Implementazione di certificati firmati CA in una soluzione CCE 12.6

Introduzione

In questo documento viene descritto come implementare i certificati firmati da un'Autorità di certificazione (CA) nella soluzione Cisco Contact Center Enterprise (CCE).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Unified Contact Center Enterprise (UCCE) release 12.6.2
• Package Contact Center Enterprise release 12.6.2
• Customer Voice Portal (CVP) release 12.6.2 
• Cisco Virtualized Voice Browser (VB)
• Cisco CVP Operations and Administration Console (OAMP)
• Cisco Unified Intelligence Center (CUIC)
• Cisco Unified Communications Manager (CUCM)

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software:

• PCCE 12.6.2
• CVP 12.6.2
• Cisco VB 12.6.2
• Finesse 12.6.2
• CUIC 12.6.2
• Windows 2019

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

I certificati vengono utilizzati per garantire la sicurezza delle comunicazioni con l'autenticazione tra client e server. Gli utenti possono acquistare certificati da una CA o utilizzare certificati autofirmati.

I certificati autofirmati (come indica il nome) sono firmati dalla stessa entità di cui certificano l'identità, anziché da un'autorità di certificazione. I certificati autofirmati non sono considerati sicuri come i certificati CA, ma vengono utilizzati per impostazione predefinita in molte applicazioni.

Nella soluzione Package Contact Center Enterprise (PCCE) versione 12.x, tutti i componenti della soluzione sono controllati da Single Pane of Glass (SPOG), che è ospitato nel server AW (Admin Workstation) principale.

A causa di Security Management Compliance (SRC) nella versione PCCE 12.5(1), tutte le comunicazioni tra SPOG e gli altri componenti della soluzione avvengono tramite il protocollo HTTP protetto.

In questo documento vengono illustrati in dettaglio i passaggi necessari per implementare i certificati firmati dall'autorità di certificazione in una soluzione CCE per la comunicazione HTTP protetta. Per qualsiasi altra considerazione sulla sicurezza UCCE, fare riferimento alle linee guida sulla sicurezza UCCE.

Per qualunque comunicazione aggiuntiva protetta da CVP diversa da HTTP protetta, fare riferimento alle linee guida sulla sicurezza nella guida alla configurazione di CVP: Linee guida per la sicurezza del CVP.

Nota: Questo documento si applica solo alla versione 12.6 di CCE. Per i collegamenti ad altre versioni, vedere la sezione relativa alle informazioni correlate.

Procedura

Server CCE basati su Windows

1. Generare CSR

In questa procedura viene illustrato come generare una richiesta di firma di certificato (CSR) da Gestione Internet Information Services (IIS). 

Passaggio 1. Accedere a Windows e scegliere Pannello di controllo > Strumenti di amministrazione > Gestione Internet Information Services (IIS).

Passaggio 2. Nel riquadro Connessioni fare clic sul nome del server. Viene visualizzato il riquadro Home del server.

Passaggio 3. Nell'area IIS, fare doppio clic su Certificati server.

Passaggio 4. Nel riquadro Azioni fare clic su Crea richiesta certificato.

Passaggio 5. Nella finestra di dialogo Richiedi certificato eseguire le operazioni seguenti:

Specificare le informazioni richieste nei campi visualizzati e fare clic su Avanti.

Lasciare invariata l'impostazione predefinita nell'elenco a discesa Provider del servizio di crittografia.

Dall'elenco a discesa Lunghezza bit selezionare 2048.

Passaggio 6. Specificare un nome di file per la richiesta di certificato e fare clic su Fine.

2. Ottenere i certificati firmati dalla CA

Passaggio 1. Firmare il certificato su una CA.

Nota: Verificare che il modello di certificato utilizzato dalla CA includa l'autenticazione client e server.

Passaggio 2. Ottenere i certificati CA firmati dall'autorità di certificazione (radice, applicazione e intermedio, se presenti).

3. Caricare i certificati firmati dalla CA

Passaggio 1. Accedere a Windows e scegliere Pannello di controllo > Strumenti di amministrazione > Gestione Internet Information Services (IIS).

Passaggio 2. Nel riquadro Connessioni fare clic sul nome del server.

Passaggio 3. Nell'area IIS, fare doppio clic su Certificati server.

Passaggio 4. Nel riquadro Azioni fare clic su Completa richiesta certificato.

Passaggio 5. Nella finestra di dialogo Completa richiesta certificato completare i seguenti campi:

Nel campo Nome file contenente la risposta dell'Autorità di certificazione fare clic sul pulsante ....

