Introduction

本文描述关于怎样的配置步骤加载在所有Cisco语音操作系统的(VOS)通过使用命令行界面(CLI)，基于Collaboration Server的第三方Certificate Authority (CA)签名的证书。

Prerequisites

Requirements

Cisco 建议您了解以下主题：

公共密钥基础设施(PKI)基本的了解和其在Cisco VOS服务器和Microsoft CA的实施

预先配置DNS基础设施

Components Used

本文档中的信息基于以下软件和硬件版本：

VOS服务器：Cisco Unified通信管理器(CUCM)版本9.1.2

CA ：Windows 2012服务器

客户端浏览器：Mozilla Firefox版本47.0.1

The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.

背景信息

在所有Cisco Unified Comunications VOS产品中有至少两种证件类型：应用程序喜欢(ccmadmin、ccmservice、cuadmin， cfadmin， cuic)和VOS平台(cmplatform、drf， cli)。

在一些特定方案中通过网页管理应用程序和通过line命令执行平台涉及的活动是非常方便的。在您之下可以查找关于怎样的一个程序通过CLI独自地导入第三方签名的证书。在此示例Tomcat认证被加载。对于呼叫管理器或其他应用程序它查找同样。

生成CA签名的证书

Summary命令

用于条款的命令列表。

show cert list own

show cert own tomcat

set csr gen CallManager

show csr list own

show csr own CallManager

show cert list trust

set cert import trust CallManager

set cert import own CallManager CallManager-trust/allevich-DC12-CA.pem

检查正确的证书信息

列出所有被加载的信任证书。

admin:show cert list own

tomcat/tomcat.pem: Self-signed certificate generated by system

ipsec/ipsec.pem: Self-signed certificate generated by system

CallManager/CallManager.pem: Certificate Signed by allevich-DC12-CA

CAPF/CAPF.pem: Self-signed certificate generated by system

TVS/TVS.pem: Self-signed certificate generated by system

检查谁发行了Tomcat服务的认证。

admin:show cert own tomcat

[

Version: V3

Serial Number: 85997832470554521102366324519859436690

SignatureAlgorithm: SHA1withRSA (1.2.840.113549.1.1.5)

Issuer Name: L=Krakow, ST=Malopolskie, CN=ucm1-1.allevich.local, OU=TAC, O=Cisco, C=PL

Validity From: Sun Jul 31 11:37:17 CEST 2016

To: Fri Jul 30 11:37:16 CEST 2021

Subject Name: L=Krakow, ST=Malopolskie, CN=ucm1-1.allevich.local, OU=TAC, O=Cisco, C=PL

Key: RSA (1.2.840.113549.1.1.1)

Key value: 3082010a0282010100a2

因为发布者匹配主题，这是自签证书。

生成认证符号请求(CSR)

