Échanger des certificats auto-signés dans une solution UCCE

Options de téléchargement

  • PDF     (842.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (654.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (444.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:23 août 2023
ID du document:215445

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment échanger des certificats auto-signés dans une solution Unified Contact Center Enterprise (UCCE).

    Contribution d'Anuj Bhatia, Robert Rogier et Ramiro Amaya, Ingénieurs du centre d'assistance technique Cisco

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • UCCE version 12.5(1)
    • Customer Voice Portal (CVP) version 12.5 (1)
    • Navigateur vocal virtualisé Cisco (VVB)

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

    • UCCE 12.5(1)
    • CVP 12.5(1)
    • Cisco VVB 12.5
    • Console des opérations CVP (OAMP)
    • CVP New OAMP (NOAMP)

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Fond

    Dans une solution UCCE, la configuration de nouvelles fonctionnalités impliquant des applications de base telles que ROGGER, les passerelles périphériques (PG), les stations de travail d'administration (AW) / les serveurs de données d'administration (ADS), Finesse, Cisco Unified Intelligence Center (CUIC), etc. est effectuée via la page d'administration de Contact Center Enterprise (CCE). Pour les applications de réponse vocale interactive (IVR) telles que CVP, Cisco VVB et les passerelles, NOAMP contrôle la configuration des nouvelles fonctionnalités. Depuis CCE 12.5(1), en raison de la conformité à la gestion de la sécurité (SRC), toutes les communications vers CCE Admin et NOAMP sont strictement effectuées via le protocole HTTP sécurisé.

    Pour assurer une communication sécurisée et transparente entre ces applications dans un environnement de certificats auto-signés, l’échange de certificats entre les serveurs devient indispensable. La section suivante explique en détail les étapes nécessaires pour échanger un certificat auto-signé entre :

    • Serveurs CCE AW et serveurs d'applications de base CCE
    • Serveur CVP OAMP et serveurs de composants CVP

    Procédure

    Serveurs CCE AW et serveurs d'applications de base CCE

    Il s'agit des composants à partir desquels les certificats auto-signés sont exportés et des composants dans lesquels les certificats auto-signés doivent être importés.

    Serveurs CCE AW : ce serveur requiert un certificat de :

    • Plate-forme Windows : Router and Logger(Rogger){A/B}, Peripheral Gateway (PG){A/B} et tous les AW/ADS.

    Remarque : les certificats IIS et DFP (Diagnostic Framework Portico) sont nécessaires.

    • Plate-forme VOS : Finesse, CUIC, Live Data (LD), Identity Server (IDS), Cloud Connect et d'autres serveurs applicables faisant partie de la base de données d'inventaire.

    Il en va de même pour les autres serveurs AW de la solution.

    Router \ Logger Server : Ce serveur requiert un certificat de :

    • Plate-forme Windows : certificat IIS du serveur AW.

    Les étapes nécessaires à l'échange efficace des certificats auto-signés pour CCE sont divisées en ces sections :

    Section 1 : échange de certificats entre le routeur/enregistreur, le PG et le serveur AW
    Section 2 : Échange de certificats entre l'application de la plate-forme VOS et le serveur AW

    Section 1 : échange de certificats entre le routeur/enregistreur, le PG et le serveur AW

    Les étapes nécessaires pour réussir cet échange sont les suivantes :

    Étape 1. Exportez les certificats IIS depuis Router\Logger, PG et tous les serveurs AW.
    Étape 2. Exportez les certificats DFP depuis Router\Logger, PG et tous les serveurs AW.
    Étape 3. Importez des certificats IIS et DFP depuis Router\Logger, PG et AW vers des serveurs AW.
    Étape 4. Importez des certificats IIS vers Router\Logger et PG à partir de serveurs AW.

    Attention : avant de commencer, vous devez sauvegarder le keystore et ouvrir l'invite de commandes en tant qu'administrateur.


