CA-ondertekende certificaten implementeren in een CCE 12.6-oplossing

Inleiding

In dit document wordt beschreven hoe u ondertekende certificaten van de certificeringsinstantie kunt implementeren in de Cisco Contact Center Enterprise (CCE)-oplossing.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Unified Contact Center Enterprise (UCCE), versie 12.6.2
• Package Contact Center Enterprise, versie 12.6.2
• Customer Voice Portal (CVP), versie 12.6.2 
• Cisco Virtualized Voice Browser (VVB)
• Cisco CVP Operations and Administration Console (OAMP)
• Cisco Unified Intelligence Center (CUIC)
• Cisco Unified Communication Manager (CUCM)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende softwareversies:

• PCCE 12.6.2
• CVP 12.6.2
• Cisco VVB 12.6.2
• Finesse 12.6.2
• CUIC 12.6.2
• Windows 2019

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Certificaten worden gebruikt om ervoor te zorgen dat de communicatie veilig is met de authenticatie tussen clients en servers. Gebruikers kunnen certificaten kopen bij een CA of ze kunnen zelf ondertekende certificaten gebruiken.

Zelf ondertekende certificaten (zoals de naam impliceert) worden ondertekend door dezelfde entiteit waarvan zij de identiteit certificeren, in tegenstelling tot ondertekend door een certificeringsinstantie. Zelf ondertekende certificaten worden niet beschouwd als zo veilig als CA-certificaten, maar ze worden standaard gebruikt in veel toepassingen.

In de Package Contact Center Enterprise (PCCE)-oplossing versie 12.x worden alle componenten van de oplossing bestuurd door Single Pane of Glass (SPOG), dat wordt gehost in de hoofdserver voor het werkstation voor beheerders (AW).

Vanwege Security Management Compliance (SRC) in de PCCE 12.5(1)-versie, verloopt alle communicatie tussen SPOG en andere componenten in de oplossing via een beveiligd HTTP-protocol.

In dit document worden de stappen beschreven die nodig zijn om CA-ondertekende certificaten te implementeren in een CCE-oplossing voor veilige HTTP-communicatie. Voor andere UCCE-beveiligingsoverwegingen raadpleegt u de UCCE-beveiligingsrichtlijnen.

Voor aanvullende beveiligde CVP-communicatie die verschilt van beveiligde HTTP, raadpleegt u de beveiligingsrichtlijnen in de CVP-configuratiehandleiding: CVP-beveiligingsrichtlijnen.

Opmerking: Dit document is ALLEEN van toepassing op CCE versie 12.6. Zie de gerelateerde informatie sectie voor links naar andere versies.

Procedure

CCE Windows-gebaseerde servers

1. MVO genereren

In deze procedure wordt uitgelegd hoe u een Certificate Signing Request (CSR) kunt genereren vanuit Internet Information Services (IIS) Manager. 

Stap 1. Meld u aan bij Windows en kies Configuratiescherm > Systeembeheer > Internet Information Services (IIS) Manager.

Stap 2. Klik in het deelvenster Verbindingen op de servernaam. Het deelvenster Startpagina van de server wordt weergegeven.

Stap 3. Dubbelklik in het IIS-gebied op Server-certificaten.

Stap 4. Klik in het deelvenster Handelingen op Certificaataanvraag maken.

Stap 5. Doe dit in het dialoogvenster Certificaat aanvragen:

Geef de gewenste informatie op in de weergegeven velden en klik op Volgende.

Laat in de vervolgkeuzelijst Cryptografische serviceprovider de standaardinstelling staan.

Selecteer 2048 in de vervolgkeuzelijst Bitlengte.

Stap 6. Geef een bestandsnaam op voor de certificaataanvraag en klik op Voltooien.

2. Verkrijgen van de CA ondertekende certificaten

Stap 1. Onderteken het certificaat op een CA.

