По поводу процесса подкидывания сертификатов у Cisco есть хорошая документация, а так же готовые howto’шки. Поэтому сам процесс я повторять не буду, лучше просто в конце поста добавлю хорошее видео с канала Cisco Support Community. В этой небольшой заметке я аккумулирую ответ на вопрос «как не сделать всё без прерывания сервиса, если у меня неудачная ситуация», потому что узнавать мне их пришлось на форумах поддержки и моей лаборатории. Рассматриваться будет самый тяжёлый случай: нам надо подтянуть сертификаты, «что бы Jabber не ругался на самоподписанные», а у нас кластер CUCM c Presence Redundancy Group, так ещё и все ноды (>4) забиты IP адресами.
- Убедитесь, что на всех нодах прописан актуальный DNS сервер
- Убедитесь, что дата и время на всех нодах верное и синхронизируется с актуального NTP сервера.
- Внесите А и PTR записи для всех нод в DNS сервер, если таковой ещё нет.
- Убедитесь, что Hostname на каждой ноде в Cisco Unified OS Administration\Settings\IP\Ethernet\Host Information\Hostname соответствует DNS записи. Если соответствия нет — измените Hostname, либо DNS запись.
- Сгенерируйте CSR-запрос на любой из нод CUCM для SAN сертификата для сервиса tomcat. Загрузите SAN-сертификат как tomcat, root CA сертификат как tomcat-trust (если выпускающий центр сертификации является подчинённым, то необходимо загрузить всю цепочку сертификатов до корневого как tomcat-trust). Проверьте, что все сертификаты присутствуют на всех нодах (судя по жалобам на форумах поддержки — от версии к версии стреляет по разному). В моём случае (CUCM 10.5.2.13900-12 и IM&P 10.5.2.24900-8) SAN сертификат автоматически не загрузился на IM&P, а так же не подтянулся корневой сертификат из PKCS7 цепочки ни на одну из нод (сертификат подчинённого центра сертификации загрузился нормально).
- Перезапустите Cisco Tomcat на каждой ноде.
- Убедитесь, что на ваших телефонах прописан актуальный DNS сервер.
- Замените IP на FQDN в Cisco Unified CM Administration\Server для всех нод. После проверьте состояние репликации БД.
- Теперь загрузите корневой сертификат (опять же, если у вас подчинённый центр сертификации, то всю цепочку) только на ноды IM&P как cup-trust и cup-xmpp-trust.
- Сгенерируйте cup CSR для каждой ноды и cup-xmpp CSR SAN.
- Выпустите сертификаты и загрузите их как cup (на каждую ноду — свой) и как cup-xmpp.
- Перезапустите сервисы SIP Proxy, Presence Engine и XCP Router.
Не спешите. Внимательно выполняйте каждый шаг и, конечно же, в случаях где необходим перезапуск какого-либо сервиса, дожидайтесь полного запуска перезапущеного сервиса, прежде чем перезапускать его на следующей ноде.