    (i) Connaître le chemin d'accès au répertoire d'origine Java pour savoir où l'outil de saisie Java est hébergé. Il existe plusieurs façons de trouver le chemin d'accès java.


        Option 1 : commande CLI : echo %JAVA_HOME%

        screen shot 1

       Option 2 : manuellement via le paramètre système avancé, comme illustré dans l'image.

       screen shot 2

    Remarque : sur UCCE 12.5, le chemin par défaut est C:\Program Files (x86)\Java\jre1.8.0_221\bin. Toutefois, si vous avez utilisé le programme d'installation 12.5(1a) ou si vous avez installé la version 12.5 ES55 (OpenJDK ES obligatoire), utilisez %CCE_JAVA_HOME% au lieu de %JAVA_HOME% car le chemin du data store a changé avec OpenJDK. Pour plus d'informations sur la migration OpenJDK dans CCE et CVP, consultez ces documents : Install and Migrate to OpenJDK in CCE 12.5(1) et Install and Migrate to OpenJDK in CVP 12.5(1).

    (ii) Sauvegardez le fichier cacerts à partir du dossier {JAVA_HOME}\lib\security. Vous pouvez le copier à un autre emplacement.

    Étape 1. Exporter les certificats IIS depuis Router\Logger, PG et tous les serveurs AW

    (i) Sur un serveur AW à partir d'un navigateur, accédez aux serveurs (ROGGER, PG, autres serveurs AW) URL : https://{nomserveur}.

    screen shot 3

    (ii) Enregistrez le certificat dans un dossier temporaire, par exemple c:\temp\certs et nommez le certificat ICM{svr}[ab].cer.

    Remarque : sélectionnez l'option X.509 codé en base 64 (.CER).

    Étape 2. Exporter les certificats DFP à partir de Router\Logger, PG et de tous les serveurs AW

    (i) Sur le serveur AW, ouvrez un navigateur et accédez aux serveurs (routeur, enregistreur ou ROGGER, PG, AW) URL DFP : https://{nomserveur}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion.

    screen shot 8

    (ii) Enregistrez le certificat dans le dossier exemple c:\temp\certs et nommez le certificat dfp{svr}[ab].cer

    Remarque : sélectionnez l'option X.509 codé en base 64 (.CER).

    Étape 3. Importer des certificats IIS et DFP depuis Router\Logger, PG et AW vers des serveurs AW

    Remarque : les exemples de commandes utilisent le mot de passe keystore par défaut « changeit ». Vous devez le modifier si vous avez modifié le mot de passe sur votre système.

    Commande pour importer les certificats auto-signés IIS dans le serveur AW. Chemin d'accès pour exécuter l'outil Clé : %JAVA_HOME%\bin :

    keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer

    Remarque : importez tous les certificats de serveur exportés vers tous les serveurs AW.

    Commande pour importer les certificats autosignés DFP dans les serveurs AW :

    keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_DFP -file c:\temp\certs\ dfp{svr}[ab].cer
    Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myrgra.domain.com_DFP -file c:\temp\certs\dfprgra.cer

    Remarque : importez tous les certificats de serveur exportés vers tous les serveurs AW.

    Redémarrez le service Apache Tomcat sur les serveurs AW.

    Étape 4. Importez des certificats IIS vers Router\Logger et PG à partir de serveurs AW.

    Commande pour importer les certificats auto-signés IIS AW dans les serveurs Router\Logger et PG :

    keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myawa.domain.com_IIS -file c:\temp\certs\ICMawa.cer

    Remarque : importez tous les certificats de serveur IIS AW exportés vers les serveurs Router\Logger et PG sur les côtés A et B.

    Redémarrez le service Apache Tomcat sur les serveurs Router\Logger et PG.

    Section 2 : Échange de certificats entre les applications de la plate-forme VOS et le serveur AW

    Les étapes nécessaires pour réussir cet échange sont les suivantes :

    Étape 1. Exporter les certificats du serveur d'applications de la plate-forme VOS.
    Étape 2. Importez les certificats d'application de la plate-forme VOS sur le serveur AW.