Opmerking: zorg ervoor dat de certificaatsjabloon die door de certificeringsinstantie wordt gebruikt, client- en serververificatie bevat.

Stap 2. Verkrijg de CA-ondertekende certificaten van uw certificaatautoriteit (root, applicatie en tussenpersoon indien aanwezig).

3. Upload de ondertekende certificaten van de certificeringsinstantie

Stap 1. Meld u aan bij Windows en kies Configuratiescherm > Systeembeheer > Internet Information Services (IIS) Manager.

Stap 2. Klik in het deelvenster Verbindingen op de naam van de server.

Stap 3. Dubbelklik in het IIS-gebied op Servercertificaten.

Stap 4. Klik in het deelvenster Handelingen op Certificaataanvraag voltooien.

Stap 5. Vul de volgende velden in in het dialoogvenster Aanvraag voor volledig certificaat:

Klik in het veld Bestandsnaam dat het antwoord van de certificeringsinstantie bevat op de knop ….

Blader naar de locatie waar het ondertekende toepassingscertificaat is opgeslagen en klik vervolgens op Openen.  

Opmerking: als dit een CA-implementatie met twee lagen is en het rootcertificaat zich nog niet in het servercertificaatarchief bevindt, moet de root worden geüpload naar de Windows-winkel voordat u het ondertekende cert importeert. Raadpleeg dit document als u de root-CA moet uploaden naar de Windows Store Microsoft - Het Trusted Root Certificate installeren. 

Voer in het veld Vriendelijke naam de volledig gekwalificeerde domeinnaam (FQDN) van de server of een belangrijke naam voor u in. Zorg ervoor dat de vervolgkeuzelijst Selecteer een certificaatarchief voor het nieuwe certificaat als Persoonlijk blijft.

Stap 6. Klik op OK om het certificaat te uploaden.

Als het uploaden van het certificaat is geslaagd, wordt het certificaat weergegeven in het deelvenster Servercertificaten.

4. Het certificaat met CA-ondertekening aan IIS binden

In deze procedure wordt uitgelegd hoe u een CA-ondertekend certificaat kunt binden in de IIS-manager.

Stap 1. Meld u aan bij Windows en kies Configuratiescherm > Systeembeheer > Internet Information Services (IIS) Manager.

Stap 2. Kies in het deelvenster Verbindingen <server_name> > Sites > Standaardwebsite.

Stap 3. Klik in het deelvenster Handelingen op Bindingen....

Stap 4. Klik op het type https met poort 443 en klik vervolgens op Bewerken....

Stap 5. Selecteer in de vervolgkeuzelijst SSL-certificaat het certificaat met dezelfde vriendelijke naam als in de vorige stap.

Stap 6. Klik op OK.

Stap 7. Navigeer naar Start > Uitvoeren > services.msc en start de IIS-beheerservice opnieuw op.

5. Bindt het CA-ondertekende certificaat aan Diagnostic Portico

In deze procedure wordt uitgelegd hoe u een CA-ondertekend certificaat kunt binden in het diagnoseportaal.

Stap 1. Open de opdrachtprompt (Uitvoeren als beheerder).

Stap 2. Navigeer naar de hoofdmap Diagnostic Portico. Voer deze opdracht uit:

cd c:\icm\serviceability\diagnostics\bin

Stap 3. Verwijder het huidige certificaat dat aan het diagnoseportaal is gekoppeld. Voer deze opdracht uit:

DiagFwCertMgr /task:UnbindCert

Stap 4. Open het ondertekende certificaat en kopieer de hash-inhoud (zonder spaties) van het veld Thumbprint.

Opmerking: verwijder verborgen tekens aan het begin of einde van de hash-inhoud. Een editor zoals Notepad++ kan je helpen om deze verborgen tekens te identificeren.

Stap 5. Voer deze opdracht uit en plak de hash-inhoud. 

DiagFwCertMgr /task:BindCertFromStore /certhash:<hash_value>

Als de certificaatbinding succesvol is, wordt het bericht Certificaatbinding is GELDIG weergegeven.

