Introduzione
In questo documento viene descritto come scambiare certificati autofirmati in una soluzione UCCE (Unified Contact Center Enterprise).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- UCCE release 12.6(2)
- Customer Voice Portal (CVP) versione 12.6(2)
- Cisco Virtualized Voice Browser (VB)
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software:
- UCCE 12.6(2)
- CVP 12.6(2)
- Cisco VB 12.6(2)
- CVP Operations Console (OAMP)
- CVP Nuovo OAMP (NOAMP)
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Nella configurazione della soluzione UCCE di nuove funzionalità che coinvolgono le applicazioni principali, quali Roggers, Peripheral Gateway (PG), Admin Workstation (AW)/ Administration Data Server (ADS), Finesse, Cisco Unified Intelligence Center (CUIC) e così via, viene eseguita tramite la pagina Admin di Contact Center Enterprise (CCE). Per le applicazioni Interactive Voice Response (IVR) come CVP, Cisco VB e gateway, NOAMP controlla la configurazione delle nuove funzionalità. Dalla versione 12.5(1) di CCE, a causa della conformità SRC (Security-Management-Compliance), tutte le comunicazioni con gli amministratori CCE e NOAMP avvengono esclusivamente tramite il protocollo HTTP protetto.
Per garantire una comunicazione sicura e senza problemi tra queste applicazioni in un ambiente con certificati autofirmati, lo scambio di certificati tra i server è un'esigenza imprescindibile. Nella sezione successiva vengono illustrati in dettaglio i passaggi necessari per lo scambio di certificati autofirmati tra:
- Server AW CCE e server applicazioni di base CCE
- Server CVP OAMP e componenti CVP
Nota: Questo documento si applica solo alla versione 12.6 di CCE. Per i collegamenti ad altre versioni, vedere la sezione relativa alle informazioni correlate.
Procedura
Server AW CCE e server applicazioni di base CCE
Si tratta dei componenti da cui vengono esportati i certificati autofirmati e dei componenti in cui è necessario importare i certificati autofirmati.
Server AW CCE: Il server richiede il certificato da:
- Piattaforma Windows Router e Logger(Rogger){A/B}, Peripheral Gateway (PG){A/B} e tutti gli AW/ADS.
Nota: Sono necessari IIS e Diagnostic Framework Portico (DFP).
- Piattaforma VOS: Finesse, CUIC, Live Data (LD), Identity Server (IDS), Cloud Connect e altri server applicabili che fanno parte del database di inventario. Lo stesso vale per gli altri server AW della soluzione.
Router \ Server di registrazione: Il server richiede il certificato da:
- Piattaforma Windows Certificato IIS per tutti i server AW.
Le fasi necessarie per scambiare efficacemente i certificati autofirmati con CCE sono suddivise in queste sezioni.
Sezione 1: Scambio di certificati tra router\registratore, server PG e AW
Sezione 2: Scambio di certificati tra l'applicazione della piattaforma VOS e il server AW
Sezione 1: Scambio di certificati tra router\registratore, server PG e AW
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1. Esportare i certificati IIS da Router\Logger, PG e tutti i server AW.
Passaggio 2. Esportare i certificati DFP da Router\Logger, PG e da tutti i server AW.
Passaggio 3. Importare i certificati IIS e DFP da Router\Logger, PG e AW nei server AW.
Passaggio 4. Importare il certificato IIS in Router\Logger e PG dai server AW.
Attenzione: Prima di iniziare, è necessario eseguire il backup del keystore e aprire un prompt dei comandi come Amministratore.
(i) Conoscere il percorso della directory principale di Java per verificare dove è ospitato lo strumento chiave di Java. Ci sono due modi per trovare il percorso di casa java.
Opzione 1: CLI: echo %CCE_JAVA_HOME%

Opzione 2: Manualmente tramite Impostazioni di sistema avanzate, come mostrato nell'immagine

(ii) Eseguire il backup del file cacerts dalla cartella <ICM install directory>ssl\ . È possibile copiarlo in un'altra posizione.
Passaggio 1. Esportare i certificati IIS da Router\Logger, PG e tutti i server AW.
(i) Su un server AW da un browser, passare ai server (Roggers, PG, altri server AW) url: https://{nomeserver}.

(ii) Salvare il certificato in una cartella temporanea. Ad esempio, c:\temp\certs e denominare il certificato ICM{svr}[ab].cer.
Nota: Selezionare l'opzione Codificato Base 64 X.509 (.CER).
Passaggio 2. Esportare i certificati DFP da Router\Logger, PG e da tutti i server AW.
(i) Su un server AW, aprire un browser e passare ai server (Router, Logger o Rogger, PG) URL DFP: https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion.

(ii) Salvare il certificato nella cartella example c:\temp\certs e denominare il certificato dfp{svr}[ab].cer
Nota: Selezionare l'opzione Codificato Base 64 X.509 (.CER).
Passaggio 3. Importare i certificati IIS e DFP da Router\Logger, PG e AW nei server AW.
Comando per importare i certificati autofirmati di IIS nel server AW. Percorso per eseguire lo strumento Chiave: %CCE_JAVA_HOME%\bin:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\IIS{svr}[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts
Example:%CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\IISAWA.cer -alias AWA_IIS -keystore C:\icm\ssl\cacerts
Nota: Importare tutti i certificati server esportati in tutti i server AW.
Comando per importare i certificati autofirmati DFP nei server AW:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\dfp{svr}[ab].cer -alias {fqdn_of_server}_DFP -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\dfpAWA.cer -alias AWA_DFP -keystore C:\icm\ssl\cacerts
Nota: Importare tutti i certificati server esportati in tutti i server AW.
Riavviare il servizio Apache Tomcat sui server AW.
Passaggio 4. Importare il certificato IIS in Router\Logger e PG dai server AW.
Comando per importare i certificati autofirmati di IIS AW nei server Router\Logger e PG:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\IIS{svr}[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\IISAWA.cer -alias AWA_IIS -keystore C:\icm\ssl\cacerts
Nota: Importare tutti i certificati del server IIS AW esportati nei server Rogger e PG sui lati A e B.
Riavviare il servizio Apache Tomcat sui server Router\Logger e PG.
Sezione 2: Scambio di certificati tra le applicazioni della piattaforma VOS e il server AW
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1. Esportare i certificati del server applicazioni della piattaforma VOS.
Passaggio 2. Importare i certificati dell'applicazione della piattaforma VOS nel server AW.
Questo processo è applicabile ad applicazioni VOS quali:
- Finesse
- CUIC \ LD \ IDS
- Cloud Connect
Passaggio 1. Esportare i certificati del server applicazioni della piattaforma VOS.
(i) Passare alla pagina di amministrazione del sistema operativo Cisco Unified Communications: https://FQDN:8443/cmplatform.
(ii) Passare a Protezione > Gestione certificati e individuare il server applicazioni per il certificato.

(iii) Selezionare il certificato e fare clic su Download .PEM File per salvarlo in una cartella temporanea sul server AW.

Nota: Eseguire gli stessi passaggi per il sottoscrittore.
Passaggio 2. Importare l'applicazione della piattaforma VOS nel server AW.
Percorso per eseguire lo strumento Chiave: %CCE_JAVA_HOME%\bin
Comando per importare i certificati autofirmati:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\vosapplicationX.pem -alias {fqdn_of_VOS} -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\CUICPub.pem -alias CUICPub -keystore C:\icm\ssl\cacerts
Riavviare il servizio Apache Tomcat sui server AW.
Nota: Eseguire la stessa operazione su altri server AW.
Server CVP OAMP e server dei componenti CVP
Si tratta dei componenti da cui vengono esportati i certificati autofirmati e dei componenti in cui è necessario importare i certificati autofirmati.
i) server CVP OAMP: Il server richiede il certificato di
- Piattaforma Windows Certificato di Web Services Manager (WSM) dal server CVP e dai server di report.
- Piattaforma VOS: Cisco VB e Cloud Connect server.
(ii) Server CVP: Il server richiede il certificato di
- Piattaforma Windows Certificato WSM dal server OAMP.
- Piattaforma VOS: Cloud Connect server e Cisco VB server.
iii) server di reporting CVP: Il server richiede il certificato di
- Piattaforma Windows Certificato WSM dal server OAMP
(iv) Server VB Cisco: Il server richiede il certificato di
- Piattaforma Windows Certificato VXML da server CVP e certificato server chiamante da server CVP
- Piattaforma VOS: Server Cloud Connect
In queste tre sezioni vengono illustrati i passaggi necessari per scambiare in modo efficace i certificati autofirmati nell'ambiente CVP.
Sezione 1: Scambio di certificati tra il server CVP OAMP e il server CVP e i server di reporting
Sezione 2: Scambio di certificati tra il server CVP OAMP e le applicazioni della piattaforma VOS
Sezione 3: Scambio di certificati tra le applicazioni CVP Server e della piattaforma VOS
Sezione 1: Scambio di certificati tra il server CVP OAMP e il server CVP e i server di reporting
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1. Esportare il certificato WSM dal server CVP, dal server di reporting e dal server OAMP.
Passaggio 2. Importare i certificati WSM dal server CVP e dal server di report nel server OAMP.
Passaggio 3. Importare il certificato WSM del server OAMP CVP nei server CVP e di reporting.
Attenzione: Prima di iniziare, è necessario eseguire le operazioni seguenti:
1. Aprire una finestra di comando come amministratore.
2. Per la versione 12.6.2, per identificare la password del keystore, passare alla cartella %CVP_HOME%\bin ed eseguire il file DecryptKeystoreUtil.bat.
3. Per la versione 12.6.1, per identificare la password del keystore, eseguire il comando more %CVP_HOME%\conf\security.properties.
4. Questa password è necessaria per eseguire i comandi keytool.
5. Dalla directory %CVP_HOME%\conf\security\, eseguire il comando copy .keystore backup.keystore.
Passaggio 1. Esportare il certificato WSM da CVP Server, Reporting and OAMP Server.
(i) Esportare il certificato WSM da ciascun server CVP in una posizione temporanea e rinominare il certificato con il nome desiderato. È possibile rinominarlo come wsmX.crt. Sostituire X con il nome host del server. Ad esempio, wsmcsa.crt, wsmcsb.crt, wsmrepa.crt, wsmrepb.crt, wsmoamp.crt.
Comando per esportare i certificati autofirmati:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
(ii) Copiare il certificato dal percorso %CVP_HOME%\conf\security\wsm.crt da ciascun server e rinominarlo come wsmX.crt in base al tipo di server.
Passaggio 2. Importare i certificati WSM da CVP Server e Reporting Server in OAMP Server.
(i) Copiare ogni certificato WSM del server CVP e del server di report (wsmX.crt) nella directory %CVP_HOME%\conf\security del server OAMP.
ii) Importare i certificati con il comando:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmcsX.crt
(iii) Riavviare il server.
Passaggio 3. Importare il certificato WSM del server OAMP CVP nei server CVP e nei server di reporting.
(i) Copiare il certificato WSM del server OAMP (wsmoampX.crt) nella directory %CVP_HOME%\conf\security in tutti i server CVP e i server di reporting.
ii) Importare i certificati con il comando:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmoampX.crt
(iii) Riavviare i server.
Sezione 2: Scambio di certificati tra il server CVP OAMP e le applicazioni della piattaforma VOS
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1. Esportare il certificato applicazione dalla piattaforma VOS.
Passaggio 2. Importare il certificato applicazione VOS nel server OAMP.
Questo processo è applicabile ad applicazioni VOS quali:
Passaggio 1. Esportare il certificato applicazione dalla piattaforma VOS.
(i) Passare alla pagina di amministrazione del sistema operativo Cisco Unified Communications: https://FQDN:8443/cmplatform.
(ii) Selezionare Protezione > Gestione certificati e individuare i certificati del server principale dell'applicazione nella cartella tomcat-trust.

(iii) Selezionare il certificato e fare clic su scarica file .PEM per salvarlo in una cartella temporanea sul server OAMP.

Passaggio 2. Importare il certificato applicazione VOS nel server OAMP.
(i) Copiare il certificato VOS nella directory %CVP_HOME%\conf\security sul server OAMP.
ii) Importare i certificati con il comando:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_VOS} -file %CVP_HOME%\conf\security\VOS.pem
(ii) Riavviare il server.
Sezione 3: Scambio di certificati tra le applicazioni CVP Server e della piattaforma VOS
Questa operazione è facoltativa e consente di proteggere la comunicazione SIP tra CVP e altri componenti del Contact Center. Per ulteriori informazioni, consultare la guida alla configurazione del CVP: Guida alla configurazione di CVP - Sicurezza.
Integrazione servizio Web CVP CallStudio
Per informazioni dettagliate su come stabilire una comunicazione protetta per gli elementi Web Services Element e Rest_Client
Per ulteriori informazioni, fare riferimento al Manuale dell'utente per Cisco Unified CVP VXML Server e Cisco Unified Call Studio versione 12.6(2) - Integrazione dei servizi Web [Cisco Unified Customer Voice Portal] - Cisco
Informazioni correlate