    Ce processus s'applique à toutes les applications VOS telles que :

    • Finesse
    • CUIC \ LD \ IDS
    • Connexion au cloud

    Étape 1. Exporter les certificats du serveur d'applications de la plate-forme VOS.

    (i) Accédez à la page Cisco Unified Communications Operating System Administration : https://{FQDN}:8443/cmplatform.

    (ii) Accédez à Security > Certificate Management et recherchez les certificats du serveur principal d'application dans le dossier tomcat-trust.

    screen shot 5

    (iii) Sélectionnez le certificat et cliquez sur télécharger le fichier .PEM pour l'enregistrer dans un dossier temporaire sur le serveur AW.

    screen shot 6

    Remarque : effectuez les mêmes étapes pour l'abonné.

    Étape 2. Importez l'application de plate-forme VOS sur le serveur AW.


    Chemin d'exécution de l'outil Clé : {JAVA_HOME}\bin

    Commande pour importer les certificats auto-signés :

    keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_vos} -file c:\temp\certs\vosapplicationX.pem

    Redémarrez le service Apache Tomcat sur les serveurs AW.

    Remarque : effectuez la même tâche sur d'autres serveurs AW.

    Serveur CVP OAMP et serveurs de composants CVP

    Il s'agit des composants à partir desquels les certificats auto-signés sont exportés et des composants dans lesquels les certificats auto-signés doivent être importés.

    (i) Serveur CVP OAMP : ce serveur requiert un certificat de :

    • Plate-forme Windows : certificat WSM (Web Services Manager) du serveur CVP et des serveurs de rapports.
    • Plate-forme VOS : Cisco VVB pour l'intégration Customer Virtual Agent (CVA), serveur Cloud Connect pour l'intégration Webex Experience Management (WXM).

    (ii) Serveurs CVP : ce serveur requiert un certificat de :

    • Plate-forme Windows : certificat WSM du serveur OAMP.
    • Plate-forme VOS : serveur Cloud Connect pour intégration WXM et serveur Cisco VVB.

    (iii) Serveurs CVP Reporting : ce serveur nécessite un certificat de

    • Plate-forme Windows : certificat WSM du serveur OAMP.

    (iv) Serveurs Cisco VVB : ce serveur requiert un certificat de :

    • Plate-forme Windows : certificat VXML du serveur CVP et certificat Callserver du serveur CVP.

    Les étapes nécessaires à l'échange efficace des certificats auto-signés dans l'environnement CVP sont expliquées dans ces trois sections.

    Section 1 : échange de certificats entre le serveur CVP OAMP et le serveur CVP et les serveurs de rapports.
    Section 2 : Échange de certificats entre le serveur CVP OAMP et les applications de la plate-forme VOS.
    Section 3 : Échange de certificats entre le serveur CVP et les serveurs VVB.

    Section 1 : Échange de certificats entre le serveur CVP OAMP et le serveur CVP et les serveurs de rapports

    Les étapes nécessaires pour réussir cet échange sont les suivantes :

    Étape 1. Exportez le certificat WSM à partir du serveur CVP, du serveur Reporting et du serveur OAMP.
    Étape 2. Importez les certificats WSM du serveur CVP et du serveur de rapports dans le serveur OAMP.
    Étape 3. Importez le certificat WSM du serveur CVP OAMP dans le serveur CVP et le serveur Reporting.

    Attention : avant de commencer, vous devez procéder comme suit :
    1. Ouvrez une fenêtre de commande en tant qu'administrateur.
    2. Pour identifier le mot de passe de la banque de clés, exécutez la commande more %CVP_HOME%\conf\security.properties
    3. Vous avez besoin de ce mot de passe lorsque vous exécutez les commandes keytool.
    4. À partir du répertoire %CVP_HOME%\conf\security\, exécutez la commande copy .keystore backup.keystore.