生成CSR。

admin:set csr gen tomcat

Successfully Generated CSR for tomcat

验证认证符号requst顺利地生成了。

admin:show csr list own

tomcat/tomcat.csr

打开它并且复制内容到文本文件。保存它， tac_tomcat.csr文件。

admin:show csr own tomcat

-----BEGIN CERTIFICATE REQUEST-----

MIIDSjCCAjICAQAwgb0xCzAJBgNVBAYTAlBMMRQwEgYDVQQIEwtNYWxvcG9sc2tp

ZTEPMA0GA1UEBxMGS3Jha293MQ4wDAYDVQQKEwVDaXNjbzEMMAoGA1UECxMDVEFD

MR4wHAYDVQQDExV1Y20xLTEuYWxsZXZpY2gubG9jYWwxSTBHBgNVBAUTQDlhMWJk

NDA5M2VjOGYxNjljODhmNGUyZTYwZTYzM2RjNjlhZmFkNDY1YTgzMDhkNjRhNGU1

MzExOGQ0YjZkZjcwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCVo5jh

lMqTUnYbHQUnYPt00PTflWbj7hi6PSYI7pVCbGUZBpIZ5PKwTD56OZ8SgpjYX5Pf

l9D09H2gtQJTMVv1Gm1eGdlJsbuABRKn6lWkO6b706MiGSgqel+41vnItjn3Y3kU

7h51nruJye3HpPQzvXXpOKJ/JeJc8InEvQcC/UQmFMKn0ulO0veFBHnG7TLDwDaQ

W1Al1rwrezN9Lwn2a/XZQR1P65sjmnkFFF2/FON4BmooeiiNJD0G+F4bKig1ymlR

84faF27plwHjcw8WAn2HwJT6O7TaE6EOJd0sgLU+HFAI3txKycS0NvLuMZYQH81s

/C74CIRWibEWT2qLAgMBAAGgRzBFBgkqhkiG9w0BCQ4xODA2MCcGA1UdJQQgMB4G

CCsGAQUFBwMBBggrBgEFBQcDAgYIKwYBBQUHAwUwCwYDVR0PBAQDAgO4MA0GCSqG

SIb3DQEBBQUAA4IBAQBUu1FhKuyQ1X58A6+7KPkYsWtioS0PoycltuQsVo0aav82

PiJkCvzWTeEo6v9qG0nnaI53e15+RPpWxpEgAIPPhtt6asDuW30SqSx4eClfgmKH

ak/tTuWmZbfyk2iqNFy0YgYTeBkG3AqPwWUCNoduPZ0/fo41QoJPwjE184U64WXB

gCzhIHfsV5DzYp3IR5C13hEa5fDgpD2ubQWja2LId85NGHEiqyiWqwmt07pTkBc+

7ZKa6fKnpACehrtVqEn02jOi+sanfQKGQqH8VYMFsW2uYFj9pf/Wn4aDGuJoqdOH

StV2Eh0afxPEq/1rQP3/rzq4NMYlJ7glyNFGPUVP

-----END CERTIFICATE REQUEST-----

生成Tomcat服务器证明

生成Tomcat服务的一个认证在CA。

打开认证机关的网页在浏览器。放置正确的证件在认证提示。

下载CA根证明。选择下载CA证书、证书链或者CRL菜单。在Next菜单从列表请选择适当的CA。编码方法应该是Base64。下载CA证书并且保存它对操作系统与命名ca.cer。

按请求认证然后提前的证书请求。设置认证模板为Web服务器并且粘贴CSR内容从文本文件tac_tomcat.csr如显示。

提示：如果操作在实验室里完成(或Cisco VOS服务器和CA在)节省时间的同样管理域下复制和插入从存储器缓冲区的CSR。

出版社提交。选择Base64编码的选项并且下载Tomcat服务的认证。

Note:如果认证生成进行散装请保证更改认证的名字到一meaninful一个。

导入Tomcat认证Cisco VOS服务器

导入CA证书

打开存储与命名ca.cer的CA证书。必须首先导入它。

复制其内容到缓冲区并且键入以下in命令CUCM CLI ：

admin:set cert import trust tomcat

Paste the Certificate and Hit Enter

粘贴CA证书的提示将显示。粘贴它如下所示。

-----BEGIN CERTIFICATE-----

MIIDczCCAlugAwIBAgIQEZg1rT9fAL9B6HYkXMikITANBgkqhkiG9w0BAQUFADBM

MRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxGDAWBgoJkiaJk/IsZAEZFghhbGxldmlj

aDEZMBcGA1UEAxMQYWxsZXZpY2gtREMxMi1DQTAeFw0xNjA1MDExNzUxNTlaFw0y

MTA1MDExODAxNTlaMEwxFTATBgoJkiaJk/IsZAEZFgVsb2NhbDEYMBYGCgmSJomT

8ixkARkWCGFsbGV2aWNoMRkwFwYDVQQDExBhbGxldmljaC1EQzEyLUNBMIIBIjAN

BgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoL2ubJJOgyTX2X4zhmZs+fOZz7SF