Selezionare il percorso in cui è archiviato il certificato dell'applicazione firmato e quindi fare clic su Apri.  

Nota: Se si tratta di un'implementazione di CA a 2 livelli e il certificato radice non è già presente nell'archivio certificati del server, è necessario caricare la radice nell'archivio di Windows prima di importare il certificato firmato. Fare riferimento a questo documento se è necessario caricare la CA radice in Windows Store Microsoft - Installazione del certificato radice attendibile. 

Nel campo Nome descrittivo immettere il nome di dominio completo (FQDN) del server o qualsiasi nome significativo. Verificare che l'elenco a discesa Selezionare un archivio certificati per il nuovo certificato rimanga Personale.

Passaggio 6. Scegliere OK per caricare il certificato.

Se il caricamento del certificato ha esito positivo, il certificato verrà visualizzato nel riquadro Certificati server.

4. Associare il certificato firmato dalla CA a IIS

In questa procedura viene illustrato come associare un certificato firmato da una CA in Gestione IIS.

Passaggio 1. Accedere a Windows e scegliere Pannello di controllo > Strumenti di amministrazione > Gestione Internet Information Services (IIS).

Passaggio 2. Nel riquadro Connessioni, scegliere <nome_server> > Siti > Sito Web predefinito.

Passaggio 3. Nel riquadro Azioni fare clic su Associazioni....

Passaggio 4. Fare clic sul tipo https con porta 443, quindi su Modifica....

Passaggio 5. Dall'elenco a discesa del certificato SSL, selezionare il certificato con lo stesso nome descrittivo indicato nel passaggio precedente.

Passaggio 6. Fare clic su OK.

Passaggio 7. Passare a Start > Esegui > services.msc e riavviare il servizio Amministrazione di IIS.

5. Associare il certificato firmato dalla CA al portico di diagnostica

In questa procedura viene illustrato come associare un certificato firmato da un'autorità di certificazione nel portico di diagnostica.

Passaggio 1. Aprire il prompt dei comandi (Esegui come amministratore).

Passaggio 2. Passare alla home directory Diagnostic Portico. Eseguire questo comando:

cd c:\icm\serviceability\diagnostics\bin

Passaggio 3. Rimuovere il binding del certificato corrente al portico di diagnostica. Eseguire questo comando:

DiagFwCertMgr /task:UnbindCert

Passaggio 4. Aprire il certificato firmato e copiare il contenuto hash (senza spazi) del campo Identificazione personale.

Nota: Assicurarsi di rimuovere tutti i caratteri nascosti dall'inizio o dalla fine del contenuto hash. Un editor come Blocco note++ consente di identificare questi caratteri nascosti.

Passaggio 5. Eseguire questo comando e incollare il contenuto dell'hash. 

DiagFwCertMgr /task:BindCertFromStore /certhash:<hash_value>

Se il binding dei certificati ha esito positivo, viene visualizzato il messaggio Il binding dei certificati è VALIDO.

Passaggio 6. Verificare se l'associazione del certificato è stata completata. Eseguire questo comando:

DiagFwCertMgr /task:ValidateCertBinding

Nota: DiagFwCertMgr utilizza la porta 7890 per impostazione predefinita.

Se il binding dei certificati ha esito positivo, viene visualizzato il messaggio Il binding dei certificati è VALIDO.

Passaggio 7. Riavviare il servizio Diagnostic Framework. Eseguire i seguenti comandi:

net stop DiagFwSvc
net start DiagFwSvc

Se Diagnostic Framework viene riavviato correttamente, gli avvisi relativi agli errori dei certificati non vengono visualizzati all'avvio dell'applicazione.

6. Importare il certificato principale e intermedio in Java Keystore

Attenzione: Prima di iniziare, è necessario eseguire il backup del keystore ed eseguire i comandi dalla java home come amministratore.

Passaggio 1.  Conoscere il percorso della directory principale Java per verificare dove è ospitato lo strumento chiave Java. Ci sono due modi per trovare il percorso di casa java.

    Opzione 1: CLI: echo %CCE_JAVA_HOME%

   Opzione 2: Manualmente tramite Impostazioni di sistema avanzate, come mostrato nell'immagine

Passaggio 2. Eseguire il backup del file cacerts dai percorsi ICM e OpenJDK <directory di installazione ICM>\ssl\ e %CCE_JAVA_HOME%\lib\security\cacerts. È possibile copiarli in un'altra posizione.

Passaggio 3. Aprire una finestra di comando come amministratore ed eseguire i seguenti comandi:

cd %CCE_JAVA_HOME%\bin
keytool.exe –keystore <ICM install directory>\ssl\cacerts -trustcacerts -import -file <path where the Root, or Intermediate certificate are stored> -alias <Root_name of your CA or Intermediate_name of your CA> -storepass changeit
keytool.exe –keystore %CCE_JAVA_HOME%\lib\security\cacerts -trustcacerts -import -file <path where the Root, or Intermediate certificate are stored> -alias <Root_name of your CA or Intermediate_name of your CA> -storepass changeit

Nota: I certificati specifici richiesti dipendono dalla CA utilizzata per firmare i certificati. In una CA a due livelli, tipica delle CA pubbliche e più sicura delle CA interne, è necessario importare i certificati radice e intermedi. In una CA standalone senza componenti intermedi, generalmente presente in un'autorità di certificazione lab o in una CA interna più semplice, è sufficiente importare solo il certificato radice. I certificati radice e intermedi devono essere importati sia nei keystore ICM che OpenJDK, in quanto la CLI del sistema utilizza ancora il keystore OpenJDK.

Soluzione CVP

1. Genera certificati con FQDN

In questa procedura viene illustrato come generare certificati con FQDN per i servizi Web Service Manager (WSM), Voice XML (VXML), Call Server e Operations Management (OAMP).

Nota: Quando si installa il certificato CVP, il nome include solo il nome del server e non il nome di dominio completo, pertanto è necessario rigenerare i certificati.

Attenzione: Prima di iniziare, è necessario eseguire le operazioni seguenti:
1. Aprire una finestra di comando come amministratore.
2. Per la versione 12.6.2, per identificare la password del keystore, passare alla cartella %CVP_HOME%\bin ed eseguire il file DecryptKeystoreUtil.bat.
3. Per la versione 12.6.1, per identificare la password del keystore, eseguire il comando more %CVP_HOME%\conf\security.properties.
4. Questa password è necessaria per eseguire i comandi keytool.
5. Dalla directory %CVP_HOME%\conf\security\, eseguire il comando copy .keystore backup.keystore.

Server CVP

Passaggio 1. Per eliminare i certificati dei server CVP, eseguire i seguenti comandi: 

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias vxml_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate

Immettere la password del keystore quando richiesto.

Passaggio 2. Per generare il certificato WSM eseguire questo comando: 

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

Immettere la password del keystore quando richiesto.

Nota: Per impostazione predefinita, i certificati vengono generati per due anni. Utilizzare -valid XXXX per impostare la data di scadenza per la rigenerazione dei certificati. In caso contrario, i certificati saranno validi per 90 giorni e dovranno essere firmati da una CA prima di questo periodo. Per la maggior parte di questi certificati, 3-5 anni devono essere un periodo di convalida ragionevole.

Di seguito sono riportati alcuni input di validità standard:

Attenzione: Dalla versione 12.5, i certificati devono essere SHA 256, Key Size 2048 e encryption Algorithm RSA. Per impostare questi valori, utilizzare i seguenti parametri: -keyalg RSA e -keysize 2048. È importante che i comandi del keystore CVP includano il parametro -storetype JCEKS. In caso contrario, il certificato, la chiave o le parole chiave e il keystore potrebbero danneggiarsi.

Specificare il nome FQDN del server, alla domanda qual è il nome e il cognome?

Rispondere alle seguenti domande:

Qual è il nome dell'unità organizzativa?

 [Sconosciuto]: <specifica unità organizzativa>

Qual è il nome dell'organizzazione?

 [Sconosciuto]: <specificare il nome dell'organizzazione>

Indicare il nome della città o della località.

 [Sconosciuto]: <specificare il nome della città/località>

Qual è il nome della provincia?

 [Sconosciuto]: <specificare il nome della provincia>

Qual è il codice paese di due lettere per questo apparecchio?

 [Sconosciuto]: <specificare il codice del paese a due lettere>

Specificare yes per i due input successivi.

Passaggio 3. Eseguire gli stessi passaggi per vxml_certificate e callserver_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

Server di report CVP

Passaggio 1. Per eliminare i certificati di WSM e di Reporting Server, eseguire i seguenti comandi: 

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate

Immettere la password del keystore quando richiesto.

Passaggio 2. Per generare il certificato WSM eseguire questo comando:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

Immettere la password del keystore quando richiesto.

Specificare il nome FQDN del server per la query che cosa sono il nome e il cognome? e continuare con la stessa procedura utilizzata per i server CVP.

Passaggio 3. Eseguire la stessa procedura per callserver_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

Immettere la password del keystore quando richiesto.

