Configure Automatic Certificate Enrollment and Renewal Via CAPF Online CA – Cisco

Configure Automatic Certificate Enrollment and Renewal Via CAPF Online CA - Cisco Сертификаты
На чтение 10 мин. Просмотров 25 Опубликовано
Содержание
  1. Introduction
  2. Почему?
  3. Background information
  4. Callmanager multi-server san certificate
  5. Components used
  6. Configure
  7. Cucm configuration
  8. Iis authentication and ssl binding configuration
  9. Known caveats
  10. Troubleshoot
  11. Update server computer name
  12. Verify cucm configuration
  13. Verify iis certificates
  14. Второй этап
  15. Новый формат
  16. Первый этап
  17. Подготовка виртуальной машины
  18. Третий этап
  19. Установка cucm

Introduction

This document describes Automatic Certificate Enrollment and Renewal via the Certificate Authority  Proxy Function (CAPF) Online feature for Cisco Unified Communications Manager (CUCM).

Contributed by Michael Mendoza, Cisco TAC Engineer.

Почему?

😪Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

Background information

In CUCM Version 10.5 and later, this trust-store Certificate Signing Request (CSR) request can include SAN and alternate domains.

  1. Tomcat – CUCM and IM&P
  2. Cisco CallManager – Only CUCM
  3. Cisco Unified Presence-Extensible Messaging and Presence Protocol (CUP-XMPP) – Only IM&P
  4. CUP-XMPP Server-to-Server (S2S) – Only IM&P

It is simpler to obtain a CA-signed certificate in this version. Only one CSR is required to be signed by CA rather than the requirement to obtain a CSR from each server node and then obtain a CA-signed certificate for each CSR and manage them individually.

Callmanager multi-server san certificate

A similar procedure can be followed for the CallManager certificate. In this case, the auto-populated domains are only CallManager nodes. If the Cisco CallManager service is not running, you can choose to keep it in the SAN list or remove it.

Before the CA-signed SAN certificate for CUCM, ensure that:

Components used

The information in this document is based on these software and hardware versions:

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, ensure that you understand the potential impact of any command.

Configure

Step 1.

Cucm configuration

… At this point it’s also be a good idea to upload that same CA certificate as CallManager-trust because it is needed if secure signaling encryption is enabled (or will be enabled) for the endpoints; which is likely if the cluster is in Mixed-Mode.

  • A pop window informs you that the CAPF service needs to be restarted. But first, activate the Cisco Certificate Enrollment Service through Cisco Unified Serviceability > Tools > Service Activation, select the Publisher in the Server field and check the Cisco Certificate Enrollment Service checkbox, and then select the Save button:

Iis authentication and ssl binding configuration

Enable NTLM Authentication

  • Navigate to MMC snap-ins and under the Internet Information Services (IIS) Manager snap-in select your server’s name
  • The features list displays in the next frame. Double-click the Authentication feature icon
  • Highlight Windows Authentication and from the Actions frame (Right pane) select the Enable option
  • Actions pane displays Advanced Settings option; select it and uncheck Enable Kernel-mode authentication
  • Select Providers and put in order NTML, Negotiate and optionally Negotiate:Kerberos
Про сертификаты:  Смесь цементно-песчаная (ЦПС) ПОЛИГРАН ПРОФИ М300 25 кг - Торгово-строительный центр "Тетрис"

Known caveats

• CSCur97909 – Uploading multiserver cert does not delete self-signed certs in DB• CSCus47235 – CUCM 10.5.2 CN not duplicated into SAN for CSR• CSCup28852 – phone reset every 7min due to cert update when using multi-server cert

If there is an existing Multi-Server Certificate, the regeneration is recommended in the following scenarios:

Troubleshoot

These logs should help the Cisco Technical Assistance Center identify any issues related to Multi-Server SAN CSR generation and upload of CA-Signed Certificate.

