهادة مرة أخرى.
ملاحظة: يصادق TVS الشهادات نيابة عن مدير المكالمات. إعادة إنشاء الشهادة الأخيرة.
انتقل إلى كل خادم في نظام المجموعة الخاص بك (في علامات تبويب منفصلة بمستعرض الويب الخاص بك) بدءا من الناشر، ثم كل مشترك. انتقل إلى إدارة نظام التشغيل الموحدة من Cisco > الأمان > إدارة الشهادات > بحث.
إعادة ضبط الهواتف الآن. قم بمراقبة إجراءاتها عبر أداة RTMT للتأكد من نجاح إعادة التعيين ومن إعادة تسجيل الأجهزة إلى CUCM. انتظر حتى يكتمل تسجيل الهاتف قبل المتابعة إلى الشهادة التالية. قد تستغرق عملية تسجيل الهواتف هذه بعض الوقت. مع العلم، لا تقوم الأجهزة التي تحتوي على قوائم تحكم في الوصول (ITL) سيئة قبل عملية إعادة الإنشاء بالتسجيل مرة أخرى إلى المجموعة حتى يتم إزالة ITL.
ملاحظة: يتم إستخدام شهادة ITLRecvery عندما تفقد الأجهزة حالتها الموثوق بها. تظهر الشهادة في كل من ITL و CTL (عندما يكون موفر CTL نشطا، Cisco bug IDCSCwf85275).
ابتداء من 12.5+، يعد ITLRovery شهادة واحدة تم إنشاؤها من قبل الناشر وتوزيعها على المشتركين.
إذا فقدت الأجهزة حالة الثقة الخاصة بها، فيمكنك إستخدام الأمر من خلال إعادة ضبط المفتاح المحلي للمجموعات غير الآمنة والأمر يتطلب إعادة ضبط المفتاح المحلي لمجموعات الوضع المختلط. اقرأ دليل الأمان لإصدار "إدارة المكالمات" لتتعرف على كيفية إستخدام شهادة ITLRovery والعملية المطلوبة لاستعادة الحالة الموثوق بها.
إذا تمت ترقية نظام المجموعة إلى إصدار يدعم طول مفتاح لعام 2048، وتم إعادة إنشاء شهادات خادم نظام المجموعة إلى عام 2048، ولم يتم إعادة إنشاء ITLRecovery وهو حاليا طول مفتاح 1024، فسيفشل الأمر ITL Recovery ولا يتم إستخدام أسلوب ITLRecovery.
Cisco Unified Serviceability.
تحذير: قد يؤثر حذف شهادة على عمليات النظام. كما يمكن أن تكسر سلسلة شهادات إذا كانت الشهادة جزءا من سلسلة موجودة. تحقق من هذه العلاقة من اسم المستخدم واسم الموضوع للشهادات ذات الصلة في نافذة قائمة الشهادات.
ملاحظة: الشهادة الموثوقة هي النوع الوحيد من الشهادات الذي يمكنك حذفه. لا يمكنك حذف شهادة موقعة ذاتيا تم إنشاؤها بواسطة النظام. التعرف على شهادات الثقة التي يلزم حذفها أو لم تعد مطلوبة أو انتهت صلاحيتها. لا تقم بحذف الشهادات الأساسية الخمس التي تتضمن CallManager.pem و tomcat.pem و ipsEc.pem و CAPF.pem و TVS.pem. يمكن حذف شهادات الثقة عندما يكون ذلك مناسبا. تم تصميم الخدمة التالية التي تتم إعادة تشغيلها لمسح معلومات الشهادات القديمة ضمن هذه الخدمات.
Master
/DRF محلي (راجع قسم IPSec).إجراء التحقق غير متوفر لهذا التكوين.
لا تتوفر إجراءات أستكشاف الأخطاء وإصلاحها لهذا التكوين.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
4.0 |
30-Oct-2024 |
الترجمة الآلية المحدثة ومتطلبات النمط والتنسيق. |
3.0 |
28-Sep-2022 |
تم التحديث |
2.0 |
16-Sep-2022 |
معاد نشرها. |
1.0 |
03-Apr-2019 |
الإصدار الأولي |