PCCE 12.6ソリューションでの自己署名証明書の交換
内容
はじめに
このドキュメントでは、Cisco Packaged Contact Center(PCCE)Enterprise(PCCE)ソリューションで自己署名証明書を交換する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- PCCEリリース12.6(2)
- Customer Voice Portal(CVP)リリース12.6(2)
- Virtualized Voice Browser(VVB)12.6(2)
- 管理ワークステーション(AW)/管理日付サーバ(AW/ADS)12.6(2)
- Cisco Unified Intelligenceサーバ(CUIC)
- Customer Collaboration Platform(CCP)12.6(2)
- エンタープライズチャットおよび電子メール(ECE)12.6(2)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- PCCE 12.6(2)
- CVP 12.6(2)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景
12.xのPCCEソリューションでは、すべてのデバイスがプリンシパルAWサーバでホストされるSingle Pane of Glass(SPOG)によって制御されます。PCCE 12.5(1)バージョンのsecurity-management-compliance(SRC)により、ソリューション内のSPOGと他のサーバ間のすべての通信は、厳密にセキュアHTTPプロトコルを介して行われます。
証明書は、SPOGとその他のデバイス間でシームレスで安全な通信を実現するために使用されます。自己署名証明書の環境では、サーバ間の証明書交換が必須です。
手順
これらは、自己署名証明書のエクスポート元のコンポーネントと、自己署名証明書のインポート先のコンポーネントです。
(i)すべてのAW/ADSサーバ:これらのサーバには次の証明書が必要です。
- Windowsプラットフォーム:
- ICM:Router and Logger(Rogger){A/B}、ペリフェラルゲートウェイ(PG){A/B}、すべてのAW/ADS、およびECEサーバ。
-
- CVP:CVPサーバ、CVPレポートサーバ。
- CVP:CVPサーバ、CVPレポートサーバ。
- VOSプラットフォーム:Cloud Connect、Cisco Virtualized Voice Browser(VVB)、Cisco Unified Communication Manager(CUCM)、Finesse、Cisco Unified Intelligence Center(CUIC)、ライブデータ(LD)、アイデンティティサーバ(IDS)、およびその他の該当するサーバ。
(ii) Router \ Logger Servers:これらのサーバには次の証明書が必要です。
- Windowsプラットフォーム:すべてのAW/ADSサーバIIS証明書。
(iii) PGサーバ:これらのサーバには次の証明書が必要です。
- Windowsプラットフォーム:すべてのAW/ADSサーバIIS証明書。
- VOSプラットフォーム:CUCMパブリッシャ(CUCM PGサーバのみ)、Cloud ConnectおよびCCP(MR PGサーバのみ)。
(iv) CVPサーバ:このサーバには、次の証明書が必要です。
- Windowsプラットフォーム:すべてのADSサーバーのIIS証明書
- VOSプラットフォーム:Cloud Connectサーバ、VVBサーバ
(v) CVPレポーティングサーバ:このサーバには、次のURLの証明書が必要です。
- Windowsプラットフォーム:すべてのADSサーバーのIIS証明書
(vi) VVBサーバ:このサーバには次の証明書が必要です。
- Windowsプラットフォーム:すべてのADSサーバのIIS証明書、CVPサーバからのVXML証明書、およびCVPサーバからのCallserver証明書
- VOSプラットフォーム:Cloud Connectサーバ。
ソリューション内の自己署名証明書を効果的に交換するために必要な手順は、3つのセクションに分かれています。
セクション1:CVPサーバとADSサーバ間での証明書の交換。
セクション2:VOSプラットフォームアプリケーションとADSサーバ間での証明書の交換。
セクション3:Roggers、PG、およびADSサーバ間での証明書の交換。
セクション1:CVPサーバとADSサーバ間での証明書の交換
この交換を正常に完了するために必要な手順は次のとおりです。
ステップ 1:CVPサーバWSM証明書のエクスポート
ステップ 2:CVPサーバのWSM証明書をADSサーバにインポートします。
ステップ 3:ADSサーバー証明書をエクスポートします。
ステップ 4:ADSサーバをCVPサーバおよびCVPレポートサーバにインポートします。
ステップ 1:CVPサーバ証明書のエクスポート
証明書をCVPサーバからエクスポートする前に、サーバのFQDNを使用して証明書を再生成する必要があります。そうしないと、Smart Licensing、Virtual Agent Voice(VAV)、およびCVPとSPOGの同期などの一部の機能で問題が発生する場合があります。
CVPサーバで証明書を再生成するには、次の手順を実行します。
(i)サーバ内の証明書の一覧表示
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -list
二旧自己署名証明書の削除
CVPサーバ:自己署名証明書を削除するコマンド:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias vxml_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
CVP Reportingサーバ:自己署名証明書を削除するコマンド:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
(iii)サーバのFQDNを使用して新しい自己署名証明書を生成する
CVPサーバ
WSMの自己署名証明書を生成するコマンド:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
標準的な有効性の入力を次に示します。
|
1年 |
365 |
|
二年 |
730 |
|
三年 |
1095 |
|
4年 |
1460 |
|
五年 |
1895 |
|
十年 |
3650 |
サーバのFQDNを指定します。質問の名前は名前です。
次の質問に回答してください。
組織ユニットの名前は何ですか。
[不明]: <OUを指定>
組織の名前は何ですか。
[不明]: <組織の名前を指定>
市区町村の名前は何ですか。
[不明]: <市区町村の名前を指定>
都道府県の名前を入力してください。
[不明]: <都道府県の名前を指定>
このユニットの2文字の国コードは何ですか?
[不明]: <2文字の国番号を指定>
次の2つの入力にyesを指定します。
vxml_certificateとcallserver_certificateに対して同じ手順を実行します。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
CVPコールサーバをリブートします。
CVP Reportingサーバ
WSMの自己署名証明書を生成するコマンド:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
クエリ用のサーバのFQDN(ファーストネームとラストネームは何ですか。)を指定し、CVPサーバで行った場合と同じ手順で続行します。
callserver_certificateに対して同じ手順を実行します。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
レポートサーバをリブートします。
(iv) CVPサーバおよびレポートサーバからのwsm_Certificateのエクスポート
a)各CVPサーバから一時的な場所にWSM証明書をエクスポートし、目的の名前を付けて証明書の名前を変更します。この名前はwsmcsX.crtに変更できます。「X」はサーバのホスト名で置き換えます。たとえば、wsmcsa.crt、wsmcsb.crt、wsmrepa.crt、wsmrepb.crtなどです。
自己署名証明書をエクスポートするコマンド:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
b)パス%CVP_HOME%\conf\security\wsm.crtから証明書をコピーして、名前をwsmcsX.crtに変更し、ADSサーバ上の一時フォルダに移動します。
ステップ 2:CVPサーバのWSM証明書のADSサーバへのインポート
ADSサーバーに証明書をインポートするには、Javaツールセットの一部であるキーツールを使用する必要があります。このツールがホストされているJavaホームパスを見つける方法がいくつかあります。
(i) CLIコマンド> echo %CCE_JAVA_HOME%
Javaホームパス
(ii)図に示すように、高度なシステム設定を手動で実行します。
環境変数
PCCE 12.6では、OpenJDKのデフォルトパスはC:\Program Files (x86)\OpenJDK\jre-8.0.272.10-hotspot\binです。
自己署名証明書をインポートするコマンド:
cd %CCE_JAVA_HOME%\bin
keytool.exe -import -file C:\Temp\certs\wsmcsX.crt -alias {fqdn_of_CVP} -keystore {ICM install directory}\ssl\cacerts
(iii) ADSサーバーでApache Tomcatサービスを再起動します。
ステップ 3:ADSサーバー証明書のエクスポート
ADS証明書をエクスポートする手順は次のとおりです。
(i) ADSサーバで、ブラウザからサーバURL https://<サーバ名>に移動します。
(ii)証明書を一時フォルダ(c:\temp\certs など)に保存し、証明書にADS<svr>[ab].cerという名前を付けます。
ADS証明書のエクスポート
ステップ 4:CVPサーバおよびレポートサーバへのADSサーバ証明書のインポート
(i)証明書をディレクトリ%CVP_HOME%\conf\securityにあるCVPサーバおよびCVPレポートサーバにコピーします。
(ii) CVPサーバおよびCVPレポーティングサーバに証明書をインポートします。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias {fqdn_of_ads} -file %CVP_HOME%\conf\security\ADS{svr}[ab].cer他のADSサーバーの証明書についても同じ手順を実行します。
(iii) CVPサーバとレポートサーバの再起動
セクション2:VOSプラットフォームアプリケーションとADSサーバ間の証明書の交換
この交換を正常に完了するために必要な手順は次のとおりです。
ステップ 1:VOSプラットフォームアプリケーションサーバ証明書のエクスポート
ステップ 2:VOSプラットフォームアプリケーション証明書をADSサーバにインポートします。
ステップ 3:CUCM PGサーバへのCUCMプラットフォームアプリケーション証明書のインポート
このプロセスは、次のようなすべてのVOSアプリケーションに適用できます。
- CUCM
- VVB
- Finesse
- CUIC \ LD \ IDS
- Cloud Connect
ステップ 1:VOSプラットフォームアプリケーションサーバ証明書のエクスポート
(i) Cisco Unified Communications Operating System Administrationページ(https://FQDN:8443/cmplatform)に移動します。
(ii) Security > Certificate Managementの順に移動し、アプリケーションサーバtomcat証明書を見つけます。
(iii)証明書を選択し、「download .PEM file」をクリックしてADSサーバの一時フォルダに保存します。
ステップ 2:VOSプラットフォームアプリケーション証明書のADSサーバへのインポート
キーツールを実行するパス: %CCE_JAVA_HOME%\bin
自己署名証明書をインポートするコマンド:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\vosapplicationX.cer -alias {fqdn_of_VOS>} -keystore {ICM install directory}\ssl\cacerts
ADSサーバでApache Tomcatサービスを再起動します。
ステップ 3:CUCM PGサーバへのCUCMプラットフォームアプリケーション証明書のインポート
キーツールを実行するパス: %CCE_JAVA_HOME%\bin
自己署名証明書をインポートするコマンド:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\cucmapplicationX.cer -alias {fqdn_of_cucm>} -keystore {ICM install directory}\ssl\cacerts
PGサーバでApache Tomcatサービスを再起動します。
セクション3:Rogger、PG、およびADSサーバ間での証明書の交換
この交換を正常に完了するために必要な手順は次のとおりです。
ステップ 1:RoggerサーバとPGサーバからのIIS証明書のエクスポート
ステップ 2:RoggerサーバとPGサーバからのDFP証明書のエクスポート
ステップ 3:ADSサーバーへの証明書のインポート
ステップ 4:RoggerサーバとPGサーバへのADS証明書のインポート
ステップ 1:RoggerサーバとPGサーバからのIIS証明書のエクスポート
(i)ブラウザからADSサーバで、サーバ(Rogger、PG)のURL:https://{servername}に移動します。
(ii)証明書を一時フォルダ(c:\temp\certs など)に保存し、証明書にICM<svr>[ab].cerという名前を付けます。
IIS証明書のエクスポート
ステップ 2:RoggerサーバとPGサーバからのDFP証明書のエクスポート
(i)ブラウザからADSサーバで、サーバ(Rogger、PG)のDFP url:https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersionに移動します。
(ii)証明書をフォルダexample c:\temp\certsに保存し、証明書にdfp{svr}[ab].cerという名前を付けます
DFP証明書のエクスポート
ステップ 3:ADSサーバーへの証明書のインポート
IIS自己署名証明書をADSサーバにインポートするコマンド。キーツールを実行するパス: %CCE_JAVA_HOME%\bin
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\temp\certs\ICM<svr>[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts診断のための自己署名証明書をADSサーバーにインポートするコマンド
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\dfp<svr>[ab].cer -alias {fqdn_of_server}_DFP -keystore {ICM install directory}\ssl\cacerts
ADSサーバでApache Tomcatサービスを再起動します。
ステップ 4:RoggerサーバとPGサーバへのADS証明書のインポート
IIS自己署名証明書をRoggerおよびPGサーバにインポートするコマンド。キーツールを実行するパス: %CCE_JAVA_HOME%\bin
%CCE_JAVA_HOME%\bin\keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ICM{svr}[ab].cerRoggerサーバとPGサーバでApache Tomcatサービスを再起動します。
セクション4:CVP CallStudio Webサービスの統合
Web Services ElementおよびRest_Client要素のセキュアな通信を確立する方法の詳細については、
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
31-Jul-2023
|
初版 |
フィードバック