    Étape 1. Exportez le certificat WSM à partir du serveur CVP, du serveur Reporting et du serveur OAMP.

    (i) Exportez le certificat WSM de chaque serveur vers un emplacement temporaire et renommez le certificat avec un nom souhaité. Vous pouvez le renommer wsmX.crt. Remplacez X par le nom d'hôte du serveur. Par exemple, wsmcsa.crt, wsmcsb.crt, wsmrepa.crt, wsmrepb.crt, wsmamp.crt.

    Commande pour exporter les certificats auto-signés :

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt

    (ii) Copiez le certificat à partir du chemin C:\Cisco\CVP\conf\security\wsm.crt de chaque serveur et renommez-le wsmX.crt en fonction du type de serveur.

    Étape 2. Importez les certificats WSM des serveurs CVP et des serveurs de rapports dans le serveur OAMP.

    (i) Copiez le certificat WSM de chaque serveur CVP et serveur de rapports (wsmX.crt) dans le répertoire %CVP_HOME%\conf\security du serveur OAMP.

    (ii) Importez ces certificats avec la commande suivante :

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmcsX.crt

    (iii) Redémarrez le serveur.

    Étape 3. Importez le certificat WSM du serveur CVP OAMP dans les serveurs CVP et les serveurs Reporting.

    (i) Copiez le certificat WSM du serveur OAMP (wsmoampX.crt) dans le répertoire %CVP_HOME%\conf\security sur tous les serveurs CVP et les serveurs Reporting.

    (ii) Importez les certificats avec la commande suivante :

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmoampX.crt

    (iii) Redémarrez les serveurs.

    Section 2 : Échange de certificats entre le serveur CVP OAMP et les applications de la plate-forme VOS

    Les étapes nécessaires pour réussir cet échange sont les suivantes :

    Étape 1. Exportez le certificat d'application depuis la plate-forme VOS.

    Étape 2. Importez le certificat d'application VOS dans le serveur OAMP.

    Ce processus s'applique aux applications VOS telles que :

    • CUCM
    • VVB
    • Connexion au cloud

    Étape 1. Exportez le certificat d'application depuis la plate-forme VOS.

    (i) Accédez à la page Cisco Unified Communications Operating System Administration : https://{FQDN}:8443/cmplatform.


    (ii) Accédez à Security > Certificate Management et recherchez les certificats du serveur principal de l'application dans le dossier tomcat-trust.

    screen shot 1

    (iii) Sélectionnez le certificat et cliquez sur télécharger le fichier .PEM pour l'enregistrer dans un dossier temporaire sur le serveur OAMP.

    screen shot 2

    Étape 2. Importez le certificat d'application VOS dans le serveur OAMP.

    (i) Copiez le certificat VOS dans le répertoire %CVP_HOME%\conf\security du serveur OAMP.

    (ii) Importez les certificats avec la commande suivante :

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_vos} -file %CVP_HOME%\conf\security\VOS.pem

    (ii) Redémarrer le serveur.

    Section 3 : échange de certificats entre le serveur CVP et les serveurs VVB

    Il s'agit d'une étape facultative pour sécuriser la communication SIP entre CVP et d'autres composants du centre de contact. Pour plus d'informations reportez-vous à la section : Guide de configuration CVP : Guide de configuration CVP - Sécurité.

    Intégration du service Web CVP CallStudio

    Pour obtenir des informations détaillées sur l'établissement d'une communication sécurisée pour les éléments Web Services et Rest_Client

    reportez-vous au Guide de l'utilisateur de Cisco Unified CVP VXML Server et de Cisco Unified Call Studio version 12.5(1) - Web Service Integration [Cisco Unified Customer Voice Portal] - Cisco

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    3.0
    23-Aug-2023
    Révision 2
    2.0
    14-Jul-2022
    Révision 11
    1.0
    24-Apr-2020
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Anuj Bhatia
      Ingénieur TAC Cisco
    • Robert W Rogier
      Ingénieur TAC Cisco
    • Ramiro Amaya
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits