Обновление сертификата на Cisco Meeting Server

Обновление сертификата Cisco Meeting Server

Спустя некоторое время после установки потребуется обновление сертификата на Cisco Meeting Server. Срок зависит от того, на какой срок вы выдавали сертификат при установке, у меня это произошло спустя два года в 2019, я записал всю процедуру в блокнот, чтобы не забыть. Сегодня сохраняю здесь, чтобы не потерять ну и вдруг кому пригодится. Ссылки на предыдущие статьи посвященные установке и настройке в конце этой заметки.

Все команды выполняются в консоли сервера, к которой необходимо подключиться по SSH, так же в процессе нужно будет воспользоваться любым файловым менеджером поддерживающим SFTP, чтобы загружать с и на сервер ключи и запросы.

Запрос сертификата на CMS

Сертификат будет выпускать доменный центр сертификации, поэтому первым делом нужно сгенерировать новый ключ и запрос на самом CMS. Делается это командой:

pki csr certname CN:cms.vc.example.com

Где certname — понятное имя сертификата и ключа, а CN:cms.vc.example.com — атрибут сертификата с именем хоста. Нужен атрибут для того, чтобы современные браузеры не отображали ошибку о некорректном сертификате. Соответственно cms.vc.example.com необходимо заменить на имя хоста вашего CMS.

Вывод в консоли следующий:

pki csr onecert2021 CN:cms.vc.example.com
………………..
…………………
Created key file onecert2021.key and CSR onecert2021.csr
CSR file onecert2021.csr ready for download via SFTP


Теперь необходимо воспользоваться файловым менеджером с поддержкой SFTP, например WinSCP, чтобы скачать на компьютер запрос и выдать его в консоли центра сертификации Active Directory. О том, как выпускать сертификат в доменном центре сертификации я рассказывал в аналогичной статье про ssl сертификаты в Linux.

Загрузить сертификат необходимо в формате base64. Загрузить полученный сертификат на сервер все тем же файловым менеджером. Запомнить имя далее оно будет необходимо в командах. Так же необходимо загрузить на сервер корневой сертификат центра сертификации в том же формате base64, у меня в статье он обозначен как ca.cer.

Загрузка сертификатов на Cisco Meeting Server
Загрузка сертификатов на Cisco Meeting Server

Я использую один сертификат для всех служб так удобнее и проще, но при желании для каждой службы можно выпустить свой проделав процедуру запроса и выпуска для каждой службы отдельно.

Установка на webadmin

Это служба отвечает за веб-консоль администрирования. Последовательность команд для установки сертификата следующая:

webadmin disable
webadmin certs onecert.key onecert.cer
webadmin enable

Вывод в консоли получился такой:

cms> webadmin disable
cms> webadmin certs onecert2021.key cms2021.cer
cms> webadmin enable
SUCCESS: TLS interface and port configured
SUCCESS: Key and certificate pair match

Установка сертификата на callbridge

Эта служба отвечает собственно за звонки. Здесь установка проще.

callbridge certs onecert.key onecert.cer
callbridge restart

Вывод когда все хорошо:

cms> callbridge certs onecert2021.key cms2021.cer
cms> callbridge restart
SUCCESS: listen interface configured
SUCCESS: Key and certificate pair match

Установка на XMPP

Установка аналогична установке на Webadmin и состоит из следующих команд:

xmpp disable
xmpp certs onecert.key onecert.cer
xmpp enable

Вывод в консоли CMS если все хорошо следующий:

cms> xmpp disable
cms> xmpp certs onecert2021.key cms2021.cer
cms> xmpp enable
SUCCESS: Callbridge activated
SUCCESS: Domain configured
SUCCESS: Key and certificate pair match
SUCCESS: XMPP server enabled

Установка на webbridge

Webbridge — это вебинтерфейс с которым взаимодействуют пользователи и участники ВКС, подключившиеся к Cisco Meeting Server с помощью браузера. Здесь помимо прочего необходимо добавить корневой сертификат в команде, а так же установить доверие к новому сертификату службы. Список команд следующий

webbridge disable
webbridge certs onecert2019.key onecert2019.cer ca.cer
webbridge trust onecert2019.cer
webbridge enable

Вывод в консоли:

cms> webbridge disable
cms> webbridge certs onecert2021.key cms2021.cer ca.cer
cms> webbridge trust cms2021.cer
cms> webbridge enable
SUCCESS: Key and certificate pair match
SUCCESS: certificate verified against CA bundle
SUCCESS: Webbridge enabled

Если есть вопросы или дополнения по теме Обновление сертификата на Cisco Meeting Server буду рад пообщаться с вами в комментариях.

Обновление сертификата на Expressway

Expressway используется для публикации CMS в интернет и состоит из двух узлов:

  • Expressway-C — стоит внутри периметра
  • Expressway-E — доступен из интернет.

На Expressway-E можно начиная с 12-й версии ПО можно установить Let’sEncrypt сертификат и настроить его автоматическое обновление, а вот на сертификат на Expressway-C стоит обратить внимание.

Во первых сертификат использует шаблон вебсервер и клиент и если вы используете центр сертификации Microsoft, то предварительно необходимо создать соответствующий шаблон и дать к нему доступ. Как это сделать написано в документации, читать тут (Appendix 5: Enable AD CS to Issue «Client and Server» Certificates).

Далее в веб-интерфейсе шлюза необходимо сделать запрос и выдать его командой на MSCA:

certreq -submit -attrib “CertificateTemplate:webserverandclient” .\CSR_server_2021-01-17_09_52_12.txt

В результате вы получите сертификат, который нужно загрузить на сервер и перезапустить его.

Ссылки на остальные статьи по CMS

Оцените статью
Добавить комментарий

Внимание! Нажимая кнопку "Отправить комментарий" вы соглашаетесь с политикой конфиденциальности сайта.