Konfigurieren der Wiederverwendung des Tomcat-Zertifikats für CallManager in CUCM 14

Aktualisiert:11. Oktober 2023
Dokument-ID:221070

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Wiederverwendung des Multi-SAN Tomcat-Zertifikats für CallManager auf einem Cisco Unified Communications Manager (CUCM)-Server beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • CUCM-Zertifikate
    • Real-Time Monitoring Tool (RTMT)
    • Identity Trust List (ITL)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf CUCM 14.0.1.13900-155.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Die beiden Hauptdienste für CUCM sind Tomcat und CallManager. In den früheren Versionen waren für den gesamten Cluster unterschiedliche Zertifikate für die einzelnen Dienste erforderlich. In CUCM-Version 14 wurde eine neue Funktion hinzugefügt, um das Multi-SAN Tomcat-Zertifikat auch für den CallManager-Dienst wiederzuverwenden. Die Verwendung dieser Funktion bietet folgende Vorteile:

    • Reduziert die Kosten für das Abrufen von zwei Zertifikaten, die von einer öffentlichen Zertifizierungsstelle (Public Certificate Authority, CA) für einen Cluster von Zertifikaten mit Zertifizierungsstelle (CA) signiert wurden.
    • Diese Funktion reduziert die Größe der ITL-Datei und damit den Overhead.

    Konfigurieren

    caution-icon

    Achtung: Stellen Sie vor dem Hochladen eines Tomcat-Zertifikats sicher, dass die einmalige Anmeldung (Single Sign-on, SSO) deaktiviert ist. Falls sie aktiviert ist, muss SSO deaktiviert und erneut aktiviert werden, sobald der Tomcat-Zertifikatregenerierungsprozess abgeschlossen ist.

    1. Tomcat-Zertifikat als Multi-SAN festlegen

    In CUCM 14 kann das Tomcat Multi-SAN-Zertifikat selbstsigniert oder CA-signiert sein. Wenn Ihr Tomcat-Zertifikat bereits Multi-SAN ist, überspringen Sie diesen Abschnitt.

    selbstsigniert

    Schritt 1: Melden Sie sich an Publisher > Operating System (OS) Administration und navigieren Sie zu Security > Certificate Management > Generate Self-Signed.

    Schritt 2: Auswählen Certificate Purpose: tomcat > Distribution: Multi-Server SAN. Die SAN-Domänen und die übergeordnete Domäne werden automatisch aufgefüllt. 

    Generate Self-Signed Multi-SAN Tomcat Certificate ScreenBildschirm "Generate Self-Signed Multi-SAN Tomcat Certificate"

    Schritt 3: Klicken Sie auf  Generate, und überprüfen Sie, ob alle Ihre Knoten unter dem Certificate upload operation successful Nachricht. Klicken Sie auf Close.

    Generate Self-Signed Multi-SAN Tomcat Successful MessageErfolgreiche selbstsignierte Erfolgsmeldung für Multi-SAN-Tomcat generieren

    Schritt 4: Starten Sie den Tomcat-Dienst neu, öffnen Sie eine CLI-Sitzung mit allen Knoten des Clusters, und führen Sie utils service restart Cisco Tomcat  aus.

    Schritt 5: Navigieren Sie zum Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services und starten Sie das Cisco DRF Master Service und Cisco DRF Local Service.

    Schritt 6: Zu jedem navigieren Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services und neu starten Cisco DRF Local Service.

    CA-signiert

    Schritt 1: Melden Sie sich an Publisher > Operating System (OS) Administration und navigieren Sie zu Security > Certificate Management > Generate CSR.

    Schritt 2: Auswählen Certificate Purpose: tomcat > Distribution: Multi-Server SAN. Die SAN-Domänen und die übergeordnete Domäne werden automatisch aufgefüllt.

    Generate Multi-SAN CSR for Tomcat Certificate ScreenBildschirm "Generate Multi-SAN CSR for Tomcat Certificate"

    Schritt 3: Klicken Sie auf  Generate, und überprüfen Sie, ob alle Ihre Knoten im CSR export operation successful Nachricht. Klicken Sie auf  Close.

    Generate Multi-SAN CSR Tomcat Successful MessageErfolgreiche Multi-SAN-CSR-Tomcat-Nachricht generieren

    Schritt 4: Klicken Sie auf  Download CSR > Certificate Purpose: tomcat > Download.

    Download Tomcat CSR ScreenBildschirm "Tomcat CSR" herunterladen

    Schritt 5: Senden Sie die CSR-Anfrage zur Signatur an Ihre Zertifizierungsstelle.

