По поводу процесса подкидывания сертификатов у Cisco есть хорошая документация, а так же готовые howto’шки. Поэтому сам процесс я повторять не буду, лучше просто в конце поста добавлю хорошее видео с канала Cisco Support Community. В этой небольшой заметке я аккумулирую ответ на вопрос «как не сделать всё без прерывания сервиса, если у меня неудачная ситуация», потому что узнавать мне их пришлось на форумах поддержки и моей лаборатории. Рассматриваться будет самый тяжёлый случай: нам надо подтянуть сертификаты, «что бы Jabber не ругался на самоподписанные», а у нас кластер CUCM c Presence Redundancy Group, так ещё и все ноды (>4) забиты IP адресами.

1. Убедитесь, что на всех нодах прописан актуальный DNS сервер
2. Убедитесь, что дата и время на всех нодах верное и синхронизируется с актуального NTP сервера.
3. Внесите А и PTR записи для всех нод в DNS сервер, если таковой ещё нет.
4. Убедитесь, что Hostname на каждой ноде в Cisco Unified OS Administration\Settings\IP\Ethernet\Host Information\Hostname соответствует DNS записи. Если соответствия нет — измените Hostname, либо DNS запись.
5. Сгенерируйте CSR-запрос на любой из нод CUCM для SAN сертификата для сервиса tomcat. Загрузите SAN-сертификат как tomcat, root CA сертификат как tomcat-trust (если выпускающий центр сертификации является подчинённым, то необходимо загрузить всю цепочку сертификатов до корневого как tomcat-trust). Проверьте, что все сертификаты присутствуют на всех нодах (судя по жалобам на форумах поддержки — от версии к версии стреляет по разному). В моём случае (CUCM 10.5.2.13900-12 и IM&P 10.5.2.24900-8) SAN сертификат автоматически не загрузился на IM&P, а так же не подтянулся корневой сертификат из PKCS7 цепочки ни на одну из нод (сертификат подчинённого центра сертификации загрузился нормально).
6. Перезапустите Cisco Tomcat на каждой ноде.
7. Убедитесь, что на ваших телефонах прописан актуальный DNS сервер.
8. Замените IP на FQDN в Cisco Unified CM Administration\Server для всех нод. После проверьте состояние репликации БД.
9. Теперь загрузите корневой сертификат (опять же, если у вас подчинённый центр сертификации, то всю цепочку) только на ноды IM&P как cup-trust и cup-xmpp-trust.
10. Сгенерируйте cup CSR для каждой ноды и cup-xmpp CSR SAN.
11. Выпустите сертификаты и загрузите их как cup (на каждую ноду — свой) и как cup-xmpp.
12. Перезапустите сервисы SIP Proxy, Presence Engine и XCP Router.

Не спешите. Внимательно выполняйте каждый шаг и, конечно же, в случаях где необходим перезапуск какого-либо сервиса, дожидайтесь полного запуска перезапущеного сервиса, прежде чем перезапускать его на следующей ноде.