Introduction
Ce document décrit le processus de renouvellement de certificat d’Expressway/Video Communication Server (VCS).
Informations générales
Les informations contenues dans ce document s’appliquent à Expressway et à VCS. Le document fait référence à Expressway mais il peut être échangé avec VCS.
Remarque : Bien que ce document soit conçu pour vous aider dans le processus de renouvellement des certificats, il est conseillé de consulter également le Guide de création et d’utilisation des certificats Cisco Expressway pour votre version.
Lors du renouvellement d’un certificat, deux points principaux doivent être pris en compte afin de vérifier que le système continue à fonctionner correctement après l’installation du nouveau certificat :
1. Les attributs du nouveau certificat doivent correspondre à ceux de l'ancien certificat (principalement l'autre nom du sujet et l'utilisation de la clé étendue).
2. L’autorité de certification qui signe le nouveau certificat doit être approuvée par d’autres serveurs qui communiquent directement avec l’Expressway (par exemple CUCM, Expressway-C, Expressway-E, etc.). .
Process
A) Obtenir des informations à partir du certificat actuel
1. Ouvrez Expressway Webpage Maintenance > Security > Server certificate > Show decoded.
2. Dans la nouvelle fenêtre qui s'ouvre, copiez les extensions Subject Alternative name et Authority Key Identifier X509v3 dans un bloc-notes.
Fenêtre de certificat « Show decoded »
B) Générez la demande de signature de certificat (CSR) et envoyez-la à l'autorité de certification (CA) pour signature.
1. Dans Expressway Webpage Maintenance > Security > Server certificate > Generate CSR.
2. Dans la fenêtre Générer un CSR, dans le champ Autres noms alternatifs (séparés par des virgules), saisissez toutes les valeurs des Autres noms d'objet qui ont été enregistrées dans la section A, puis supprimez DNS : et séparez la liste par des virgules.
Dans cette image, à côté de Autre nom tel qu'il apparaît, il y a une liste de tous les SAN à utiliser dans le certificat) :
Générer des entrées SAN CSR
3. Entrez le reste des informations dans la section Additional Information (comme le pays, la société, l'état, etc.) et cliquez sur Generate CSR.
4. Après avoir généré le CSR, la page Maintenance > Security > Server Certificate affiche une option pour Discard CSR and Download. Choisissez Download et envoyez le CSR à l'autorité de certification pour signature.
Remarque : Ne pas rejeter CSR avant que le nouveau certificat soit installé. Si Discard CSR a été fait et qu'une tentative d'installation d'un certificat signé avec le CSR qui a été rejeté est effectuée, l'installation du certificat échoue.
C) Vérifiez la liste SAN et l'attribut d'utilisation de clé étendue/améliorée dans le nouveau certificat
Ouvrez le certificat nouvellement signé dans le gestionnaire de certificats Windows et vérifiez :
1. La liste SAN correspond à la liste SAN que nous avons enregistrée dans la section A et que nous avons utilisée pour générer le CSR.
2. L'attribut « Extended/Enhanced key usage » doit inclure à la fois l'authentification client et l'authentification serveur.
Remarque : Si le certificat a l'extension .pem, renommez-le en .cer ou .crt pour pouvoir l'ouvrir avec le Gestionnaire de certificats Windows. Une fois le certificat ouvert avec le Gestionnaire de certificats Windows, vous pouvez aller à l'onglet Détails > Copier dans fichier et l'exporter en tant que fichier codé en Base64, un fichier codé en Base64 a normalement "-----BEGIN CERTIFICATE-----" en haut et "-----END CERTIFICATE-----" en bas lorsqu'il est ouvert dans un éditeur de texte
D) Vérifiez si l'autorité de certification qui a signé le nouveau certificat est la même que celle qui a signé l'ancien certificat
Ouvrez le certificat nouvellement signé dans le gestionnaire de certificats Windows et copiez la valeur Identificateur de clé d'autorité et comparez-la à la valeur Identificateur de clé d'autorité que nous avons enregistrée dans la section A.
Nouveau certificat ouvert avec le Gestionnaire de certificats Windows
Si les deux valeurs sont identiques, cela signifie que la même autorité de certification a été utilisée pour signer le nouveau certificat que celle qui a été utilisée pour signer l'ancien certificat, et vous pouvez passer à la section E pour télécharger le nouveau certificat.
Si les valeurs sont différentes, cela signifie que l'autorité de certification utilisée pour signer le nouveau certificat est différente de celle utilisée pour signer l'ancien certificat, et les étapes à suivre avant de passer à la section E sont les suivantes :
1. Obtenez tous les certificats d’autorité de certification intermédiaire, le cas échéant, et le certificat d’autorité de certification racine.
2. Accédez à Maintenance > Security > Trusted CA certificate , cliquez sur Browse , puis recherchez le certificat d'autorité de certification intermédiaire sur votre ordinateur et téléchargez-le. Faites de même pour les autres certificats d'autorité de certification intermédiaires et le certificat d'autorité de certification racine.
3. Procédez de la même manière sur tout Expressway-E (si le certificat à renouveler est un certificat Expressway-C) qui se connecte à ce serveur ou tout Expressway-C (si le certificat à renouveler est un certificat Expressway-E) qui se connecte à ce serveur.
4. Si le certificat à renouveler est un certificat Expressway-C et que vous disposez d’un ARM ou de zones sécurisées pour CUCM
- Vérifiez que CUCM fait confiance à la nouvelle autorité de certification racine et intermédiaire.
- Téléchargez les certificats d'autorité de certification racine et intermédiaire vers les magasins CUCM tomcat-trust et callmanager-trust.
- Redémarrez les services appropriés sur CUCM.
E) Installer le nouveau certificat
Une fois que tous les points précédents ont été vérifiés, vous pouvez installer le nouveau certificat sur l’Expressway à partir de Maintenance > Security > Server Certificate .
Cliquez sur Browse et sélectionnez le nouveau fichier de certificat à partir de votre ordinateur et téléchargez-le.
Vous devez redémarrer l’Expressway après avoir installé un nouveau certificat.
Remarque : Vérifiez que le certificat à télécharger vers Expressway à partir de Maintenance > Security > Server Certificate contient uniquement le certificat du serveur Expressway et non la chaîne de certificats complète et vérifiez qu’il s’agit d’un certificat Base64.
Ajout d’un certificat unique à plusieurs Expressways :
- Créez un certificat unique pour l'ensemble du cluster expressway-e.
- Créez un CSR qui contient tous les FQDN ainsi que les fonctionnalités supplémentaires que vous utilisez sur vos expressways (si CMS webrtc, l'URL et le domaine de jonction, si MRA, vos domaines d'enregistrement/de connexion)
Exemple :
Exwycluster.domain
Exwy1.domain
Domaine Exwy2.0
Domaine Exwy3.1
Exwy4.domain
Fonctionnalités supplémentaires (domaines ou URL CMS)
- Une fois la CSR terminée, vous pouvez extraire la clé privée de cette CSR en utilisant un programme SFTP (je vous recommande WinSCP, nous l'utilisons beaucoup)
- Ouvrez WinSCP et connectez-vous à l'expressway-e qui a créé le CSR
- Naviguez jusqu'à tandberg/persistent/certs/ CSR ou demande de signature de certificat (peut apparaître ou en attente)
- Copiez la clé privée de l'expressway-e sur votre bureau,
- Une fois cela fait, nous pouvons utiliser le même certificat pour tous vos 4 noeuds.