Cisco Cisco TelePresence Video Communication Server Expressway 관리 매뉴얼

 when using the CLI to add an extra option key, you can use any unused option index. If you chose an existing 

option index, that option will be overwritten and the extra functionality provided by that option key will no longer exist. 
To see which indexes are currently in use, type 

.

About Security Certificates

For extra security, you may want to have the VCS communicate with other systems (such as LDAP servers, neighbor 
VCSs, or clients such as SIP endpoints and web browsers) using TLS encryption.

For this to work successfully in a connection between a client and server:

 

■

The server must have a certificate installed that verifies its identity. This certificate must be signed by a 
Certificate Authority (CA).

 

■

The client must trust the CA that signed the certificate used by the server.

The VCS allows you to install appropriate files so that it can act as either a client or a server in connections using 
TLS. The VCS can also authenticate client connections (typically from a web browser) over HTTPS. You can also 
upload certificate revocation lists (CRLs) for the CAs used to verify LDAP server and HTTPS client certificates.

The VCS can generate server certificate signing requests (CSRs). This removes the need to use an external 
mechanism to generate and obtain certificate requests. 

For secure communications (HTTPS and SIP/TLS) we recommend that you replace the VCS default certificate with a 
certificate generated by a trusted certificate authority.

Note that in connections:  

 

■

to an endpoint, the VCS acts as the TLS server

 

■

to an LDAP server , the VCS is a client

 

■

between two VCS systems, either VCS may be the client with the other VCS being the TLS server

 

■

via HTTPS, the web browser is the client and the VCS is the server

TLS can be difficult to configure. For example, when using it with an LDAP server we recommend that you confirm 
that your system is working correctly before you attempt to secure the connection with TLS. You are also 
recommended to use a third party LDAP browser to verify that your LDAP server is correctly configured to use TLS.

 be careful not to allow your CA certificates or CRLs to expire as this may cause certificates signed by those 

CAs to be rejected.

Certificate  and CRL files can only be managed via the web interface. They cannot be installed using the CLI.

See 

 and 

 for 

instructions about how to install certificates. For further information, see 

.

Managing the Trusted CA Certificate List

The Trusted CA certificate page (Maintenance > Security certificates > Trusted CA certificate) allows you to 
manage the list of certificates for the Certificate Authorities (CAs) trusted by this VCS. When a TLS connection to 
VCS mandates certificate verification, the certificate presented to the VCS must be signed by a trusted CA in this list 
and there must be a full chain of trust (intermediate CAs) to the root CA.

 

■

To upload a new file containing one or more CA certificates, Browse to the required PEM file and click 
Append CA certificate. This will append any new certificates to the existing list of CA certificates. If you are 
replacing existing certificates for a particular issuer and subject, you have to manually delete the previous 
certificates.

 

■

To replace all of the currently uploaded CA certificates with the system's original list of trusted CA certificates, 
click Reset to default CA certificate.

282

Cisco TelePresence Video Communication Server  Administrator Guide