CVP OAMP (distribuzione UCCE)

Poiché nella soluzione PCCE versione 12.x tutti i componenti della soluzione sono controllati da SPOG e OAMP non è installato, questi passaggi sono necessari solo per una soluzione di distribuzione UCCE.

Passaggio 1. Per eliminare i certificati del server WSM e OAMP, eseguire i seguenti comandi: 

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias oamp_certificate

Immettere la password del keystore quando richiesto.

Passaggio 2. Per generare il certificato WSM eseguire questo comando:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

Immettere la password del keystore quando richiesto.

Specificare il nome FQDN del server per la query che cosa sono il nome e il cognome? e continuare con la stessa procedura utilizzata per i server CVP.

Passaggio 3. Eseguire la stessa procedura per oamp_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias oamp_certificate -keysize 2048 -keyalg RSA -validity XXXX

Immettere la password del keystore quando richiesto.

2. Generare il CSR

Nota: Per il browser conforme allo standard RFC5280 è necessario che in ogni certificato sia incluso il nome alternativo del soggetto (SAN). A tale scopo, è possibile utilizzare il parametro -ext con SAN durante la generazione di CSR. 

Nome alternativo soggetto

Il parametro -ext consente all'utente di utilizzare estensioni specifiche. Nell'esempio riportato viene aggiunto un nome alternativo del soggetto (SAN) con il nome di dominio completo (FQDN) del server e localhost. È possibile aggiungere ulteriori campi SAN come valori separati da virgole.

I tipi di SAN validi sono:

ip:192.168.0.1
dns:myserver.mydomain.com
email:name@mydomain.com

Ad esempio: 

 -ext san=dns:mycvp.mydomain.com,dns:localhost

Server CVP

Passaggio 1. Generare la richiesta di certificato per l'alias. Eseguire questo comando e salvarlo in un file (ad esempio, wsm_certificate):

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm_certificate.csr

Immettere la password del keystore quando richiesto.

Passaggio 2. Eseguire gli stessi passaggi per vxml_certificate e callserver_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias vxml_certificate -file %CVP_HOME%\conf\security\vxml_certificate.csr

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias callserver_certificate -file %CVP_HOME%\conf\security\callserver_certificate.csr

Immettere la password del keystore quando richiesto.

Server di report CVP

Passaggio 1. Generare la richiesta di certificato per l'alias. Eseguire questo comando e salvarlo in un file (ad esempio, wsmreport_certificate):

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsmreport_certificate.csr

Immettere la password del keystore quando richiesto.

Passaggio 2. Eseguire gli stessi passaggi per callserver_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias callserver_certificate -file %CVP_HOME%\conf\security\callserverreport_certificate.csr

Immettere la password del keystore quando richiesto.

CVP OAMP (solo distribuzione UCCE)

Passaggio 1. Generare la richiesta di certificato per l'alias. Eseguire questo comando e salvarlo in un file (ad esempio, wsmoamp_certificate):

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsmoamp_certificate.csr

Immettere la password del keystore quando richiesto.

Passaggio 2. Eseguire la stessa procedura per oamp_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias oamp_certificate -file %CVP_HOME%\conf\security\oamp.csr

Immettere la password del keystore quando richiesto.

3. Ottenere i certificati firmati CA

Passaggio 1. Firmare i certificati su una CA (WSM, Callserver e server VXML) per il server CVP; WSM e OAMP per il server OAMP CVP e WSM e Callserver per il server di report CVP).

Passaggio 2. Scaricare i certificati dell'applicazione e il certificato radice dall'autorità CA.

Passaggio 3. Copiare il certificato radice e i certificati firmati dalla CA nella cartella %CVP_HOME%\conf\security\ di ogni server.

4. Importazione dei certificati firmati dalla CA

Applica questi passaggi a tutti i server della soluzione CVP.  Solo i certificati per i componenti su tale server devono avere il certificato firmato dalla CA importato.

Passaggio 1. Importare il certificato radice. Eseguire questo comando:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cer>

Immettere la password del keystore quando richiesto. Al prompt Considera attendibile il certificato digitare Sì.

Se è presente un certificato intermedio, eseguire questo comando:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias intermediate_ca -file %CVP_HOME%\conf\security\<filename_of_intermediate_cer>

Immettere la password del keystore quando richiesto. Al prompt Considera attendibile il certificato digitare Sì.

Passaggio 2. Importare il modulo WSM con firma CA per il certificato server (CVP, Reporting and OAMP). Eseguire questo comando:  

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias wsm_certificate -file %CVP_HOME%\conf\security\<filename_of_wsm_CA_cer> 

Immettere la password del keystore quando richiesto. Al prompt Considera attendibile il certificato digitare Sì.

