UCCE 솔루션에서 자체 서명 인증서 교환
목차
소개
이 문서에서는 UCCE(Unified Contact Center Enterprise) 솔루션에서 자체 서명 인증서를 교환하는 방법에 대해 설명합니다.
기고자: Anuj Bhatia, Robert Rogier 및 Ramiro Amaya, Cisco TAC 엔지니어
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- UCCE 릴리스 12.5(1)
- CVP(Customer Voice Portal) 릴리스 12.5(1)
- Cisco VB(Virtualized Voice Browser)
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
- UCCE 12.5(1)
- CVP 12.5(1)
- Cisco VB 12.5
- OAMP(CVP Operations Console)
- NOAMP(New OAMP) CVP
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경
로거, 주변 장치 게이트웨이(PG), 관리 워크스테이션(AW), Finesse, Cisco CUIC(Unified Intelligent Center) 등과 같은 핵심 애플리케이션을 포함하는 새로운 기능의 UCCE 솔루션 컨피그레이션에서는 CCE(Contact Center Enterprise) 관리 페이지를 통해 수행됩니다.CVP, Cisco VB 및 게이트웨이와 같은 IVR(Interactive Voice Response) 애플리케이션의 경우 NOAMP는 새로운 기능의 컨피그레이션을 제어합니다.SRC(security-management-compliance)로 인해 CCE 12.5(1)에서 CCE 관리자 및 NOAMP에 대한 모든 통신은 보안 HTTP 프로토콜을 통해 엄격하게 수행됩니다.
자체 서명된 인증서 환경에서 이러한 인증서를 서버 간에 교환하는 경우 이러한 애플리케이션 간의 원활한 보안 통신을 위해서는 반드시 수행해야 합니다.다음 섹션에서는 자체 서명 인증서를 교환하는 데 필요한 단계를 자세히 설명합니다.
- CCE AW 서버 및 CCE 코어 애플리케이션 서버
- CVP OAMP 서버 및 CVP 구성 요소 서버
절차
CCE AW 서버 및 CCE 코어 애플리케이션 서버
자체 서명 인증서를 내보내는 구성 요소와 자체 서명 인증서를 가져와야 하는 구성 요소입니다.
CCE AW 서버:이 서버에는 다음 위치의 인증서가 필요합니다.
- Windows 플랫폼:라우터 및 로거(Rogger){A/B}, 주변 장치 게이트웨이(PG){A/B}, 모든 AW/ADS 및 이메일 및 채팅(ECE) 서버.
- VOS 플랫폼:Cisco CUCM(Unified Call Manager), Finesse, CUIC, LD(Live Data), IDS(Identity Server), Cloud Connect 및 인벤토리 데이터베이스의 일부인 기타 적용 가능한 서버
솔루션의 다른 AW 서버에도 동일하게 적용됩니다.
라우터 \ 로거 서버:이 서버에는 다음 위치의 인증서가 필요합니다.
- Windows 플랫폼:모든 AW 서버 IIS 인증서
CCE에 대해 자체 서명 인증서를 효과적으로 교환하는 데 필요한 단계는 이 섹션에서 구분됩니다.
섹션 1:라우터\로거, PG 및 AW 서버 간 인증서 교환
섹션 2:VOS 플랫폼 응용 프로그램과 AW 서버 간의 인증서 교환.
섹션 1:라우터\로거, PG 및 AW 서버 간 인증서 교환
이 교환을 성공적으로 완료하는 데 필요한 단계는 다음과 같습니다.
1단계. Router\Logger ,PG 및 모든 AW 서버에서 IIS 인증서를 내보냅니다.
2단계. Router\Logger 및 PG 서버에서 DFP(Diagnostic Framework Portico) 인증서를 내보냅니다.
3단계. IIS 및 DFP 인증서를 Router\Logger에서 PG로 AW 서버로 가져옵니다.
4단계. AW 서버에서 Router\Logger로 IIS 인증서를 가져옵니다.
(i) java 홈 경로를 파악하여 java keytool이 호스팅되는 위치를 확인합니다.Java 홈 경로를 찾는 방법에는 몇 가지가 있습니다.
옵션 1:CLI 명령:에코 %JAVA_HOME%
옵션 2:이미지에 표시된 대로 고급 시스템 설정을 통해 수동으로
(ii) C:\Program Files (x86)\Java\jre1.8.0_221\lib\security. 폴더에서 캐시 파일을 백업합니다. 다른 위치로 복사할 수 있습니다.
(iii) 명령을 실행하려면 명령 창을 관리자로 엽니다.
1단계. Router\Logger, PG 및 모든 AW 서버에서 IIS 인증서를 내보냅니다.
(i) 브라우저에서 AW 서버에서 서버(로거, PG, 기타 AW 서버) URL로 이동합니다.https://{servername}.
(ii) c:\temp\certs and name the cert as ICM{svr}[ab].cer와 같은 임시 폴더에 인증서를 저장합니다.
2단계. Router\Logger 및 PG 서버에서 DFP(Diagnostic Framework Portico) 인증서를 내보냅니다.
(i) AW 서버에서 브라우저를 열고 서버(라우터, 로거 또는 로거, PG) DFP URL로 이동합니다.https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion
(ii) c:\temp\certs and name the cert as dfp{svr}[ab].cer 폴더에 인증서를 저장합니다.
3단계. Rogger, PG에서 AW 서버로 IIS 및 DFP 인증서를 가져옵니다.
IIS 자체 서명 인증서를 AW 서버로 가져오는 명령입니다.키 도구를 실행할 경로:C:\Program Files (x86)\Java\jre1.8.0_221\bin:
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer
DFP 자체 서명 인증서를 AW 서버로 가져오는 명령:
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_DFP -file c:\temp\certs\ dfp{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_DFP -file c:\temp\certs\dfprgra.cer
AW 서버에서 Apache Tomcat 서비스를 다시 시작합니다.
4단계. AW 서버에서 Router\Logger로 IIS 인증서를 가져옵니다.
IIS 자체 서명 인증서를 Rogger 서버로 가져오는 명령:
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer
Rogger 서버에서 Apache Tomcat 서비스를 다시 시작합니다.
섹션 2:VOS 플랫폼 응용 프로그램과 AW 서버 간 인증서 교환.
이 교환을 성공적으로 완료하는 데 필요한 단계는 다음과 같습니다.
1단계. VOS 플랫폼 애플리케이션 서버 인증서를 내보냅니다.
2단계. VOS 플랫폼 응용 프로그램 인증서를 AW 서버로 가져옵니다.
이 프로세스는 다음과 같은 모든 VOS 애플리케이션에 적용됩니다.
- CUCM
- Finesse
- CUIC \ LD \ IDS
- 클라우드 연결
1단계. VOS 플랫폼 애플리케이션 서버 인증서를 내보냅니다.
(i) Cisco Unified Communications 운영 체제 관리 페이지로 이동합니다.https://FQDN:8443/cmplatform
(ii) Security(보안) > Certificate Management(인증서 관리)로 이동하고 tomcat-trust 폴더에서 애플리케이션 기본 서버 인증서를 찾습니다.
(iii) 인증서를 선택하고 download .PEM file을 클릭하여 AW 서버의 임시 폴더에 저장합니다.
2단계. VOS 플랫폼 응용 프로그램을 AW 서버로 가져옵니다.
키 도구를 실행할 경로:C:\Program Files (x86)\Java\jre1.8.0_221\bin
자체 서명 인증서를 가져오는 명령:
keytool -keystore C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_vos} -file c:\temp\certs\vosapplicationX.pem
AW 서버에서 Apache Tomcat 서비스를 다시 시작합니다.
CVP OAMP 서버 및 CVP 구성 요소 서버
자체 서명 인증서를 내보내는 구성 요소와 자체 서명 인증서를 가져와야 하는 구성 요소입니다.
(i) CVP OAMP 서버:이 서버에는
- Windows 플랫폼:CVP 서버 및 보고 서버의 WSM(Web Services Manager) 인증서
- VOS 플랫폼:Cisco VB for Customer Virtual Agent (CVA) 통합, Cloud Connect server for Webex Experience Management (WXM) Integration.
(ii) CVP 서버:이 서버에는
- Windows 플랫폼:OAMP 서버의 WSM 인증서
- VOS 플랫폼:WXM 통합을 위한 Cloud Connect 서버, 보안 SIP 및 HTTP 통신을 위한 Cisco VB 서버.
(iii) CVP 보고 서버:이 서버에는
- Windows 플랫폼:OAMP 서버의 WSM 인증서
(iv) Cisco VVB 서버:이 서버에는
- Windows 플랫폼:CVP 서버 VXML(보안 HTTP), CVP 서버 호출 서버(보안 SIP)
CVP 환경에서 자체 서명 인증서를 효과적으로 교환하는 데 필요한 단계는 이 세 섹션을 통해 설명합니다.
섹션 1:CVP OAMP 서버와 CVP 서버 및 보고 서버 간 인증서 교환
섹션 2:CVP OAMP 서버와 VOS 플랫폼 애플리케이션 간의 인증서 교환.
섹션 3:CVP 서버와 VVB 서버 간 인증서 교환
섹션 1:CVP OAMP 서버와 CVP 서버 및 보고 서버 간 인증서 교환
이 교환을 성공적으로 완료하는 데 필요한 단계는 다음과 같습니다.
1단계. CVP 서버, 보고 및 OAMP 서버에서 WSM 인증서를 내보냅니다.
2단계. CVP 서버 및 보고 서버에서 OAMP 서버로 WSM 인증서를 가져옵니다.
3단계. CVP OAMP 서버 WSM 인증서를 CVP 서버 및 보고 서버로 가져옵니다.
1단계. CVP 서버, 보고 및 OAMP 서버에서 WSM 인증서를 내보냅니다.
(i) 각 CVP 서버에서 임시 위치로 WSM 인증서를 내보내고 원하는 이름으로 인증서 이름을 바꿉니다.wsmX.crt로 이름을 바꿀 수 있습니다.X를 고유한 숫자 또는 문자로 바꿉니다.예: wsmcsa.crt, wsmcsb.crt , wsmrepa.crt , wsmreplb.crt , wsmoamp.crt
자체 서명 인증서를 내보내는 명령:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
(ii) 인증서를 각 서버의 경로 C:\Cisco\CVP\conf\security\wsm.crt에서 복사하고 서버 유형에 따라 wsmX.crt로 이름을 바꿉니다.
2단계. CVP 서버 및 보고 서버에서 OAMP 서버로 WSM 인증서를 가져옵니다.
(i) 각 CVP 서버 및 보고 서버 WSM 인증서(wsmX.crt)를 C:\Cisco\CVP\conf\security directory on the OAMP server폴더에 복사합니다.
(ii) 다음 명령을 사용하여 인증서를 가져옵니다.
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file c:\cisco\cvp\conf\security\wsmcsX.crt
(iii) 서버를 재부팅합니다.
3단계. CVP OAMP 서버 WSM 인증서를 CVP 서버 및 보고 서버로 가져옵니다.
(i) OAMP 서버 WSM 인증서(wsmoampX.crt)를 C:\Cisco\CVP\conf\security directory on all the CVP Servers and Reporting servers폴더에 복사합니다.
(ii) 명령을 사용하여 인증서를 가져옵니다.
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file c:\cisco\cvp\conf\security\wsmoampX.crt
(iii) 서버를 재부팅합니다.
섹션 2:CVP OAMP 서버와 VOS 플랫폼 애플리케이션 간의 인증서 교환.
이 교환을 성공적으로 완료하는 데 필요한 단계는 다음과 같습니다.
1단계. VOS 플랫폼에서 애플리케이션 인증서를 내보냅니다.
2단계. OAMP 서버로 VOS 애플리케이션 인증서를 가져옵니다.
1단계. VOS 플랫폼에서 애플리케이션 인증서를 내보냅니다.
(i) Cisco Unified Communications 운영 체제 관리 페이지로 이동합니다.https://FQDN:8443/cmplatform
(ii) Security(보안) > Certificate Management(인증서 관리)로 이동하고 tomcat-trust 폴더에서 애플리케이션 기본 서버 인증서를 찾습니다.
(iii) 인증서를 선택하고 download .PEM file을 클릭하여 OAMP 서버의 임시 폴더에 저장합니다.
2단계. OAMP 서버로 VOS 애플리케이션 인증서를 가져옵니다.
(i) C VB 인증서를 C:\Cisco\CVP\conf\security directory on the OAMP server폴더로 복사합니다.
(ii) 명령을 사용하여 인증서를 가져옵니다.
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_vos} -file c:\cisco\cvp\conf\security\vvb.pem
(ii) 서버를 재부팅합니다.
섹션 3:CVP 서버와 CVB 서버 간 인증서 교환
이는 CVB와 CVP 서버 간의 SIP 및 HTTP 통신을 보호하기 위한 선택적 단계입니다.이 교환을 성공적으로 완료하는 데 필요한 단계는 다음과 같습니다.
1단계. VB 애플리케이션 인증서를 VB 플랫폼에서 내보냅니다.
2단계. CVP 서버로 vos 애플리케이션 인증서를 가져옵니다.
3단계:CVP 서버에서 callserver 및 vxml 인증서를 내보냅니다.
4단계:callserver 및 vxml 인증서를 CVB 서버로 가져옵니다.
1단계. vos 플랫폼에서 애플리케이션 인증서를 내보냅니다.
(i) CVB 서버의 경우 섹션 2의 1단계와 동일한 단계를 따릅니다.
2단계. VOS 애플리케이션 인증서를 CVP 서버로 가져옵니다.
(i) 모든 CVP 서버에서 섹션 2의 2단계와 동일한 단계를 수행합니다.
3단계:CVP 서버에서 callserver 및 vxml 인증서 내보내기
(i) 각 CVP 서버에서 임시 위치로 callserver 및 vxml 인증서를 내보내고 원하는 이름으로 인증서의 이름을 바꿉니다.이름을 callserverX.crt \ vxmlX.crt Replace X는 고유한 숫자 또는 문자로 바꿀 수 있습니다.
자체 서명 인증서를 내보내는 명령:
Callserver certificate : %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias callserver_certificate -file %CVP_HOME%\conf\security\callserverX.crt Vxml certificate : %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias vxml_certificate -file %CVP_HOME%\conf\security\vxmlX.crt
(ii) 인증서 유형에 따라 각 서버의 C:\Cisco\CVP\conf\security\wsm.crt 경로에서 인증서를 복사하고 callserverX.crt \ vxmlX.crt로 이름을 바꿉니다.
4단계:callserver 및 vxml 인증서를 CVB 서버로 가져옵니다.
(i) Cisco Unified Communications 운영 체제 관리 페이지로 이동합니다.https://FQDN:8443/cmplatform
(ii) Security(보안) > Certificate Management(인증서 관리)로 이동하고 Upload Certificate/Certificate chain(인증서/인증서 체인 업로드) 옵션을 선택합니다.
(iii) 업로드 인증서/인증서 체인에서 tomcat-trust in certificate purpose 필드를 선택하고 3단계에서 수행한 대로 내보낸 인증서를 업로드합니다.
(iv) 서버를 재부팅합니다.
피드백