    Schritt 6: Um die CA Trust Chain hochzuladen, navigieren Sie Certificate Management > Upload certificate > Certificate Purpose: tomcat-trust. Legen Sie die Beschreibung des Zertifikats fest, und durchsuchen Sie die Trust-Chain-Dateien.

    Schritt 7. CA-signiertes Zertifikat hochladen, navigieren Sie zu Certificate Management > Upload certificate > Certificate Purpose: tomcat. Legen Sie die Beschreibung des Zertifikats fest, und durchsuchen Sie die CA-signierte Zertifikatsdatei.

    Schritt 8: Starten Sie den Tomcat-Dienst neu, öffnen Sie eine CLI-Sitzung mit allen Knoten des Clusters, und führen Sie den utils service restart Cisco Tomcat aus.

    Schritt 9. Navigieren Sie zum Publisher > Cisco Unified Serviceability > Tools > Control Center - Network Services und starten Sie das Cisco DRF Master Service und Cisco DRF Local Service.

    Schritt 10. Zu jedem navigieren Subscriber > Cisco Unified Serviceability > Tools > Control Center - Network Services und neu starten Cisco DRF Local Service.

    2. Tomcat-Zertifikat für CallManager wiederverwenden

    caution-icon

    Vorsicht: Für CUCM 14 ein neuer Unternehmensparameter Phone Interaction on Certificate Update wird eingeführt. Verwenden Sie dieses Feld, um Telefone manuell oder automatisch zurückzusetzen, wenn eines der TVS-, CAPF- oder TFTP (CallManager/ITLRecovery)-Zertifikate aktualisiert wird. Dieser Parameter ist standardmäßig auf reset the phones automatically. Stellen Sie nach der Regeneration, Löschung und Aktualisierung der Zertifikate sicher, dass die entsprechenden Dienste neu gestartet werden.

    Schritt 1: Navigieren Sie zu Ihrem CUCM-Publisher, und klicken Sie dann auf Cisco Unified OS Administration > Security > Certificate Management.

    Schritt 2: Klicken Sie auf  Reuse Certificate.

    Schritt 3: Über die choose Tomcat type Dropdown-Liste auswählen, tomcat.

    Schritt 4: Über die Replace Certificate for the following purpose angezeigt, überprüfen Sie die CallManager Kontrollkästchen.

    Reuse Tomcat Certificate for Other Services ScreenTomcat-Zertifikat für andere Dienste wiederverwenden, Bildschirm

    note-icon

    Hinweis: Wenn Sie Tomcat als Zertifikatstyp auswählen, ist CallManager als Ersatz aktiviert. Wenn Sie tomcat-ECDSA als Zertifikatstyp auswählen, wird CallManager-ECDSA als Ersatz aktiviert.

    Schritt 5: Klicken Sie auf Finish um das CallManager-Zertifikat durch das Tomcat Multi-SAN-Zertifikat zu ersetzen.

    Reuse Tomcat Certificate Successful MessageErfolgreiche Nachricht des Tomcat-Zertifikats wiederverwenden

    Schritt 6: Starten Sie den Cisco HAProxy-Dienst neu, öffnen Sie eine CLI-Sitzung mit allen Knoten des Clusters, und führen Sie den utils service restart Cisco HAProxy aus.

    note-icon

    Hinweis: Um festzustellen, ob sich der Cluster im gemischten Modus befindet, navigieren Sie zu Cisco Unified CM Administration > System > Enterprise Parameters > Cluster Security Mode (0 == Nicht sicher; 1 == Gemischter Modus).

    Schritt 7. Wenn sich Ihr Cluster im gemischten Modus befindet, öffnen Sie eine CLI-Sitzung mit dem Publisher-Knoten, und führen Sie  utils ctl update CTLFile  und alle Telefone des Clusters zurücksetzen, damit die CTL-Datei-Updates wirksam werden.

    Überprüfung

    Schritt 1: Navigieren Sie zu Ihrem CUCM-Publisher, und klicken Sie dann auf Cisco Unified OS Administration > Security > Certificate Management.

    Schritt 2: Filtern nach Find Certificate List where: Usage > begins with: identity und klicke auf Find.

    Schritt 3: CallManager- und Tomcat-Zertifikate müssen mit demselben Common Name_Serial Number wert.

    Verify Tomcat Certificate Reuse for CallManagerÜberprüfen der Wiederverwendung des Tomcat-Zertifikats für CallManager

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    11-Oct-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Belen Sanchez Torralva
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.