Stap 6. Valideren of de certificaatbinding succesvol is verlopen. Voer deze opdracht uit:

DiagFwCertMgr /task:ValidateCertBinding

Opmerking: DiagFeedMgr gebruikt standaard poort 7890.

Als de certificaatbinding succesvol is, wordt het bericht Certificaatbinding is GELDIG weergegeven.

Stap 7. Start de service Diagnostic Framework opnieuw op. Voer de volgende opdrachten uit:

net stop DiagFwSvc
net start DiagFwSvc

Als Diagnostic Framework opnieuw wordt gestart, worden er geen certificaatfoutwaarschuwingen weergegeven wanneer de toepassing wordt gestart.

6. Importeer het hoofdcertificaat en het tussencertificaat in Java Keystore

Let op: Voordat u begint, moet u een back-up maken van de keystore en de opdrachten uitvoeren vanuit de java-startpagina als beheerder.

Stap 1. Ken het java-startpad om ervoor te zorgen waar het java-sleutelgereedschap wordt gehost. Er zijn verschillende manieren waarop je het Java Home Path kunt vinden.

    Optie 1: CLI, opdracht: echo %CCE_JAVA_HOME%

   Optie 2: Handmatig via Geavanceerde systeeminstelling, zoals weergegeven in de afbeelding

Stap 2. Maak een back-up van het cacerts-bestand via zowel ICM- als OpenJDK-paden <ICM install directory>\ssl\ en %CCE_JAVA_HOME%\lib\security\cacerts. U kunt deze kopiëren naar een andere locatie.

Stap 3. Open een opdrachtvenster als beheerder en voer de volgende opdrachten uit:

cd %CCE_JAVA_HOME%\bin
keytool.exe –keystore <ICM install directory>\ssl\cacerts -trustcacerts -import -file <path where the Root, or Intermediate certificate are stored> -alias <Root_name of your CA or Intermediate_name of your CA> -storepass changeit
keytool.exe –keystore %CCE_JAVA_HOME%\lib\security\cacerts -trustcacerts -import -file <path where the Root, or Intermediate certificate are stored> -alias <Root_name of your CA or Intermediate_name of your CA> -storepass changeit

Opmerking: de specifieke certificaten die u nodig hebt, zijn afhankelijk van de certificeringsinstantie die u gebruikt om uw certificaten te ondertekenen. In een CA op twee niveaus, die typisch is voor openbare CA's en veiliger is dan interne CA's, moet u zowel de basiscertificaten als de tussenliggende certificaten importeren. In een standalone CA zonder tussenpersonen, die over het algemeen wordt gezien in een laboratorium of een meer eenvoudige interne CA, hoeft u alleen het root-certificaat te importeren. De root- en intermediaire certificaten moeten worden geïmporteerd in zowel ICM- als OpenJDK-sleutelstores, omdat System CLI nog steeds de OpenJDK-sleutelopslag gebruikt.

CVP-oplossing

1. Certificaten genereren met FQDN

In deze procedure wordt uitgelegd hoe u certificaten kunt genereren met FQDN voor de services Web Service Manager (WSM), Voice XML (VXML), Call Server en Operations Management (OAMP).

Opmerking: wanneer u het CVP-certificaat installeert, bevat de naam alleen de naam van de server en niet de FQDN, daarom moet u de certificaten opnieuw genereren.

Let op: voordat je begint, moet je dit doen:
1. Open een opdrachtvenster als beheerder.
2. Navigeer voor 12.6.2 naar de map %CVP_HOME%\bin om het keystore-wachtwoord te identificeren en voer het bestand DecryptKeystoreUtil.bat uit.
3. Voer voor 12.6.1 de opdracht meer %CVP_HOME%\conf\security.properties uit om het keystore-wachtwoord te identificeren.
4. U hebt dit wachtwoord nodig bij het uitvoeren van de opdrachten voor de sleuteltool.
5. Voer vanuit de %CVP_HOME%\conf\security\ directory de opdracht copy.keystore backup.keystore uit.

