Спустя некоторое время после установки потребуется обновление сертификата на Cisco Meeting Server. Срок зависит от того, на какой срок вы выдавали сертификат при установке, у меня это произошло спустя два года в 2019, я записал всю процедуру в блокнот, чтобы не забыть. Сегодня сохраняю здесь, чтобы не потерять ну и вдруг кому пригодится. Ссылки на предыдущие статьи посвященные установке и настройке в конце этой заметки.
Все команды выполняются в консоли сервера, к которой необходимо подключиться по SSH, так же в процессе нужно будет воспользоваться любым файловым менеджером поддерживающим SFTP, чтобы загружать с и на сервер ключи и запросы.
Запрос сертификата на CMS
Сертификат будет выпускать доменный центр сертификации, поэтому первым делом нужно сгенерировать новый ключ и запрос на самом CMS. Делается это командой:
pki csr certname CN:cms.vc.example.comГде certname — понятное имя сертификата и ключа, а CN:cms.vc.example.com — атрибут сертификата с именем хоста. Нужен атрибут для того, чтобы современные браузеры не отображали ошибку о некорректном сертификате. Соответственно cms.vc.example.com необходимо заменить на имя хоста вашего CMS.
Вывод в консоли следующий:
pki csr onecert2021 CN:cms.vc.example.com
………………..
…………………
Created key file onecert2021.key and CSR onecert2021.csr
CSR file onecert2021.csr ready for download via SFTP
Теперь необходимо воспользоваться файловым менеджером с поддержкой SFTP, например WinSCP, чтобы скачать на компьютер запрос и выдать его в консоли центра сертификации Active Directory. О том, как выпускать сертификат в доменном центре сертификации я рассказывал в аналогичной статье про ssl сертификаты в Linux.
Загрузить сертификат необходимо в формате base64. Загрузить полученный сертификат на сервер все тем же файловым менеджером. Запомнить имя далее оно будет необходимо в командах. Так же необходимо загрузить на сервер корневой сертификат центра сертификации в том же формате base64, у меня в статье он обозначен как ca.cer.
Я использую один сертификат для всех служб так удобнее и проще, но при желании для каждой службы можно выпустить свой проделав процедуру запроса и выпуска для каждой службы отдельно.
Установка на webadmin
Это служба отвечает за веб-консоль администрирования. Последовательность команд для установки сертификата следующая:
webadmin disable
webadmin certs onecert.key onecert.cer
webadmin enableВывод в консоли получился такой:
cms> webadmin disable
cms> webadmin certs onecert2021.key cms2021.cer
cms> webadmin enable
SUCCESS: TLS interface and port configured
SUCCESS: Key and certificate pair match
Установка сертификата на callbridge
Эта служба отвечает собственно за звонки. Здесь установка проще.
callbridge certs onecert.key onecert.cer
callbridge restartВывод когда все хорошо:
cms> callbridge certs onecert2021.key cms2021.cer
cms> callbridge restart
SUCCESS: listen interface configured
SUCCESS: Key and certificate pair match
Установка на XMPP
Установка аналогична установке на Webadmin и состоит из следующих команд:
xmpp disable
xmpp certs onecert.key onecert.cer
xmpp enableВывод в консоли CMS если все хорошо следующий:
cms> xmpp disable
cms> xmpp certs onecert2021.key cms2021.cer
cms> xmpp enable
SUCCESS: Callbridge activated
SUCCESS: Domain configured
SUCCESS: Key and certificate pair match
SUCCESS: XMPP server enabled
Установка на webbridge
Webbridge — это вебинтерфейс с которым взаимодействуют пользователи и участники ВКС, подключившиеся к Cisco Meeting Server с помощью браузера. Здесь помимо прочего необходимо добавить корневой сертификат в команде, а так же установить доверие к новому сертификату службы. Список команд следующий
webbridge disable
webbridge certs onecert2019.key onecert2019.cer ca.cer
webbridge trust onecert2019.cer
webbridge enableВывод в консоли:
cms> webbridge disable
cms> webbridge certs onecert2021.key cms2021.cer ca.cer
cms> webbridge trust cms2021.cer
cms> webbridge enable
SUCCESS: Key and certificate pair match
SUCCESS: certificate verified against CA bundle
SUCCESS: Webbridge enabled
Если есть вопросы или дополнения по теме Обновление сертификата на Cisco Meeting Server буду рад пообщаться с вами в комментариях.
Обновление сертификата на Expressway
Expressway используется для публикации CMS в интернет и состоит из двух узлов:
- Expressway-C — стоит внутри периметра
- Expressway-E — доступен из интернет.
На Expressway-E можно начиная с 12-й версии ПО можно установить Let’sEncrypt сертификат и настроить его автоматическое обновление, а вот на сертификат на Expressway-C стоит обратить внимание.
Во первых сертификат использует шаблон вебсервер и клиент и если вы используете центр сертификации Microsoft, то предварительно необходимо создать соответствующий шаблон и дать к нему доступ. Как это сделать написано в документации, читать тут (Appendix 5: Enable AD CS to Issue «Client and Server» Certificates).
Далее в веб-интерфейсе шлюза необходимо сделать запрос и выдать его командой на MSCA:
certreq -submit -attrib “CertificateTemplate:webserverandclient” .\CSR_server_2021-01-17_09_52_12.txtВ результате вы получите сертификат, который нужно загрузить на сервер и перезапустить его.
![Amavis Blocked BANNED > (.exe,.exe-ms,[trash]/0000.dat)](/wp-content/uploads/2018/04/amavis-335x220.jpg)