  • Cisco Unified OS Platform API
  • Cisco Tomcat
  • IPT Platform CertMgr Logs

Update server computer name

By default the server’s computer name has a random name such as WIN-730K65R6BSK. First thing needs to be done before you enable AD Domain Services is to ensure to update the server’s computer name to what you want the server’s hostname and root CA Issuer Name to be by the end of the installation; otherwise it takes a lot of extra steps to change this after AD services are installed.

  • Navigate to Local Server, select the Computer name to open the System Properties
  • Select the Change button and type in the new Computer name:
  • Restart the server for the changes to get applied

Verify cucm configuration

Perform the steps you normally follow in order to install an LSC certificate on one of the phones.

Verify iis certificates

  • From a Web browser in a PC with connectivity to the server (preferably in the same network as the CUCM Publisher) navigate to URL:

Второй этап

Экспортируем конфигурации и настройки со старых CUCM’ов и CUPS’ов.

1) Экспортируем все настройки кластера кроме раздела Advanced Features и пунктов Enterprise Parameters, Server, Cisco Unified Communications Manager, Cisco Unified Communications Manager Group и Service Parameters.

Configure Automatic Certificate Enrollment and Renewal Via CAPF Online CA - Cisco
Скачиваем себе сгенерированый файл

Т.к. у нас перенос боевого сервера то если мы перенесем и эти настройки, то у нас возникнет конфликт в части ILS и пользовательской части, т.к. и там и там одни и те же пользователи будут иметь домашний кластер. Также нам не нужно чтобы некоторые параметры на новый кластер перенеслись со значениями старого кластера. Настройки же Voice Mail’а (если они есть) можно добавить и вручную снова.

Также настоятельно рекомендую проверить значения в настройках относительно количества пользователей в Ad-Hoc и Meetme конференциях, чтобы не получилось так что в утренний селектор попали не все предполагаемые участники, а только их часть.

Про сертификаты:  Обновление системы безопасности для веб-сайта от компании Apple - Служба поддержки Apple (RU)

2) Экспортируем Line Appearance.

Скачиваем себе сгенерированый файл

Line appearance отвечает за отображения статуса пользователя (On call, on meeting и прочее). Если эти настройки не перенести, то в джаббере все пользователи будут в статусе offline.

3) Экспортируем списки контактов с publisher’а CUPS’а.

Списки контактов пользователей (которые они сами себе составили) хранятся на CUPS’е, но т.к. они у нас будут новые, то при переезде пользовательских джабберов на «новые рельсы» все они пропадут поэтому нужно их экспортировать/импортировать отдельно.

Все абсолютно пользователи нас не интересуют, берем только assigned пользователей

Обратите внимание что, формат контакт листов отличается на одну позицию, в новой версии CUCM добавляется поле State.

Новый формат

Поэтому скачанный файл со списком контактов требуется отредактировать (например в MS Excel), добавив столбик «State» и забив его значением «1» для каждой строчки, иначе импорт этого списка контактов потерпит неудачу.

4) На новом кластере CUCM указываем имя кластера отличное от старого.

5) Меняем настройки локализации в Enterpise Parameters, если требуется.

6) На новом кластере IMP меняем схему и домен, если они не совпадают, InterCluster настройки делаем такие же, как на старом.

7) Скачиваем jabber-config.xml со старого кластера и закидываем его на новый. Перезапускаем Cisco TFTP службу. Не требуется если переезд идёт на версию 12.5 и выше, там нужно настроить этот конфиг в UC Service и прикрутить его к Service Profile.

Первый этап

1) DNS записи:

Подготовка виртуальной машины

Первым делом, нам нужно cоздать виртуальную машину в среде виртуализации. Для этого, переходим в VMware vSphere Web Client (у вас может быть толстый клиент, разницы нет), в разделе VMs and Templates выбираем директорию, в которой будет создана новая виртуальная машина (если у вас их несколько), а затем, нажимаем на директорию правой кнопкой мыши, выбираем New Virtual Machine → New Virtual Machine:

В инсталляторе выбираем Create a new virtual machine:

Даем имя виртуальной машине. У нас это CUCM. Обратите внимание, директория, куда будет произведена установка уже выбрана:

У нас несколько хостов в виртуальном кластере – выбираем куда будем ставить:.

