通过在操作系统Cisco的语音的CLI配置CA签名的

证书(VOS)ContentsIntroductionPrerequisitesRequirementsComponentsUsed背景信息生成CA签名的证书Summary命令检查正确的证书信息生成认证符号请求(CSR)生成Tomcat服务器证明导入Tomcat认证CiscoVOS服务器导入CA证书导入Tomcat认证重新启动服务VerifyTroubleshoot取消计划相关条款Introduction本文描述关于怎样的配置步骤加载在所有Cisco语音操作系统的(VOS)通过使用命令行界面(CLI),基于CollaborationServer的第三方CertificateAuthority(CA)签名的证书.
PrerequisitesRequirementsCisco建议您了解以下主题:公共密钥基础设施(PKI)基本的了解和其在CiscoVOS服务器和MicrosoftCA的实施q预先配置DNS基础设施qComponentsUsed本文档中的信息基于以下软件和硬件版本:VOS服务器:CiscoUnified通信管理器(CUCM)版本9.
1.
2qCA:Windows2012服务器q客户端浏览器:MozillaFirefox版本47.
0.
1qTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
背景信息在所有CiscoUnifiedComunicationsVOS产品中有至少两种证件类型:应用程序喜欢(ccmadmin、ccmservice、cuadmin,cfadmin,cuic)和VOS平台(cmplatform、drf,cli).
在一些特定方案中通过网页管理应用程序和通过line命令执行平台涉及的活动是非常方便的.
在您之下可以查找关于怎样的一个程序通过CLI独自地导入第三方签名的证书.
在此示例Tomcat认证被加载.
对于呼叫管理器或其他应用程序它查找同样.
生成CA签名的证书Summary命令用于条款的命令列表.
showcertlistownshowcertowntomcatsetcsrgenCallManagershowcsrlistownshowcsrownCallManagershowcertlisttrustsetcertimporttrustCallManagersetcertimportownCallManagerCallManager-trust/allevich-DC12-CA.
pem检查正确的证书信息列出所有被加载的信任证书.
admin:showcertlistowntomcat/tomcat.
pem:Self-signedcertificategeneratedbysystemipsec/ipsec.
pem:Self-signedcertificategeneratedbysystemCallManager/CallManager.
pem:CertificateSignedbyallevich-DC12-CACAPF/CAPF.
pem:Self-signedcertificategeneratedbysystemTVS/TVS.
pem:Self-signedcertificategeneratedbysystem检查谁发行了Tomcat服务的认证.
admin:showcertowntomcat[Version:V3SerialNumber:85997832470554521102366324519859436690SignatureAlgorithm:SHA1withRSA(1.
2.
840.
113549.
1.
1.
5)IssuerName:L=Krakow,ST=Malopolskie,CN=ucm1-1.
allevich.
local,OU=TAC,O=Cisco,C=PLValidityFrom:SunJul3111:37:17CEST2016To:FriJul3011:37:16CEST2021SubjectName:L=Krakow,ST=Malopolskie,CN=ucm1-1.
allevich.
local,OU=TAC,O=Cisco,C=PLKey:RSA(1.
2.
840.
113549.
1.
1.
1)Keyvalue:3082010a0282010100a2因为发布者匹配主题,这是自签证书.
生成认证符号请求(CSR)生成CSR.
admin:setcsrgentomcatSuccessfullyGeneratedCSRfortomcat验证认证符号requst顺利地生成了.
admin:showcsrlistowntomcat/tomcat.
csr打开它并且复制内容到文本文件.
保存它,tac_tomcat.
csr文件.
admin:showcsrowntomcat-----BEGINCERTIFICATEREQUEST-----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-----ENDCERTIFICATEREQUEST-----生成Tomcat服务器证明生成Tomcat服务的一个认证在CA.
打开认证机关的网页在浏览器.
放置正确的证件在认证提示.
http://dc12.
allevich.
local/certsrv/下载CA根证明.
选择下载CA证书、证书链或者CRL菜单.
在Next菜单从列表请选择适当的CA.
编码方法应该是Base64.
下载CA证书并且保存它对操作系统与命名ca.
cer.
按请求认证然后提前的证书请求.
