Cisco Cisco Expressway

下载
页码 37
To generate a CSR:
 
1.
Go to Maintenance > Security certificates > Server certificate.
 
2.
Click Generate CSR to go to the Generate CSR page.
 
3.
Enter the required properties for the certificate.
 
See 
 if your Expressway is part of a cluster.
 
See 
 if this Expressway is part of a 
Unified Communications solution.
 
The certificate request includes automatically the public key that will be used in the certificate, and the 
client and server authentication Enhanced Key Usage (EKU) extension.
 
4.
Click Generate CSR. The system will produce a signing request and an associated private key.
The private key is stored securely on the Expressway and cannot be viewed or downloaded. You must never 
disclose your private key, not even to the certificate authority.
 
5.
You are returned to the Server certificate page. From here you can:
 
Download the request to your local file system so that it can be sent to a certificate authority. You are 
prompted to save the file (the exact wording depends on your browser).
 
View the current request (click Show (decoded) to view it in a human-readable form, or click Show (PEM 
file)
 to view the file in its raw format).
Note: 
 
Only one signing request can be in progress at any one time. This is because the Expressway has to keep track 
of the private key file associated with the current request. To discard the current request and start a new 
request, click Discard CSR.
 
From version X8.5.1 the user interface provides an option to set the Digest algorithm. The default is set to 
SHA-256, with options to change to SHA-1, SHA-384, or SHA-512.
You must now authorize the request and generate a signed PEM certificate file. You can pass it to a third-party or 
internal certification authority, or use it in conjunction with an application such as Microsoft Certification Authority 
(see 
) or OpenSSL 
(see 
).
When the signed server certificate is received back from the certificate authority, it must be uploaded to the 
Expressway as described in 
Server Certificates and Clustered Systems
When a CSR is generated, a single request and private key combination is generated for that peer only.
If you have a cluster of Expressways, you must generate a separate signing request on each peer. Those requests 
must then be sent to the certificate authority and the returned server certificates uploaded to each relevant peer.
You must ensure that the correct server certificate is uploaded to the appropriate peer, otherwise the stored private 
key on each peer will not correspond to the uploaded certificate.
Server Certificate Requirements for Unified Communications
Cisco Unified Communications Manager Certificates
The two Cisco Unified Communications Manager certificates that are significant for Mobile and Remote Access are 
the CallManager certificate and the tomcat certificate. These are automatically installed on the Cisco Unified 
Communications Manager and by default they are self-signed and have the same common name (CN). 
We recommend using CA-signed certificates for best end-to-end security between external endpoints and internal 
endpoints. However, if you do use self-signed certificates, the two certificates must have different common names. 
This is because the Expressway does not allow two self-signed certificates with the same CN. If the CallManager and 
8
Cisco Expressway Certificate Creation and Use Deployment Guide
Server Certificate Requirements for Unified Communications