CVP-servers

Stap 1. Voer de volgende opdrachten uit om de CVP-servercertificaten te verwijderen: 

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias vxml_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

Stap 2. Voer deze opdracht uit om het WSM-certificaat te genereren: 

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

Opmerking: standaard worden de certificaten gedurende twee jaar gegenereerd. Gebruik -geldigheid XXXX om de vervaldatum in te stellen wanneer certificaten worden geregenereerd, anders zijn certificaten 90 dagen geldig en moeten ze vóór deze tijd door een CA worden ondertekend. Voor de meeste van deze certificaten moet 3-5 jaar een redelijke validatietijd zijn.

Hier zijn enkele standaard validiteitsinvoer:

Let op: vanaf 12,5 moeten certificaten SHA 256, Key Size 2048 en encryptie-algoritme RSA zijn. Gebruik deze parameters om de volgende waarden in te stellen: -keyalg RSA en -keysize 2048. Het is belangrijk dat de CVP keystore-opdrachten de parameter -storetype JCEKS bevatten. Als dit niet wordt gedaan, kan het certificaat, de sleutel of erger, de sleutelopslag beschadigd raken.

Geef de FQDN van de server op, op de vraag wat is uw voor- en achternaam?

Vul deze andere vragen aan:

Wat is de naam van uw organisatie-eenheid?

 [Onbekend]: <specificeren OU>

Wat is de naam van uw organisatie?

 [Onbekend]: <geef de naam van de org op>

Wat is de naam van uw gemeente of gemeente?

 [Onbekend]: <geef de naam van de plaats op>

Wat is de naam van uw provincie of provincie?

 [Onbekend]: <geef de naam van de provincie op>

Wat is de tweeletterige landcode voor deze eenheid?

 [Onbekend]: <geef landcode van twee letters op>

Geef ja op voor de volgende twee ingangen.

Stap 3. Voer dezelfde stappen uit voor vxml_certificate en callserver_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

CVP-rapportageserver

Stap 1. Voer de volgende opdrachten uit om de WSM- en Reporting Server-certificaten te verwijderen: 

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

Stap 2. Voer deze opdracht uit om het WSM-certificaat te genereren:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

Geef de FQDN van de server op voor de query Wat is uw voor- en achternaam? en ga verder met dezelfde stappen als bij CVP-servers.

Stap 3. Voer dezelfde stappen uit voor callserver_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

CVP OAMP (UCCE-inzet)

Aangezien in de PCCE-oplossing versie 12.x alle componenten van de oplossing worden aangestuurd door de SPOG en OAMP niet is geïnstalleerd, zijn deze stappen alleen vereist voor een UCCE-implementatieoplossing.

Stap 1. Voer de volgende opdrachten uit om de WSM- en OAMP Server-certificaten te verwijderen: 

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias oamp_certificate

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

Stap 2. Voer deze opdracht uit om het WSM-certificaat te genereren:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

Geef de FQDN van de server op voor de query Wat is uw voor- en achternaam? en ga verder met dezelfde stappen als bij CVP-servers.

Stap 3. Voer dezelfde stappen uit voor oamp_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias oamp_certificate -keysize 2048 -keyalg RSA -validity XXXX

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

2. Genereer de CSR

Opmerking: de RFC5280-compatibele browser vereist dat bij elk certificaat een alternatieve onderwerpnaam (SAN) wordt toegevoegd. Dit kan worden bereikt met behulp van de parameter -ext met SAN bij het genereren van de CSR. 

Onderwerp Alternatieve naam

Met de parameter -ext kan een gebruiker specifieke extensies gebruiken. In het voorbeeld wordt een alternatieve onderwerpnaam (SAN) toegevoegd met de volledig gekwalificeerde domeinnaam (FQDN) van de server en localhost. Extra SAN-velden kunnen worden toegevoegd als door komma's gescheiden waarden.

Geldige SAN-typen zijn:

ip:192.168.0.1
dns:myserver.mydomain.com
email:name@mydomain.com

Voorbeeld: 

 -ext san=dns:mycvp.mydomain.com,dns:localhost

CVP-servers

Stap 1. Genereer de certificaat aanvraag voor de alias. Voer deze opdracht uit en sla deze op in een bestand (bijvoorbeeld wsm_certificate):

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm_certificate.csr

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

Stap 2. Voer dezelfde stappen uit voor vxml_certificate en callserver_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias vxml_certificate -file %CVP_HOME%\conf\security\vxml_certificate.csr

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias callserver_certificate -file %CVP_HOME%\conf\security\callserver_certificate.csr

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

CVP-rapporteringsserver

Stap 1. Genereer de certificaat aanvraag voor de alias. Voer deze opdracht uit en sla deze op in een bestand (bijvoorbeeld wsmreport_certificate):

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsmreport_certificate.csr

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

Stap 2. Voer dezelfde stappen uit voor het callserver_certificaat:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias callserver_certificate -file %CVP_HOME%\conf\security\callserverreport_certificate.csr

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

CVP OAMP (alleen inzet UCCE)

Stap 1. Genereer de certificaat aanvraag voor de alias. Voer deze opdracht uit en sla deze op in een bestand (bijvoorbeeld wsmoamp_certificate):

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsmoamp_certificate.csr

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

Stap 2. Voer dezelfde stappen uit voor oamp_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias oamp_certificate -file %CVP_HOME%\conf\security\oamp.csr

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd.

3. Verkrijgen van de CA ondertekende certificaten

Stap 1. Onderteken de certificaten op een CA (WSM, Callserver en VXML-server voor de CVP-server; WSM en OAMP voor de CVP OAMP-server, en WSM en Callserver voor de CVP Reporting-server).

Stap 2. Download de toepassingscertificaten en het basiscertificaat van de CA-autoriteit.

Stap 3. Kopieer het root-certificaat en de CA ondertekende certificaten in de map %CVP_HOME%\conf\security\ van elke server.

4. Invoer van de ondertekende CA-certificaten

Pas deze stappen toe op alle servers van de CVP-oplossing.  Alleen voor de certificaten voor onderdelen op die server moet het CA-ondertekende certificaat zijn geïmporteerd.

Stap 1. Importeer het root-certificaat. Voer deze opdracht uit:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cer>

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd. Typ Ja bij de prompt voor dit certificaat vertrouwen.

Als er een tussenliggend certificaat is, voert u deze opdracht uit:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias intermediate_ca -file %CVP_HOME%\conf\security\<filename_of_intermediate_cer>

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd. Typ Ja bij de prompt voor dit certificaat vertrouwen.

Stap 2. Importeer de CA Signed WSM voor dat servercertificaat (CVP, Reporting en OAMP). Voer deze opdracht uit:  

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias wsm_certificate -file %CVP_HOME%\conf\security\<filename_of_wsm_CA_cer> 

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd. Typ Ja bij de prompt voor dit certificaat vertrouwen.

Stap 3. In de CVP-servers en de Reporting-servers importeert u het CA Signed-certificaat van Callserver. Voer deze opdracht uit:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias callserver_certificate -file %CVP_HOME%\conf\security\<filename_of_callserver_CA_cer>

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd. Typ Ja bij de prompt voor dit certificaat vertrouwen.

Stap 4. In de CVP-servers importeert u het CA-ondertekende certificaat voor de VXML-server. Voer deze opdracht uit:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias vxml_certificate -file %CVP_HOME%\conf\security\<filename_of_vxml_CA_cer>

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd. Typ Ja bij de prompt voor dit certificaat vertrouwen.

Stap 5. Importeer in de CVP OAMP-server (alleen voor UCCE) het OAMP-server CA Signed certificaat. Voer deze opdracht uit:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias oamp_certificate -file %CVP_HOME%\conf\security\<filename_of_oamp_CA_cer>

Voer het wachtwoord van de sleutelwinkel in wanneer daarom wordt gevraagd. Typ Ja bij de prompt voor dit certificaat vertrouwen.

Stap 6. Start de servers opnieuw op.

Opmerking: zorg ervoor dat u bij de implementatie van UCCE de servers (CVP-rapportage, CVP-server, enzovoort) toevoegt in CVP OAMP met de FQDN die u hebt opgegeven toen u de CSR genereerde. 

VOS-servers

1. MVO-certificaat genereren

In deze procedure wordt uitgelegd hoe u een Tomcat CSR-certificaat kunt genereren op basis van een op Cisco Voice Operating System (VOS) gebaseerd platform.

Dit proces is van toepassing voor op VOS gebaseerde toepassingen zoals:

• Finesse
• CUIC \ Live-gegevens (LD) \Identity Server(IDS)
• Cloud Connect
• Cisco VVB

Stap 1. Navigeer naar de beheerpagina van het Cisco Unified Communications Operating System: https://FQDN:<8443 or 443>/cmplatform.

Stap 2. Navigeer naar Beveiliging > Certificaatbeheer en selecteer CSR genereren.

Stap 3. Nadat het CSR-certificaat is gegenereerd, sluit u het venster en selecteert u CSR downloaden.

Stap 4. Controleer of het doel van het certificaat is om te chatten en klik op CSR downloaden.

Stap 5. Klik op Bestand opslaan. Het bestand wordt opgeslagen in de map Download.

2. Verkrijgen van de CA ondertekende certificaten

Stap 1. Onderteken het tomcat-certificaat dat op een CA is geëxporteerd.

Stap 2. Download de applicatie en de root gecertificeerd van de CA autoriteit.

3. Upload de toepassing en basiscertificaten

Stap 1. Navigeer naar de beheerpagina van het Cisco Unified Communications Operating System: https://FQDN:<8443 of 443>/cmplatform.

Stap 2. Navigeer naar Beveiliging > Certificaatbeheer en selecteer Certificaat/certificaatketen uploaden.

Stap 3. Selecteer in het venster Certificaat uploaden/Certificaatketen de optie tomcat-trust in het veld Certificaatdoel en upload het certificaat Root.

Stap 4. Upload een tussentijds certificaat (indien aanwezig) als een tomcat-trust.

Stap 5. Selecteer in het venster Certificaat/certificaatketen uploaden de optie nu om te handelen in het veld Certificaatdoel en het CA-certificaat van de toepassing te uploaden.

Stap 6. Start de server opnieuw op.

Verifiëren

Nadat u de server opnieuw hebt opgestart, voert u de volgende stappen uit om de CA-ondertekende implementatie te controleren:

Stap 1. Open een web browser en verwijder de cache. 

Stap 2. Sluit en open de browser opnieuw. 

Nu moet u de certificaatcertificaat-switch zien om het CA-ondertekende certificaat te starten en de indicatie in het browservenster dat het certificaat zelf is ondertekend en daarom niet wordt vertrouwd, moet verdwijnen.

Problemen oplossen

In deze handleiding vindt u geen stappen voor het oplossen van problemen met de implementatie van de CA-ondertekende certificaten.

Gerelateerde informatie

• CVP-configuratiehandleiding - Beveiliging
• UCCE-beveiligingsgids
• PCCE-beheerdershandleiding
• Exchange PCCE zelf ondertekende certificaten - PCCE 12.5
• Exchange UCCE zelfondertekende certificaten - UCCE 12.5
• Exchange PCCE Self-signed Certificates - PCCE 12.6
• Exchange UCCE zelfondertekende certificaten - UCCE 12.6
• Certificate Exchange Utility
• Technische ondersteuning en documentatie – Cisco Systems