设置认证模板为Web服务器并且粘贴CSR内容从文本文件tac_tomcat.
csr如显示.
提示:如果操作在实验室里完成(或CiscoVOS服务器和CA在)节省时间的同样管理域下复制和插入从存储器缓冲区的CSR.
出版社提交.
选择Base64编码的选项并且下载Tomcat服务的认证.
Note:如果认证生成进行散装请保证更改认证的名字到一meaninful一个.
导入Tomcat认证CiscoVOS服务器导入CA证书打开存储与命名ca.
cer的CA证书.
必须首先导入它.
复制其内容到缓冲区并且键入以下in命令CUCMCLI:admin:setcertimporttrusttomcatPastetheCertificateandHitEnter粘贴CA证书的提示将显示.
粘贴它如下所示.
admin:setcertimporttrusttomcatPastetheCertificateandHitEnter万一信任认证加载是成功的此输出将显示.
admin:setcertimporttrusttomcatPastetheCertificateandHitEnter验证CA证书成功导入作为Tomcat信任一.
admin:showcertlisttrusttomcat-trust/ucm1-1.
pem:TrustCertificatetomcat-trust/allevich-win-CA.
pem:w2008r2139导入Tomcat认证下一步是导入TomcatCA签名的证书.
操作查找同一样与Tomcat信任cert,命令不同的.
setcertimportowntomcattomcat-trust/allevich-DC12-CA.
pem重新启动服务并且请最后重新启动Tomcat服务.
utilsservicerestartCiscoTomcat警告:记住它打乱Web服务器从属的服务的操作,类似扩展移动性、未接通话,公共目录和其他.
Verify验证生成的认证.
admin:showcertowntomcat[Version:V3SerialNumber:2765292404730765620225406600715421425487314965SignatureAlgorithm:SHA1withRSA(1.
2.
840.
113549.
1.
1.
5)IssuerName:CN=allevich-DC12-CA,DC=allevich,DC=localValidityFrom:SunJul3112:17:46CEST2016To:TueJul3112:17:46CEST2018SubjectName:CN=ucm1-1.
allevich.
local,OU=TAC,O=Cisco,L=Krakow,ST=Malopolskie,C=PLKey:RSA(1.
2.
840.
113549.
1.
1.
1)Keyvalue:3082010a028201010095a保证发证者名字属于修建该认证的CA.
登陆对网页通过键入服务器的FQDN在浏览器的,并且认证警告不会显示.
Troubleshoot此条款的目标是产生与命令句法的一个程序关于怎样通过CLI加载认证,不突出显示逻辑公共密钥Infrastucture(PKI).
它不包括SAN认证、辅助CA、4096个认证密钥长度和许多其他方案.
少许罕见的情况,当加载Web服务器认证通过CLI操作失效与无法的错误信息"读CA证书"时.
那的一个解决方法是安装认证使用网页.
一种非标准的认证机关配置可能导致认证安装的问题.
设法从与一个基本的默认配置的另一个CA生成和安装认证.
取消计划万一将有需要生成自签证书在CLI可能也执行.
键入下面命令,并且Tomcat认证将被重新生成到自已签署的一个.
admin:setcertregentomcatWARNING:ThisoperationwilloverwriteanyCAsignedcertificatepreviouslyimportedfortomcatProceedwithregeneration(yes|no)yesSuccessfullyRegeneratedCertificatefortomcat.
Youmustrestartservicesrelatedtotomcatfortheregeneratedcertificatestobecomeactive.
必须重新启动要运用新证书Tomcat服务.
admin:utilsservicerestartCiscoTomcatDon'tpressCtrl-cwhiletheserviceisgettingRESTARTED.
IfServicehasnotRestartedProperly,executethesameCommandAgainServiceManagerisrunningCiscoTomcat[STOPPING]CiscoTomcat[STOPPING]CommandedOutofServiceCiscoTomcat[NOTRUNNING]ServiceManagerisrunningCiscoTomcat[STARTING]CiscoTomcat[STARTING]CiscoTomcat[STARTED]相关条款加载认证通过网页程序获得并上载Windows服务器自已‐签字的或CertificateAuthority(CA)…