De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u zelfondertekende certificaten kunt uitwisselen in Cisco Packaged Contact Center Enterprise (PCCE)-oplossing.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende softwareversies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
In PCCE-oplossing van 12.x worden alle apparaten bestuurd via Single Pane of Glass (SPOG), dat wordt gehost in de belangrijkste AW-server. Vanwege de naleving van security-management-compliance (SRC) van PCE 12.5(1) versie wordt alle communicatie tussen SPOG en andere servers in de oplossing strikt gedaan via een beveiligd HTTP-protocol.
Certificaten worden gebruikt om naadloze veilige communicatie tussen SPOG en de andere apparaten te realiseren. In een zelf-ondertekende certificaatomgeving is de uitwisseling van certificaten tussen de servers een must.
Dit zijn de onderdelen waaruit zelfondertekende certificaten worden uitgevoerd en onderdelen waarin zelfondertekende certificaten moeten worden ingevoerd.
(i) Alle AW/ADS-servers: Voor deze servers is een certificaat vereist van:
Opmerking: IIS en Diagnostic Framework Portico (DFP) zijn nodig.
Opmerking: Web Service Management (WSM) certificaat van alle servers is nodig. Certificaten moeten worden geleverd met de FQDN-naam (Full Qualified Domain Name).
(ii) Router \ Logger Servers: Voor deze servers is een certificaat vereist van:
iii) PG-servers: Voor deze servers is een certificaat vereist van:
Opmerking: Dit is nodig om de JTAPI-client van de CUCM-server te downloaden.
(iv) CVP-servers: Voor deze servers is een certificaat vereist van
v) CVP-rapportageserver: Deze server vereist een certificaat van:
vi) VVB-servers: Deze server vereist een certificaat van:
De stappen die nodig zijn om de zelfondertekende certificaten effectief te kunnen uitwisselen in de oplossing zijn verdeeld in drie secties.
Afdeling 1: Certificaatuitwisseling tussen CVP-servers en ADS-servers.
Afdeling 2: Certificaatuitwisseling tussen VOS-platformtoepassingen en ADS-server.
Afdeling 3: Certificaatuitwisseling tussen Roggers, PG's en ADS Server.
De stappen die nodig zijn om deze uitwisseling met succes te voltooien zijn:
Stap 1. WSM-certificaten voor CVP-servers exporteren.
Stap 2. Voer het WSM-certificaat van CVP-servers in naar ADS-servers.
Stap 3. Certificaat van ADSL-server exporteren.
Stap 4. Importeer ADS-server naar CVP-servers en CVP-rapportageserver.
Voordat u de certificaten van de CVP-servers exporteert, moet u de certificaten regenereren met de FQDN van de server, anders kunnen weinig functies zoals Smart Licensing, Virtual Agent Voice (VAV) en de CVP synchronisatie met SPOG problemen ervaren.
Voorzichtig: Voordat u begint, moet u het volgende doen:
1. Open een opdrachtvenster als beheerder.
2. Voor 12.6.2, om het keystore wachtwoord te identificeren, ga naar de %CVP_HOME%\bin map en voer het bestand DecryptKeystoreUtil.bat uit.
3. Voor 12.6.1, om het keystore wachtwoord te identificeren, voer de opdracht uit, meer %CVP_HOME%\conf\security.Properties.
4. U hebt dit wachtwoord nodig bij het uitvoeren van de opdrachten voor het gereedschap.
5. Voer vanuit de map %CVP_HOME%\conf\security\ de opdracht uit en kopieer .keystore backup.keystore.
Opmerking: U kunt de opdrachten in dit document stroomlijnen met de parameter keytool - storepass. Geef voor alle CVP-servers het wachtwoord op dat u hebt ingesteld voor het gereedschap. Voor de ADS-servers is het standaardwachtwoord: verandering
Voer de volgende stappen uit om het certificaat op de CVP-servers te regenereren:
(i) Een lijst van de certificaten in de server
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -list
Opmerking: De CVP-servers hebben deze zelfondertekende certificaten: wsm_certificate, vxml_certificate, callserver_certificate. Als u parameter -v van het sleutelgereedschap gebruikt, kunt u meer gedetailleerde informatie van elk certificaat zien. Daarnaast kunt u het symbool ">" toevoegen aan het einde van de opdracht keytool.exe lijst om de uitvoer naar een tekstbestand te verzenden, bijvoorbeeld: > test.txt
ii) de oude zelfondertekende certificaten te schrappen;
CVP-servers: Opdrachten om de zelf-ondertekende certificaten te verwijderen:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias vxml_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
CVP-rapporteringsservers: Opdrachten om de zelf-ondertekende certificaten te verwijderen:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
Opmerking: CVP Rapporterende servers hebben deze zelf-ondertekende certificaten: wsm_certificate, callserver_certificate.
(iii) Genereert de nieuwe zelfondertekende certificaten met de FQDN van de server
CVP-servers
Opdracht om het zelfondertekende certificaat voor WSM te genereren:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
Opmerking: De certificaten worden standaard gedurende twee jaar gegenereerd. Gebruik -validiteit XXXX om de vervaldatum vast te stellen wanneer certificaten worden geregenereerd, anders zijn certificaten 90 dagen geldig en moeten vóór deze tijd door een CA worden ondertekend. Voor de meeste van deze certificaten moet 3-5 jaar een redelijke valideringstermijn zijn.
Hier zijn enkele standaard validiteitsinput:
Eén jaar |
365 |
Twee jaar |
730 |
Drie jaar |
1095 |
Vier jaar |
1460 |
Vijf jaar |
1895 |
Tien jaar |
3650 |
Voorzichtig: Vanaf 12.5 moeten certificaten SHA 256, Key Size 2048 en encryptie-algoritme RSA zijn, deze parameters gebruiken om deze waarden in te stellen: -keyalg RSA en -keysize 2048. Het is belangrijk dat de CVP keystore commando's de -storetype JCEKS parameter bevatten. Als dit niet wordt gedaan, kan het certificaat, de sleutel, of slechter de keystore beschadigd raken.
Specificeer de FQDN van de server, op de vraag wat is uw eerste en achternaam?
Voltooi deze andere vragen:
Wat is de naam van uw organisatorische eenheid?
[Onbekend]: <specificeer OU>
Wat is de naam van uw organisatie?
[Onbekend]: <geef de naam van de org op>
Wat is de naam van uw stad of plaats?
[Onbekend]: <naam van de stad/locatie opgeven>
Wat is de naam van uw staat of provincie?
[Onbekend]: <geef de naam van de staat/provincie op>
Wat is de tweeletterige landcode voor deze unit?
[Onbekend]: <landcode van twee letters specificeren>
Specificeer ja voor de volgende twee ingangen.
Voer dezelfde stappen uit voor vxml_certificate en callserver_certificate:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
Start de CVP gespreksserver opnieuw op.
CVP-rapportageservers
Opdracht om de zelfondertekende certificaten voor WSM te genereren:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
Specificeer FQDN van de server voor de vraag wat uw eerste en familienaam is? en verder te gaan met dezelfde stappen als bij CVP-servers.
Voer dezelfde stappen uit voor callserver_certificate:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
Start de Reporting servers opnieuw op.
(iv) Wsm_Certificate exporteren van CVP- en rapportageservers
a) Exporteer WSM-certificaat van elke CVP-server naar een tijdelijke locatie en hernoem het certificaat met een gewenste naam. U kunt de naam veranderen in wsmcsX.crt. Vervang "X" door de hostnaam van de server. Bijvoorbeeld wsmcsa.crt, wsmcsb.crt, wsmrepa.crt, wsmrepb.crt.
Opdracht om de zelfondertekende certificaten te exporteren:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
b) Kopieer het certificaat van het pad %CVP_HOME%\conf\security\wsm.crt, hernoem het naar wsmcsX.crt en verplaats het naar een tijdelijke map op de ADS server.
Om het certificaat in ADS server te importeren, moet u de keytool gebruiken die deel uitmaakt van de java-toolset. Er zijn een paar manieren waarop u de java home pad kunt vinden waar deze tool wordt gehost.
(i) CLI-opdracht > echo %CCE_JAVA_HOME%
startpunt java
(ii) handmatig via geavanceerde systeeminstelling, zoals in de afbeelding wordt getoond.
Omgevingsvariabelen
Op PCE 12.6 is het standaardpad van OpenJDK C:\Program Files (x86)\OpenJDK\jre-8.0.272.10-hotspot\bin
Opdrachten om de zelf ondertekende certificaten te importeren:
cd %CCE_JAVA_HOME%\bin
keytool.exe -import -file C:\Temp\certs\wsmcsX.crt -alias {fqdn_of_CVP} -keystore {ICM install directory}\ssl\cacerts
Opmerking: Herhaal de opdrachten voor elke CVP in de implementatie en voer dezelfde taak uit op andere ADS-servers
iii) Start de Apache Tomcat-service op de ADS-servers opnieuw.
Hier zijn de stappen om het ADS certificaat uit te voeren:
(i) Op ADS server van een browser, navigeer aan de server url: https://<servername>.
(ii) Het certificaat opslaan in een tijdelijke map, bijvoorbeeld: c:\temp\certs en noem het certificaat aan als ADS<svr>[ab].cer.
ADS-uitvoercertificaten
Opmerking: Selecteer de optie Base-64 encoded X.509 (.CER).
(i) Kopieer het certificaat naar CVP-servers en CVP-rapportageserver in de map %CVP_HOME%\conf\security.
(ii) Importeer het certificaat naar CVP-servers en CVP-rapportageserver.
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias {fqdn_of_ads} -file %CVP_HOME%\conf\security\ADS{svr}[ab].cer
Voer dezelfde stappen uit voor andere ADS-servercertificaten.
(iii) Start de CVP-servers en de rapportageserver opnieuw.
De stappen die nodig zijn om deze uitwisseling met succes te voltooien zijn:
Stap 1. Exporteren van VOS-platform-toepassingsservercertificaten.
Stap 2. Importeer VOS-platformtoepassingscertificaten naar ADS-server.
Stap 3. Importeer CUCM Platform Application Certificates naar CUCM PG Servers.
Dit proces is van toepassing op alle VOS-toepassingen, zoals:
(i) Navigeer naar de beheerpagina voor Cisco Unified Communications Operating System: https://FQDN:8443/cmplatform.
(ii) Navigeren naar Beveiliging > Certificaatbeheer en de applicatieserver vinden om het certificaat op te halen.
(iii) Selecteer het certificaat en klik op download .PEM bestand om het op te slaan in een tijdelijke map op de ADS server.
Opmerking: Voer dezelfde stappen uit voor de abonnee.
Pad om de Key tool uit te voeren: %CCE_JAVA_HOME%\bin
Opdrachten om de zelf ondertekende certificaten te importeren:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\vosapplicationX.cer -alias {fqdn_of_VOS>} -keystore {ICM install directory}\ssl\cacerts
Start de Apache Tomcat service op de ADS servers.
Opmerking: Voer dezelfde taak uit op andere ADS-servers
Pad om de Key tool uit te voeren: %CCE_JAVA_HOME%\bin
Opdrachten om de zelf ondertekende certificaten te importeren:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\cucmapplicationX.cer -alias {fqdn_of_cucm>} -keystore {ICM install directory}\ssl\cacerts
Start de Apache Tomcat service op de PG servers.
Opmerking: Voer dezelfde taak uit op andere CUCM PG-servers
De stappen die nodig zijn om deze uitwisseling met succes te voltooien zijn:
Stap 1. IIS-certificaat exporteren van Rogger- en PG-servers
Stap 2. DFP-certificaat exporteren van Rogger- en PG-servers
Stap 3. Certificaten importeren in ADS-servers
Stap 4. Importeer ADS-certificaat in Rogger- en PG-servers
(i) Op ADS server van een browser, navigeer aan de servers (Roggers, PG) url: https://{servername}
(ii) Het certificaat opslaan in een tijdelijke map, bijvoorbeeld c:\temp\certs en de cert een ICM<svr>[ab].cer noemen
IIS-certificaat voor uitvoer
Opmerking: Selecteer de optie Base-64 encoded X.509 (.CER).
(i) Op ADS server van een browser, navigeer aan de servers (Roggers, PGs) DFP url: https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion
(ii) Sla het certificaat op in mappenvoorbeeld c:\temp\certs en noem de cert als dfp{svr}[ab].cer
DFP-certificaat exporteren
Opmerking: Selecteer de optie Base-64 encoded X.509 (.CER).
Opdracht om de IIS zelfondertekende certificaten te importeren in ADS server. Het pad om het gereedschap Sleutel uit te voeren: %CE_JAVA_HOME%\bin
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\temp\certs\ICM<svr>[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts
Opmerking: Importeer alle servercertificaten die geëxporteerd zijn naar alle ADS-servers.
Opdracht om de diagnostische zelfondertekende certificaten te importeren in ADS-server
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\dfp<svr>[ab].cer -alias {fqdn_of_server}_DFP -keystore {ICM install directory}\ssl\cacerts
Opmerking: Importeer alle servercertificaten die geëxporteerd zijn naar alle ADS-servers.
Start de Apache Tomcat service op de ADS servers.
Opdracht om de IIS zelfondertekende certificaten in Rogger en PG servers te importeren. Het pad om het gereedschap Sleutel uit te voeren: %CE_JAVA_HOME%\bin.
%CCE_JAVA_HOME%\bin\keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ICM{svr}[ab].cer
Opmerking: Importeer alle ADS server IIS-certificaten die worden geëxporteerd naar alle Rogger- en PG-servers.
Start de Apache Tomcat service op de Rogger en PG servers.
Voor gedetailleerde informatie over hoe u een beveiligde communicatie kunt opzetten voor Web Services Element en Rest_Client element
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
31-Jul-2023
|
Eerste vrijgave |