Passaggio 3. Nei server CVP e nei server di report importare il certificato firmato CA del server di chiamata. Eseguire questo comando:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias callserver_certificate -file %CVP_HOME%\conf\security\<filename_of_callserver_CA_cer>

Immettere la password del keystore quando richiesto. Al prompt Considera attendibile il certificato digitare Sì.

Passaggio 4. Nei server CVP importare il certificato firmato dalla CA del server VXML. Eseguire questo comando:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias vxml_certificate -file %CVP_HOME%\conf\security\<filename_of_vxml_CA_cer>

Immettere la password del keystore quando richiesto. Al prompt Considera attendibile il certificato digitare Sì.

Passaggio 5. Nel server CVP OAMP (solo per UCCE) importare il certificato CA firmato del server OAMP. Eseguire questo comando:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias oamp_certificate -file %CVP_HOME%\conf\security\<filename_of_oamp_CA_cer>

Immettere la password del keystore quando richiesto. Al prompt Considera attendibile il certificato digitare Sì.

Passo 6: riavviare i server.

Nota: Nella distribuzione UCCE, assicurarsi di aggiungere i server (CVP Reporting, CVP Server e così via) in CVP OAMP con il nome di dominio completo fornito durante la generazione del CSR. 

Server VOS

1. Genera certificato CSR

In questa procedura viene illustrato come generare il certificato CSR Tomcat da una piattaforma basata su VOS (Cisco Voice Operating System).

Questo processo è applicabile alle applicazioni basate su VOS, quali:

• Finesse
• CUIC \ Live Data (LD) \Identity Server(IDS)
• Cloud Connect
• Cisco VB

Passaggio 1. Passare alla pagina di amministrazione del sistema operativo Cisco Unified Communications:https://FQDN :<8443 o 443>/cmplatform.

Passaggio 2. Passare a Sicurezza > Gestione certificati e selezionare Genera CSR.

Passaggio 3. Dopo aver generato il certificato CSR, chiudere la finestra e selezionare Scarica CSR.

Passaggio 4. Verificare che lo scopo del certificato sia tomcat e fare clic su Scarica CSR.

Passaggio 5. Fare clic su Salva file. Il file viene salvato nella cartella Download.

2. Ottenere i certificati firmati dalla CA

Passaggio 1. Firmare il certificato tomcat esportato in una CA.

Passaggio 2. Scaricare l'applicazione e la radice certificata dall'autorità CA.

3. Caricare l'applicazione e i certificati radice

Passaggio 1. Passare alla pagina di amministrazione del sistema operativo Cisco Unified Communications: https://FQDN:<8443 o 443>/cmplatform

Passaggio 2. Passare a Sicurezza > Gestione certificati e selezionare Carica catena certificati/certificati.

Passaggio 3. Nella finestra Carica certificato/catena di certificati, selezionare tomcat-trust nel campo scopo del certificato e caricare il certificato radice.

Passaggio 4. Caricare un certificato intermedio (se disponibile) come tomcat-trust.

Passaggio 5. Nella finestra Carica certificato/catena di certificati, selezionare ora nel campo Scopo certificato e caricare il certificato firmato dalla CA dell'applicazione.

Passaggio 6. Riavviare il server.

Verifica

Dopo aver riavviato il server, eseguire la procedura seguente per verificare l'implementazione della CA firmata:

Passaggio 1. Aprire un browser Web e cancellare la cache. 

Passaggio 2. Chiudere e aprire nuovamente il browser. 

A questo punto è necessario visualizzare l'opzione del certificato per iniziare il certificato firmato dalla CA e l'indicazione nella finestra del browser che il certificato è autofirmato e quindi non attendibile deve scomparire.

Risoluzione dei problemi

In questa Guida non è disponibile alcuna procedura per la risoluzione dei problemi relativi all'implementazione dei certificati firmati da un'autorità di certificazione.

Informazioni correlate

• Guida alla configurazione di CVP - Sicurezza
• UCCE Security Guide
• Guida per l'amministratore PCCE
• Certificati autofirmati PCCE di Exchange - PCCE 12.5
• Certificati autofirmati Exchange UCCE - UCCE 12.5
• Certificati autofirmati PCCE di Exchange - PCCE 12.6
• Certificati autofirmati Exchange UCCE - UCCE 12.6
• Utilità Scambio certificati
• Documentazione e supporto tecnico – Cisco Systems