O3GReUavF916UZ/CSP49EgHcuYw58846uxZw6bcjgwsaE+oMQD2EYHKZmQAALwxv

ERVfyc5kS6EM7oR6cwOnK5piZOUORzq/Y7teinF91wtOSJOR6ap8aEC3Bfr23SIN

bDJXMB5KYw68MtoebhiDYxExvY+XYREoqSFC4KeRrpTmuy7VfGPjv0clwmfm0/Ir

MzYtkAILcfvEVduz+KqZdehuwYWAIQBhvDszQGW5aUEXj+07GKRiIT9vaPOt6TBZ

g78IKQoXe6a8Uge/1+F9VlFvQiG3AeqkIvD/UHrZACfAySp8t+csGnr3vQIDAQAB

o1EwTzALBgNVHQ8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUr1sv

r5HPbDhDGoSN5EeU7upV9iQwEAYJKwYBBAGCNxUBBAMCAQAwDQYJKoZIhvcNAQEF

BQADggEBABfguqa6swmmXpStXdg0mPuqE9mnWQTPnWx91SSKyyY3+icHaUlXgW/9

WppSfMajzKOueWelzDOwsBk17CYEAiT6SGnak8/+Yz5NCY4fOowl7OvRz9jP1iOO

Zd9eowH6fgYw6+M5zsLvBB3SFGatKgUrpB9rExaWOtsZHCF5mrd13vl+BmpBxDCz

FuzSFfyxuMzOXkJPmH0LByBUw90h4s6wJgJHp9B0f6J5d9ES7PkzHuKVtIxvioHa

Uf1g9jqOqoe1UXQh+09uZKOi62gfkBcZiWkHaP0OmjOQCbSQcSLLMTJoRvLxZKNX

jzqAOylrPEYgvQFrkH1Yvo8fotXYw5A=

-----END CERTIFICATE-----

万一信任认证加载是成功的此输出将显示。

Import of trust certificate is successful

验证CA证书成功导入作为Tomcat信任一。

admin:show cert list trust

tomcat-trust/ucm1-1.pem: Trust Certificate

tomcat-trust/allevich-win-CA.pem: w2008r2 139

导入Tomcat认证

下一步是导入Tomcat CA签名的证书。操作查找同一样与Tomcat信任cert，命令不同的。

set cert import own tomcat tomcat-trust/allevich-DC12-CA.pem

重新启动服务

并且请最后重新启动Tomcat服务。

utils service restart Cisco Tomcat

警告：记住它打乱Web服务器从属的服务的操作，类似扩展移动性、未接通话，公共目录和其他。

Verify

验证生成的认证。

admin:show cert own tomcat

[

Version: V3

Serial Number: 2765292404730765620225406600715421425487314965

SignatureAlgorithm: SHA1withRSA (1.2.840.113549.1.1.5)

Issuer Name: CN=allevich-DC12-CA, DC=allevich, DC=local

Validity From: Sun Jul 31 12:17:46 CEST 2016

To: Tue Jul 31 12:17:46 CEST 2018

Subject Name: CN=ucm1-1.allevich.local, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL

Key: RSA (1.2.840.113549.1.1.1)

Key value: 3082010a028201010095a

保证发证者名字属于修建该认证的CA。

登陆对网页通过键入服务器的FQDN在浏览器的，并且认证警告不会显示。

Troubleshoot

此条款的目标是产生与命令句法的一个程序关于怎样通过CLI加载认证，不突出显示逻辑公共密钥Infrastucture (PKI)。它不包括SAN认证、辅助CA、4096个认证密钥长度和许多其他方案。

少许罕见的情况，当加载Web服务器认证通过CLI操作失效与无法的错误信息“读CA证书”时。那的一个解决方法是安装认证使用网页。

一种非标准的认证机关配置可能导致认证安装的问题。设法从与一个基本的默认配置的另一个CA生成和安装认证。

取消计划

万一将有需要生成自签证书在CLI可能也执行。

键入下面命令，并且Tomcat认证将被重新生成到自已签署的一个。

admin:set cert regen tomcat

WARNING: This operation will overwrite any CA signed certificate previously imported for tomcat

Proceed with regeneration (yes|no)? yes

Successfully Regenerated Certificate for tomcat.

You must restart services related to tomcat for the regenerated certificates to become active.

必须重新启动要运用新证书Tomcat服务。

admin:utils service restart Cisco Tomcat

Don't press Ctrl-c while the service is getting RESTARTED.If Service has not Restarted Properly, execute the same Command Again

Service Manager is running

Cisco Tomcat[STOPPING]

Cisco Tomcat[STOPPING]

Commanded Out of Service

Cisco Tomcat[NOTRUNNING]

Service Manager is running

Cisco Tomcat[STARTING]

Cisco Tomcat[STARTING]

Cisco Tomcat[STARTED]

相关条款