更新Expressway证书

下载选项

  • PDF     (465.3 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (202.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (226.4 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 8 月 13 日
文档 ID:218034

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍Expressway/视频通信服务器(VCS)证书续订流程。

    背景信息

    本文档中的信息适用于Expressway和VCS。文档引用了Expressway,但可以与VCS互换。

    注意:虽然本文档旨在帮助您完成证书续订流程,但最好还要检查适用于您的版本的Cisco Expressway证书创建和使用部署指南

    每当更新证书时,必须考虑两个要点,以验证系统在安装新证书后是否继续正常工作:

    1.新证书的属性必须与旧证书的属性匹配(主要是使用者替代名称和扩展密钥用法)。

    2.签署新证书的CA(证书颁发机构)必须受与Expressway直接通信的其他服务器(例如CUCM、Expressway-C、Expressway-E..)信任。影响。

    Process

    A)从当前证书获取信息

    1.打开Expressway网页维护>安全>服务器证书>Show decoded。

    2.在打开的新窗口中,将Subject Alternative nameAuthority Key Identifier X509v3扩展复制到记事本文档。

    Show decoded certificate window“Show decoded”证书窗口

    B)生成CSR(证书签名请求)并将其发送到CA(证书颁发机构)进行签名。

    1.从Expressway网页维护>安全>服务器证书>生成CSR。

    2.在“生成CSR”窗口的其他备选名称(逗号分隔)字段中,输入在A部分中保存的主题备选名称的所有值,然后删除DNS:并用逗号分隔列表。

    在此映像中,在显示的Alternative name旁,有一个列表,列出了证书中要使用的所有SAN):

    Generate CSR SAN entries生成CSR SAN条目

    3.在Additional Information部分下输入其余信息(如国家/地区、公司、州/省……),然后单击Generate CSR

    4.生成CSR后,页面Maintenance > Security > Server Certificate显示Discard CSRDownload选项。选择Download并将CSR发送到CA进行签名。

    注意:在安装新证书之前,不要丢弃CSR。如果丢弃CSR完成,然后尝试安装使用被丢弃的CSR签名的证书,则证书安装失败。

    C)检查新证书中的SAN列表和扩展/增强型密钥使用属性

    在Windows证书管理器中打开新签名的证书并验证:

    1. SAN列表与我们在生成CSR时使用的A部分中保存的SAN列表匹配。

    2. “Extended/Enhanced key usage”属性必须同时包含Client AuthenticationServer Authentication

    注意:如果证书具有.pem扩展名,请将其重命名为.cer或.crt,以便能够使用Windows证书管理器打开它。使用Windows证书管理器打开证书后,您可以转到Details选项卡> Copy to File并将其导出为Base64编码文件,在文本编辑器中打开时,一个base64编码文件通常顶部有“-----BEGIN CERTIFICATE-----”,底部有“-----END CERTIFICATE-----”

    D)检查签署新证书的CA与签署旧证书的CA是否相同

    在Windows证书管理器中打开新签名的证书,复制Authority Key Identifier值,并将其与我们在A部分中保存的Authority Key Identifier值进行比较。

    New certificate opened with Windows Certificate Manager使用Windows证书管理器打开的新证书

    如果两个值相同,则意味着使用与旧证书相同的CA来签署新证书,您可以进入E部分来上传新证书。

    如果值不同,这意味着用于签署新证书的CA不同于用于签署旧证书的CA,在继续执行E部分之前应采取的步骤如下:

    1.获取所有中间CA证书(如果有)和根CA证书。

    2.转到维护>安全>受信任CA证书,单击浏览,然后在计算机上搜索中间CA证书并上传。对任何其他中间CA证书和根CA证书执行相同操作。

    3.对连接到此服务器的任何Expressway-E(如果要续订的证书是Expressway-C证书)或连接到此服务器的任何Expressway-C(如果要续订的证书是Expressway-E证书)执行相同的操作。

    4.如果要续订的证书是Expressway-C证书,并且您具有MRA或与CUCM的安全区域

    • 验证CUCM信任新的根和中间CA。
    • 将根和中间CA证书上传到CUCM tomcat-trust和callmanager-trust存储区。
    • 重新启动CUCM上的相关服务。

    E)安装新证书

    在检查所有先前点后,您可以从维护>安全>服务器证书在Expressway上安装新证书。

    单击Browse,从计算机中选择新的证书文件并上传。

    安装新证书后,必须重新启动Expressway。

    注意:验证要从Maintenance > Security > Server Certificate上传到Expressway的证书仅包含Expressway服务器证书而不包含完整证书链,并验证该证书是Base64证书。

    将单个证书添加到多个Expressway:

    • 为整个expressway e集群创建单个证书。 
    • 创建包含所有FQDN以及您在Expressway上使用的额外功能(如果CMS WebLogic、加入URL和域、如果MRA、注册/登录域)的CSR

    示例:
    Exwycluster.domain
    Exwy1.domain
    Exwy2.domain
    Exwy3.domain
    Exwy4.domain
    额外功能(域或CMS URL)

    • 完成CSR后,您可以通过使用SFTP程序提取此CSR的私钥(我建议您使用WinSCP,我们经常使用它)
    • 打开WinSCP并连接到创建CSR的expressway-e
    • 导航到tandberg/persistent/certs/ CSR或证书签名请求(可能显示以及挂起)
    • 将私钥从expressway e复制到您的桌面,
    • 完成后,我们就可以对所有4个节点使用相同的证书。

    修订历史记录

    版本 发布日期 备注
    3.0
    13-Aug-2024
    重新认证
    1.0
    08-Aug-2022
    初始版本
    TAC Authored

    由思科工程师提供

    • 纳特·奥马特
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们