Обновление сертификата на Cisco Meeting Server

Спустя некоторое время после установки потребуется обновление сертификата на Cisco Meeting Server. Срок зависит от того, на какой срок вы выдавали сертификат при установке, у меня это произошло спустя два года в 2019, я записал всю процедуру в блокнот, чтобы не забыть. Сегодня сохраняю здесь, чтобы не потерять ну и вдруг кому пригодится. Ссылки на предыдущие статьи посвященные установке и настройке в конце этой заметки.

Все команды выполняются в консоли сервера, к которой необходимо подключиться по SSH, так же в процессе нужно будет воспользоваться любым файловым менеджером поддерживающим SFTP, чтобы загружать с и на сервер ключи и запросы.

Запрос сертификата на CMS

Сертификат будет выпускать доменный центр сертификации, поэтому первым делом нужно сгенерировать новый ключ и запрос на самом CMS. Делается это командой:

pki csr certname CN:cms.vc.example.com

Где certname — понятное имя сертификата и ключа, а CN:cms.vc.example.com — атрибут сертификата с именем хоста. Нужен атрибут для того, чтобы современные браузеры не отображали ошибку о некорректном сертификате. Соответственно cms.vc.example.com необходимо заменить на имя хоста вашего CMS.

Вывод в консоли следующий:

pki csr onecert2021 CN:cms.vc.example.com
………………..
…………………
Created key file onecert2021.key and CSR onecert2021.csr
CSR file onecert2021.csr ready for download via SFTP

Теперь необходимо воспользоваться файловым менеджером с поддержкой SFTP, например WinSCP, чтобы скачать на компьютер запрос и выдать его в консоли центра сертификации Active Directory. О том, как выпускать сертификат в доменном центре сертификации я рассказывал в аналогичной статье про ssl сертификаты в Linux.

Загрузить сертификат необходимо в формате base64. Загрузить полученный сертификат на сервер все тем же файловым менеджером. Запомнить имя далее оно будет необходимо в командах. Так же необходимо загрузить на сервер корневой сертификат центра сертификации в том же формате base64, у меня в статье он обозначен как ca.cer.

Я использую один сертификат для всех служб так удобнее и проще, но при желании для каждой службы можно выпустить свой проделав процедуру запроса и выпуска для каждой службы отдельно.

Установка на webadmin

Это служба отвечает за веб-консоль администрирования. Последовательность команд для установки сертификата следующая:

webadmin disable
webadmin certs onecert.key onecert.cer
webadmin enable

Вывод в консоли получился такой:

cms> webadmin disable
cms> webadmin certs onecert2021.key cms2021.cer
cms> webadmin enable
SUCCESS: TLS interface and port configured
SUCCESS: Key and certificate pair match

Установка сертификата на callbridge

Эта служба отвечает собственно за звонки. Здесь установка проще.

callbridge certs onecert.key onecert.cer
callbridge restart

Вывод когда все хорошо:

cms> callbridge certs onecert2021.key cms2021.cer
cms> callbridge restart
SUCCESS: listen interface configured
SUCCESS: Key and certificate pair match

Установка на XMPP

Установка аналогична установке на Webadmin и состоит из следующих команд:

xmpp disable
xmpp certs onecert.key onecert.cer
xmpp enable

Вывод в консоли CMS если все хорошо следующий:

cms> xmpp disable
cms> xmpp certs onecert2021.key cms2021.cer
cms> xmpp enable
SUCCESS: Callbridge activated
SUCCESS: Domain configured
SUCCESS: Key and certificate pair match
SUCCESS: XMPP server enabled

Установка на webbridge

Webbridge — это вебинтерфейс с которым взаимодействуют пользователи и участники ВКС, подключившиеся к Cisco Meeting Server с помощью браузера. Здесь помимо прочего необходимо добавить корневой сертификат в команде, а так же установить доверие к новому сертификату службы. Список команд следующий

webbridge disable
webbridge certs onecert2019.key onecert2019.cer ca.cer
webbridge trust onecert2019.cer
webbridge enable

Вывод в консоли:

cms> webbridge disable
cms> webbridge certs onecert2021.key cms2021.cer ca.cer
cms> webbridge trust cms2021.cer
cms> webbridge enable
SUCCESS: Key and certificate pair match
SUCCESS: certificate verified against CA bundle
SUCCESS: Webbridge enabled

Если есть вопросы или дополнения по теме Обновление сертификата на Cisco Meeting Server буду рад пообщаться с вами в комментариях.

Обновление сертификата на Expressway

Expressway используется для публикации CMS в интернет и состоит из двух узлов:

• Expressway-C — стоит внутри периметра
• Expressway-E — доступен из интернет.

На Expressway-E можно начиная с 12-й версии ПО можно установить Let’sEncrypt сертификат и настроить его автоматическое обновление, а вот на сертификат на Expressway-C стоит обратить внимание.

Во первых сертификат использует шаблон вебсервер и клиент и если вы используете центр сертификации Microsoft, то предварительно необходимо создать соответствующий шаблон и дать к нему доступ. Как это сделать написано в документации, читать тут (Appendix 5: Enable AD CS to Issue «Client and Server» Certificates).

Далее в веб-интерфейсе шлюза необходимо сделать запрос и выдать его командой на MSCA:

certreq -submit -attrib “CertificateTemplate:webserverandclient” .\CSR_server_2021-01-17_09_52_12.txt

В результате вы получите сертификат, который нужно загрузить на сервер и перезапустить его.

Ссылки на остальные статьи по CMS

• Cisco Meeting Server установка и настройка (часть 1)
• Cisco Meeting Server и Skype for Business (Lync) настройка (часть 2)
• Настройка Cisco Meeting Server часть 3 (нюансы и дополнения)
• Обновление сертификата на Cisco Meeting Server