Manualsbrain.com
  1. 매뉴얼
  2. 브랜드
  3. Cisco
  4. Cisco TelePresence Video Communication Server Expressway

Cisco Cisco TelePresence Video Communication Server Expressway

다운로드
페이지 52
 
3.
If you used an external system to generate the Certificate Signing Request (CSR) you must also upload the 
server private key PEM file that was used to encrypt the server certificate. (The private key file will have been 
automatically generated and stored earlier if the VCS was used to produce the CSR for this server certificate.)
 
The server private key PEM file must not be password protected.
 
You cannot upload a server private key if a certificate signing request is in progress.
 
4.
Click Upload server certificate data.
Note:
 If you are using Unified CM version 8.5(1) or earlier and are having problems establishing a TLS connection 
between VCS and Unified CM, we recommend adding the following x509 extended key attributes into the CSR:
 
serverAuth (1.3.6.1.5.5.7.3.1) -- TLS Web server authentication
 
clientAuth (1.3.6.1.5.5.7.3.2) -- TLS Web client authentication
 
ipsecEndSystem (1.3.6.1.5.5.7.3.5) -- IP security end system
VCS Trusted CA Certificate
The Trusted CA certificate page (Maintenance > Security certificates > Trusted CA certificate) allows you to 
manage the list of certificates for the Certificate Authorities (CAs) trusted by this VCS. When a TLS connection to 
VCS mandates certificate verification, the certificate presented to the VCS must be signed by a trusted CA in this list 
and there must be a full chain of trust (intermediate CAs) to the root CA.
The root CA of the Unified CM server certificate must be loaded into the VCS's trusted CA certificate list.
To upload a new file containing one or more CA certificates, Browse to the required PEM file and click Append CA 
certificate. This will append any new certificates to the existing list of CA certificates. If you are replacing existing 
certificates for a particular issuer and subject, you have to manually delete the previous certificates.
Repeat this process on every VCS that will communicate with this Unified CM.
Load Server and Trust Certificates on Unified CM
Certificate management for Unified CM is performed in the Cisco Unified OS Administration application.
All  existing certificates are listed under Security > Certificate Management. Server certificates are of type certs and 
trusted CA certificates are of type trust-certs.
Unified CM Server Certificate
By default, Unified CM has a self-signed server certificate CallManager.pem installed. We recommend that this is 
replaced with a certificate generated from a trusted certificate authority.
Unified CM Trusted CA Certificate
To load the root CA certificate of the authority that issued the VCS certificate (if it is not already loaded):
 
1.
Click Upload Certificate/Certificate chain.
 
2.
Select a Certificate Name of CallManager-trust.
 
3.
Click Browse and select the file containing the root CA certificate of the authority that issued the VCS 
certificate.
 
4.
Click Upload File.
Repeat this process on every Unified CM server that will communicate with VCS. Typically this is every node that is 
running the CallManager service.
Set the Cluster Security Mode to Mixed Mode
The Cisco Unified Communications Manager cluster must be in Mixed Mode to allow the registration of both secure 
devices and non-secure devices. This allows for best effort encryption between the VCS and the Cisco Unified 
Communications Manager. Read 
 for 
background on best effort encryption between VCS and Unified CM.
30
Cisco VCS SIP Trunk to Unified CM Deployment Guide
Connecting VCS to Unified CM Using TLS