Гуд. Выбираем Datastore (хранилище), ресурсы которого займет виртуалка:

Выбираем совместимость с гипервизором 6 версии:

Важный шаг – отмечаем требования к операционной системе. Вот что нужно:

  • Linux
  • Red Hat Enterprise Linux 6 (64-bit) – старые версии CUCM используют рани версии RHEL;

Далее – даем ресурсы виртуалке следующим образом:

  • Процессор – 2 ядра (для быстрой установки нужно использовать 2 ядра, впоследствии можно изменить на 1)
  • Память – 8 GB (после установки можно уменьшить до 2 GB; 4 GB нужно минимум, чтобы пройти проверку)
  • HDD – один раздел на 110 GB
Про сертификаты:  Растаможка креветок

Финально проверяем что у нас получилось и нажимаем Finish:

После того как указали все параметры виртуальной машины запускаем ее.

Третий этап

Третий этап рекомендуется производить в нерабочее время, чтобы пользователи не отвалились от своих сервисов телефонии.

1) Импортируем все, что экспортировали на втором этапе.2) Удаляем на Expressway’ях старые ноды UCM и IMP.3) На старом CUCM-кластере делаем Disconnect (или переводим в режим StandAlone, если Disconnect вдруг не отрабатывает) в части настроек ILS.

4) На новом CUCM-кластере настраиваем ILS.

5) Удаляем старый CUCM-кластер с PLM, и добавляем новый CUCM-кластер.

6) Редактируем 150 (или 66, в зависимости от ваших настроек) опцию на DHCP-сервере на IP-адреса нового CUCM-кластера и отправляем в Reset и Restart все телефоны на старом кластере. Они должны все перерегистрироваться на новом CUCM-кластере.7) Добавляем на Expressway новые кластера UCM и IMP.8)

Наш переезд был не так гладок, как в этой статье, но все ошибки и нужную последовательность действий я свёл верно.

На этом всё, если что-то упустил прошу дополнить в комментариях.

Установка cucm

После запуска виртуальной машины с подмонтированным ISO начнется процесс инициализации. После него нам нужно выбрать продукт, который мы будем устанавливать – выбираем Cisco Unified Communications Manager и нажимаем OK.

Затем нам сообщают, есть ли уже на диске, какие-либо версии CUCM, и какую версию мы собираемся установить. Нажимаем Yes.

После этого нам предлагается воспользоваться мастером начальной конфигурации, для чего нажимаем Proceed

Нас спрашивают, хотим ли мы сделать апгрейд (upgrade patch) и мы нажимаем No.

Появится сообщение, что это новая базовая установка. Нажимаем Continue.

В следующем окне нужно указать нашу временную зону и нажать OK.

Следующие экраны будут посвящены сетевой конфигурации. Сначала будет сообщение о том, что у сетевого адаптера скорость и дуплекс будет определены хостом. Нажимам Continue.

Затем у нас поинтересуются, хотим ли мы выставить размер MTU (Maximum transmission unit – максимальный размер полезного блока данных пакета) отличный от стандартного размера в ОС равного 1500 байт. Этот размер не должен превышать значение минимального MTU в нашей сети. Нажимаем No.

Далее идет вопрос – ходим ли мы использовать DHCP, и если не хотим, то нажимаем No.

Если мы выбрали No, то следующим пунктом нам нужно будет ввести имя хоста (Host Name), IP адрес (IP address), маску подсети (IP Mask) и адрес шлюза (GW Address) и нажать OK.

После этого у нас спросят, хотим ли мы включить DNS (Domain Name System) клиент на этой машине. Если нам это нужно, то нажимаем Yes.

Если мы включили DNS клиент, то указываем адреса DNS серверов (Primary и Secondary DNS) и имя DNS домена (Domain), затем нажимаем OK.

cisco call manager Tutorial
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат