Exchange zelfondertekende certificaten in een PCE 12.6-oplossing

Downloadopties

  • PDF     (885.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (760.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (534.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:28 juli 2023
Document-id:220693

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u zelfondertekende certificaten kunt uitwisselen in Cisco Packaged Contact Center Enterprise (PCCE)-oplossing.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • PCE-release 12.6(2)
    • CVP-release (Customer Voice Portal) 12.6(2)
    • Gevirtualiseerde spraakbrowser (VVB) 12.6(2)
    • Admin Workstation/Management Date Server (AW/ADS) 12.6(2)
    • Cisco Unified Intelligence-server (CUIC)
    • Customer Collaboration Platform (CCP) 12.6(2)
    • Enterprise Chat en e-mail (ECE) 12.6(2)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • PCE 12.6(2)
    • CVP 12.6(2)

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrond

    In PCCE-oplossing van 12.x worden alle apparaten bestuurd via Single Pane of Glass (SPOG), dat wordt gehost in de belangrijkste AW-server. Vanwege de naleving van security-management-compliance (SRC) van PCE 12.5(1) versie wordt alle communicatie tussen SPOG en andere servers in de oplossing strikt gedaan via een beveiligd HTTP-protocol.

    Certificaten worden gebruikt om naadloze veilige communicatie tussen SPOG en de andere apparaten te realiseren. In een zelf-ondertekende certificaatomgeving is de uitwisseling van certificaten tussen de servers een must.

    Procedure

    Dit zijn de onderdelen waaruit zelfondertekende certificaten worden uitgevoerd en onderdelen waarin zelfondertekende certificaten moeten worden ingevoerd.

    (i) Alle AW/ADS-servers: Voor deze servers is een certificaat vereist van:

    • Windows-platform:
      • ICM:  Router en Logger (Rogger) {A/B}, Perifere Gateway (PG) {A/B}, alle AW/ADS, en ECE servers.

    Opmerking: IIS en Diagnostic Framework Portico (DFP) zijn nodig.

      • CVP: CVP-servers, CVP-rapportageserver.

        Opmerking: Web Service Management (WSM) certificaat van alle servers is nodig. Certificaten moeten worden geleverd met de FQDN-naam (Full Qualified Domain Name).

    • VOS-platform: Cloud Connect, Cisco Virtualization Voice Browser (VVB), Cisco Unified Communications Manager (CUCM), Finesse, Cisco Unified Intelligence Center (CUIC), Live Data (LD), Identity Server (IDS) en andere toepasselijke servers.  

    (ii) Router \ Logger Servers: Voor deze servers is een certificaat vereist van: 

    • Windows-platform:  Alle AW/ADS-servers IIS-certificaat.

    iii) PG-servers: Voor deze servers is een certificaat vereist van: 

    • Windows-platform:  Alle AW/ADS-servers IIS-certificaat.
    • VOS-platform: CUCM-uitgever (alleen CUCM PG-servers); Cloud Connect en CCP (alleen MRpg-server).

    Opmerking: Dit is nodig om de JTAPI-client van de CUCM-server te downloaden.

    (iv) CVP-servers: Voor deze servers is een certificaat vereist van 

    • Windows-platform:  Alle ADS-servers IIS-certificaat
    • VOS-platform: Cloud Connect server, VVB servers. 

    v) CVP-rapportageserver: Deze server vereist een certificaat van: 

    • Windows-platform:  Alle ADS-servers IIS-certificaat

    vi) VVB-servers: Deze server vereist een certificaat van: 

    • Windows-platform: Alle ADS servers IIS certificaat, VXML certificaat van CVP server, en Callserver certificaat van CVP server
    • VOS-platform: Cloud Connect-server. 

    De stappen die nodig zijn om de zelfondertekende certificaten effectief te kunnen uitwisselen in de oplossing zijn verdeeld in drie secties.

    Afdeling 1: Certificaatuitwisseling tussen CVP-servers en ADS-servers.

    Afdeling 2: Certificaatuitwisseling tussen VOS-platformtoepassingen en ADS-server.

    Afdeling 3: Certificaatuitwisseling tussen Roggers, PG's en ADS Server.

    Afdeling 1: Certificaatuitwisseling tussen CVP- en ADS-servers

    De stappen die nodig zijn om deze uitwisseling met succes te voltooien zijn:

    Stap 1. WSM-certificaten voor CVP-servers exporteren.

    Stap 2. Voer het WSM-certificaat van CVP-servers in naar ADS-servers.

    Stap 3. Certificaat van ADSL-server exporteren.

    Stap 4. Importeer ADS-server naar CVP-servers en CVP-rapportageserver.

    Stap 1. CVP-servercertificaten exporteren

    Voordat u de certificaten van de CVP-servers exporteert, moet u de certificaten regenereren met de FQDN van de server, anders kunnen weinig functies zoals Smart Licensing, Virtual Agent Voice (VAV) en de CVP synchronisatie met SPOG problemen ervaren.

    Voorzichtig: Voordat u begint, moet u het volgende doen:
    1. Open een opdrachtvenster als beheerder.
    2. Voor 12.6.2, om het keystore wachtwoord te identificeren, ga naar de %CVP_HOME%\bin map en voer het bestand DecryptKeystoreUtil.bat uit.
    3. Voor 12.6.1, om het keystore wachtwoord te identificeren, voer de opdracht uit, meer %CVP_HOME%\conf\security.Properties.
    4. U hebt dit wachtwoord nodig bij het uitvoeren van de opdrachten voor het gereedschap.
    5. Voer vanuit de map %CVP_HOME%\conf\security\ de opdracht uit en kopieer .keystore backup.keystore.

    Opmerking: U kunt de opdrachten in dit document stroomlijnen met de parameter keytool - storepass. Geef voor alle CVP-servers het wachtwoord op dat u hebt ingesteld voor het gereedschap. Voor de ADS-servers is het standaardwachtwoord: verandering

    Voer de volgende stappen uit om het certificaat op de CVP-servers te regenereren:

    (i) Een lijst van de certificaten in de server

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -list

    Opmerking: De CVP-servers hebben deze zelfondertekende certificaten: wsm_certificate, vxml_certificate, callserver_certificate. Als u parameter -v van het sleutelgereedschap gebruikt, kunt u meer gedetailleerde informatie van elk certificaat zien. Daarnaast kunt u het symbool ">" toevoegen aan het einde van de opdracht keytool.exe lijst om de uitvoer naar een tekstbestand te verzenden, bijvoorbeeld:  > test.txt

    ii) de oude zelfondertekende certificaten te schrappen;

    CVP-servers: Opdrachten om de zelf-ondertekende certificaten te verwijderen:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias vxml_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate

    CVP-rapporteringsservers: Opdrachten om de zelf-ondertekende certificaten te verwijderen:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate
    
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate

    Opmerking: CVP Rapporterende servers hebben deze zelf-ondertekende certificaten: wsm_certificate, callserver_certificate.

    (iii) Genereert de nieuwe zelfondertekende certificaten met de FQDN van de server

    CVP-servers

    Opdracht om het zelfondertekende certificaat voor WSM te genereren:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

    Opmerking: De certificaten worden standaard gedurende twee jaar gegenereerd. Gebruik -validiteit XXXX om de vervaldatum vast te stellen wanneer certificaten worden geregenereerd, anders zijn certificaten 90 dagen geldig en moeten vóór deze tijd door een CA worden ondertekend. Voor de meeste van deze certificaten moet 3-5 jaar een redelijke valideringstermijn zijn.

    Hier zijn enkele standaard validiteitsinput:

    Eén jaar

    365

    Twee jaar

    730

    Drie jaar

    1095

    Vier jaar

    1460

    Vijf jaar

    1895

    Tien jaar

    3650

    Voorzichtig: Vanaf 12.5 moeten certificaten SHA 256, Key Size 2048 en encryptie-algoritme RSA zijn, deze parameters gebruiken om deze waarden in te stellen: -keyalg RSA en -keysize 2048. Het is belangrijk dat de CVP keystore commando's de -storetype JCEKS parameter bevatten. Als dit niet wordt gedaan, kan het certificaat, de sleutel, of slechter de keystore beschadigd raken.

    Specificeer de FQDN van de server, op de vraag wat is uw eerste en achternaam?

    Screen Shot 1

    Voltooi deze andere vragen:

    Wat is de naam van uw organisatorische eenheid?

     [Onbekend]: <specificeer OU>

    Wat is de naam van uw organisatie?

     [Onbekend]: <geef de naam van de org op>

    Wat is de naam van uw stad of plaats?

     [Onbekend]: <naam van de stad/locatie opgeven>

    Wat is de naam van uw staat of provincie?

     [Onbekend]: <geef de naam van de staat/provincie op>

    Wat is de tweeletterige landcode voor deze unit?

     [Onbekend]: <landcode van twee letters specificeren>

    Specificeer ja voor de volgende twee ingangen.

    Voer dezelfde stappen uit voor vxml_certificate en callserver_certificate:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX
    
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

    Start de CVP gespreksserver opnieuw op.

    CVP-rapportageservers

    Opdracht om de zelfondertekende certificaten voor WSM te genereren:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

    Specificeer FQDN van de server voor de vraag wat uw eerste en familienaam is? en verder te gaan met dezelfde stappen als bij CVP-servers.

    Voer dezelfde stappen uit voor callserver_certificate:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

    Start de Reporting servers opnieuw op.

    (iv) Wsm_Certificate exporteren van CVP- en rapportageservers

    a) Exporteer WSM-certificaat van elke CVP-server naar een tijdelijke locatie en hernoem het certificaat met een gewenste naam. U kunt de naam veranderen in wsmcsX.crt. Vervang "X" door de hostnaam van de server. Bijvoorbeeld wsmcsa.crt, wsmcsb.crt, wsmrepa.crt, wsmrepb.crt.

    Opdracht om de zelfondertekende certificaten te exporteren:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt

    b) Kopieer het certificaat van het pad %CVP_HOME%\conf\security\wsm.crt, hernoem het naar wsmcsX.crt en verplaats het naar een tijdelijke map op de ADS server.

    Stap 2. CVP-servers WSM-certificaat importeren naar ADS-server

    Om het certificaat in ADS server te importeren, moet u de keytool gebruiken die deel uitmaakt van de java-toolset. Er zijn een paar manieren waarop u de java home pad kunt vinden waar deze tool wordt gehost.

    (i) CLI-opdracht > echo %CCE_JAVA_HOME%

    Line 75startpunt java

    (ii) handmatig via geavanceerde systeeminstelling, zoals in de afbeelding wordt getoond.

    Line 79Omgevingsvariabelen

    Op PCE 12.6 is het standaardpad van OpenJDK C:\Program Files (x86)\OpenJDK\jre-8.0.272.10-hotspot\bin

    Opdrachten om de zelf ondertekende certificaten te importeren:

    cd %CCE_JAVA_HOME%\bin
    keytool.exe -import -file C:\Temp\certs\wsmcsX.crt -alias {fqdn_of_CVP} -keystore {ICM install directory}\ssl\cacerts

    Opmerking: Herhaal de opdrachten voor elke CVP in de implementatie en voer dezelfde taak uit op andere ADS-servers

    iii) Start de Apache Tomcat-service op de ADS-servers opnieuw.

    Stap 3. Certificaat van ADSL-server exporteren

    Hier zijn de stappen om het ADS certificaat uit te voeren:

    (i) Op ADS server van een browser, navigeer aan de server url: https://<servername>.

    (ii) Het certificaat opslaan in een tijdelijke map, bijvoorbeeld: c:\temp\certs en noem het certificaat aan als ADS<svr>[ab].cer.

    Line 91ADS-uitvoercertificaten

    Opmerking: Selecteer de optie Base-64 encoded X.509 (.CER).

    Stap 4. ADS-servercertificaat importeren naar CVP-servers en rapportageserver

    (i) Kopieer het certificaat naar CVP-servers en CVP-rapportageserver in de map %CVP_HOME%\conf\security.

    (ii) Importeer het certificaat naar CVP-servers en CVP-rapportageserver.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias {fqdn_of_ads} -file %CVP_HOME%\conf\security\ADS{svr}[ab].cer

    Voer dezelfde stappen uit voor andere ADS-servercertificaten.

    (iii) Start de CVP-servers en de rapportageserver opnieuw.

    Afdeling 2: Certificaatuitwisseling tussen VOS-platformtoepassingen en ADS-server

    De stappen die nodig zijn om deze uitwisseling met succes te voltooien zijn:

    Stap 1. Exporteren van VOS-platform-toepassingsservercertificaten.

    Stap 2. Importeer VOS-platformtoepassingscertificaten naar ADS-server.

    Stap 3. Importeer CUCM Platform Application Certificates naar CUCM PG Servers.

    Dit proces is van toepassing op alle VOS-toepassingen, zoals:

    • CUCM
    • VVB
    • Finesse
    • CUIC \ LD \ IDS
    • Cloud Connect

    Stap 1. Exporteren van VOS-platform-toepassingsservercertificaten.

    (i) Navigeer naar de beheerpagina voor Cisco Unified Communications Operating System: https://FQDN:8443/cmplatform.

    (ii) Navigeren naar Beveiliging > Certificaatbeheer en de applicatieserver vinden om het certificaat op te halen.

    rorogier_0-1741290233898

    (iii) Selecteer het certificaat en klik op download .PEM bestand om het op te slaan in een tijdelijke map op de ADS server.

    rorogier_1-1741290256243

    Opmerking: Voer dezelfde stappen uit voor de abonnee.

    Stap 2. VOS-platform-toepassingscertificaat importeren naar ADS-server

    Pad om de Key tool uit te voeren: %CCE_JAVA_HOME%\bin

    Opdrachten om de zelf ondertekende certificaten te importeren:

    %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\vosapplicationX.cer -alias {fqdn_of_VOS>} -keystore {ICM install directory}\ssl\cacerts

    Start de Apache Tomcat service op de ADS servers.

    Opmerking: Voer dezelfde taak uit op andere ADS-servers

    Stap 3. Importeer CUCM Platform Application Certificate naar CUCM PG Server

    Pad om de Key tool uit te voeren: %CCE_JAVA_HOME%\bin

    Opdrachten om de zelf ondertekende certificaten te importeren:

    %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\cucmapplicationX.cer -alias {fqdn_of_cucm>} -keystore {ICM install directory}\ssl\cacerts

    Start de Apache Tomcat service op de PG servers.

    Opmerking: Voer dezelfde taak uit op andere CUCM PG-servers

    Afdeling 3: Certificaatuitwisseling tussen Roggers , PG en ADS-servers

    De stappen die nodig zijn om deze uitwisseling met succes te voltooien zijn:

    Stap 1. IIS-certificaat exporteren van Rogger- en PG-servers

    Stap 2. DFP-certificaat exporteren van Rogger- en PG-servers

    Stap 3. Certificaten importeren in ADS-servers

    Stap 4. Importeer ADS-certificaat in Rogger- en PG-servers

    Stap 1. IIS-certificaat exporteren van Rogger- en PG-servers

    (i) Op ADS server van een browser, navigeer aan de servers (Roggers, PG) url: https://{servername}

    (ii) Het certificaat opslaan in een tijdelijke map, bijvoorbeeld c:\temp\certs en de cert een ICM<svr>[ab].cer noemen

    Line 91IIS-certificaat voor uitvoer

    Opmerking: Selecteer de optie Base-64 encoded X.509 (.CER).

    Stap 2. DFP-certificaat exporteren van Rogger- en PG-servers 

    (i) Op ADS server van een browser, navigeer aan de servers (Roggers, PGs) DFP url: https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion

    (ii) Sla het certificaat op in mappenvoorbeeld c:\temp\certs en noem de cert als dfp{svr}[ab].cer

    Line 101DFP-certificaat exporteren

    Opmerking: Selecteer de optie Base-64 encoded X.509 (.CER).

    Stap 3. Certificaten importeren in ADS-server

    Opdracht om de IIS zelfondertekende certificaten te importeren in ADS server. Het pad om het gereedschap Sleutel uit te voeren: %CE_JAVA_HOME%\bin

    %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\temp\certs\ICM<svr>[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts

    Opmerking:  Importeer alle servercertificaten die geëxporteerd zijn naar alle ADS-servers.

    Opdracht om de diagnostische zelfondertekende certificaten te importeren in ADS-server

    %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\dfp<svr>[ab].cer -alias {fqdn_of_server}_DFP -keystore {ICM install directory}\ssl\cacerts

    Opmerking: Importeer alle servercertificaten die geëxporteerd zijn naar alle ADS-servers.

    Start de Apache Tomcat service op de ADS servers.

    Stap 4. Importeer ADS-certificaat in Rogger- en PG-servers

    Opdracht om de IIS zelfondertekende certificaten in Rogger en PG servers te importeren. Het pad om het gereedschap Sleutel uit te voeren: %CE_JAVA_HOME%\bin.

    %CCE_JAVA_HOME%\bin\keytool -keystore ..\lib\security\cacerts  -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ICM{svr}[ab].cer

    Opmerking:  Importeer alle ADS server IIS-certificaten die worden geëxporteerd naar alle Rogger- en PG-servers.

    Start de Apache Tomcat service op de Rogger en PG servers.

    Afdeling 4: CVP CallStudio-webservicecontegratie

    Voor gedetailleerde informatie over hoe u een beveiligde communicatie kunt opzetten voor Web Services Element en Rest_Client element

    Raadpleeg de gebruikershandleiding voor Cisco Unified CVP VXML-server en Cisco Unified Call Studio release 12.6(2) - Web Service Integration [Cisco Unified Customer Voice Portal] - Cisco Unified Customer Voice Portal

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    31-Jul-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Bhaskar Sastry Garimella
      Cisco Technical Consulting Engineer
    • Ramiro Amaya
      Cisco Technical Leader
    • Robert Rogier
      Cisco Technical Leader

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten