Veilige JMX-communicatie tussen CVP OAMP- en CVP-componenten met wederzijdse verificatie

Downloadopties

  • PDF     (303.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (129.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (105.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:4 oktober 2024
Document-id:216522

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u de communicatie van Java Management Extensions (JMX) kunt beveiligen tussen Customer Voice Portal (CVP) Operation and Management Console (OAMP) en CVP Server en CVP Reporting Server in de Cisco Unified Contact Center Enterprise (UCCE)-oplossing via certificaten die door de certificeringsinstantie (CA) zijn ondertekend.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • UCCE-release 12.5(1)
    • Customer Voice Portal (CVP), versie 12.5 (1)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • UCCE 12.5(1)
    • CVP 12,5(1)

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Achtergrondinformatie

    OAMP communiceert met CVP Call Server, CVP VXML Server en CVP Reporting Server via het JMX-protocol. Veilige communicatie tussen OAMP en deze CVP-componenten voorkomt JMX-beveiligingslekken. Deze beveiligde communicatie is optioneel en niet vereist voor de normale werking tussen OAMP en de CVP-componenten.

    U kunt JMX-communicatie beveiligen door:

    • Genereer het Certificate Sign Request (CSR) voor Web Service Manager (WSM) in CVP Server en CVP Reporting Server.
    • CSR-clientcertificaat voor WSM genereren in CVP Server en CVP Reporting Server.
    • Genereer CSR Client Certificate voor OAMP (te doen op OAMP).
    • Onderteken de certificaten door een certificeringsinstantie.
    • Importeer de CA-ondertekende certificaten, Root en Intermediate in CVP Server, CVP Reporting Server en OAMP.
    • [Optioneel] Secure JConsole Login to OAMP.
    • Beveiligde systeemCLI.

    MVO-certificaten genereren voor WSM

    Stap 1. Meld u aan bij de CVP-server of de rapporterende server. Haal het keystore-wachtwoord op uit het bestand security.properties.

    Opmerking: Voer bij de opdrachtprompt meer %CVP_HOME%\conf\security.properties in. Security.keystorePW = <Geeft het keystore wachtwoord terug> Voer het keystore wachtwoord in wanneer hierom gevraagd wordt. 

    Stap 2. Navigeer naar %CVP_HOME%\conf\security en verwijder het WSM-certificaat. Gebruik deze opdracht.


    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate.

    Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.


    Stap 3. Herhaal stap 2 voor Call Server (callserver_certificate) en VXML Server-certificaten (vxml_certificate) op de CVP Server en Call Server Certificate (callserver_certificate) op de Reporting Server.

    Stap 4. Genereer een CA-ondertekend certificaat voor WSM-service. Gebruik deze opdracht:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -v -keysize 2048 -keyalg RSA.

    1. Voer de gegevens in bij de prompt en typ Ja om te bevestigen.
    2. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.

    Noot: Noteer de GN-naam voor toekomstige referentie.

    Stap 5. Genereer de certificaataanvraag voor het alias. Voer deze opdracht uit en sla deze op in een bestand. Bijvoorbeeld wsm.csr.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.csr.

    1. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.

    Stap 6. Laat het certificaat ondertekenen door een CA. Gebruik de procedure om een CA-ondertekend certificaat te maken met de CA-autoriteit en zorg ervoor dat u een Client-Server-sjabloon voor certificaatverificatie gebruikt wanneer de CA het ondertekende certificaat genereert.

    image

    Stap 7. Download het ondertekende certificaat, het root- en intermediair certificaat van de CA-autoriteit.

    Stap 8. Kopieer de root, intermediate en het CA-signed WSM certificaat naar %CVP_HOME%\conf\security\.

    Stap 9. Importeer het rootcertificaat met deze opdracht.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cer>.

    1. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.
    2. Typ Ja bij de prompt voor dit certificaat vertrouwen.

    Stap 10. Importeer het tussenliggende certificaat met deze opdracht.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias intermediate -file %CVP_HOME%\conf\security\<filename_of_intermediate_cer>.

    1. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.
    2. Typ Ja bij de prompt voor dit certificaat vertrouwen.

    Stap 11. Importeer het CA-ondertekende WSM-certificaat met deze opdracht.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias wsm_certificate -file %CVP_HOME%\conf\security\<filename_of_your_signed_cert_from_CA>.

    1. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.

    Stap 12. Herhaal stap 4 tot en met 11 (hoofdcertificaten en tussenliggende certificaten hoeven niet tweemaal te worden geïmporteerd) voor Call Server- en VXML Server-certificaten op de CVP Server en Call Server-certificaat op de Reporting Server.

    Stap 13 WSM configureren in CVP Server en CVP Reporting Server.

    1. Navigeer naar c: \cisco\cvp\conf\jmx_wsm.conf.

    Voeg het bestand toe of werk het bij zoals wordt weergegeven en sla het op:

    javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 3000
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword=< keystore_password >
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore 
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS

    2. Voer de opdracht regedit uit.

    Append this to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\WebServicesManager\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
Djavax.net.ssl.trustStoreType=JCEKS

    Stap 14. Configureer JMX van CVP Callserver in CVP Server en Reporting Server.

    1. Navigeer naar c: \cisco\cvp\conf\jmx_callserver.conf.

    Werk het bestand bij zoals wordt weergegeven en sla het op:

    com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2098
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 2097
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword = 
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore 
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS

    Stap 15. Configureer JMX van VXML Server in CVP Server.

    1. Navigeer naar c: \cisco\cvp\conf\jmx_vxml.conf.

    Bewerk het bestand zoals weergegeven en sla het op:

    com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 9696
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 9697
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword =

    2. Voer de opdracht regedit uit.

    • Append theese to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\VXMLServer\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
Djavax.net.ssl.trustStoreType=JCEKS

    3. Start de WSM-service, de Call Server- en VXML Server-services opnieuw op de CVP-server en de WSM-service en de Call Server-service op de Reporting Server.

    Opmerking: Wanneer beveiligde communicatie is ingeschakeld met JMX, wordt de keystore gedwongen om %CVP_HOME%\conf\security\.keystore te zijn, in plaats van %CVP_HOME%\jre\lib\security\cacerts.
    Daarom moeten de certificaten van %CVP_HOME%\jre\lib\security\cacerts worden geïmporteerd naar %CVP_HOME%\conf\security\.keystore.

    CA-ondertekend clientcertificaat voor WSM genereren

    Stap 1. Meld u aan bij de CVP-server of de rapporterende server. Haal het keystore-wachtwoord op uit het bestand security.properties.

    Opmerking: Voer bij de opdrachtprompt meer %CVP_HOME%\conf\security.properties in. Security.keystorePW = <Geeft het keystore wachtwoord terug> Voer het keystore wachtwoord in wanneer hierom gevraagd wordt. 

    Stap 2. Navigeer naar %CVP_HOME%\conf\security en genereer met deze opdracht een CA-ondertekend certificaat voor clientverificatie met callserver.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN van CVP Server of Reporting Server WSM-certificaat> -v -keysize 2048 -keyalg RSA

    1. Voer de gegevens in bij de prompt en typ Ja om te bevestigen.
    2. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.

    Opmerking: De alias is dezelfde als de CN die wordt gebruikt voor het genereren van WSM-servercertificaat.

    Stap 3. Genereer het certificaatverzoek voor het alias met deze opdracht en sla het op in een bestand (bijvoorbeeld jmx_client.csr).

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN van CVP Server of Reporting Server WSM-certificaat> -file %CVP_HOME%\conf\security\jmx_client.csr

    1. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.
    2. Controleer of de CSR met succes is gegenereerd met zijn opdracht: dir jmx_client.csr.

    Stap 4. Onderteken het JMX-clientcertificaat op een CA.

    Opmerking: gebruik de procedure om een door een certificeringsinstantie ondertekend certificaat te maken met de certificeringsinstantie. Download het CA-signed JMX Client-certificaat (Root- en intermediate-certificaten zijn niet vereist omdat ze eerder zijn gedownload en geïmporteerd).

    1. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.
    2. Typ Ja bij de prompt voor dit certificaat.

    Stap 5. Kopieer het CA-signed JMX-clientcertificaat naar %CVP_HOME%\conf\security\.

    Stap 6. Importeer het CA-ondertekende JMX-clientcertificaat met deze opdracht.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN van CVP Server of Reporting Server WSM-certificaat> -bestand %CVP_HOME%\conf\security\<bestandsnaam van CA-ondertekend JMX-clientcertificaat>

    1. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.

    Stap 7. Start de Cisco CVP Call Server-, VXML Server- en WSM-services opnieuw op.

    Stap 8. Herhaal dezelfde procedure voor Reporting Server, indien geïmplementeerd.

    CA-ondertekend clientcertificaat genereren voor OAMP (te doen op OAMP)

    Stap 1. Log in op de OAMP-server. Haal het keystore-wachtwoord op uit het bestand security.properties.

    Opmerking: Voer bij de opdrachtprompt meer %CVP_HOME%\conf\security.properties in. Security.keystorePW = <Geeft het keystore wachtwoord terug> Voer het keystore wachtwoord in wanneer hierom gevraagd wordt. 

    Stap 2. Navigeer naar %CVP_HOME%\conf\security en genereer een CA-ondertekend certificaat voor clientverificatie met CVP Server of CVP Reporting Server WSM. Gebruik deze opdracht.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN of CVP Reporting Server WSM certificate> -v -keysize 2048 -keyalg RSA.

    1. Voer de gegevens in bij de prompt en typ Ja om te bevestigen.
    2. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.

    Stap 3. Genereer het certificaatverzoek voor het alias met deze opdracht en sla het op in een bestand (bijvoorbeeld jmx.csr).

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN of CVP Reporting Server WSM certificate> -file %CVP_HOME%\conf\security\jmx.csr.

    1. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.

    Stap 4. Onderteken het certificaat op een CA.

    Opmerking: gebruik de procedure om een door een certificeringsinstantie ondertekend certificaat te maken met behulp van de certificeringsinstantie. Download het certificaat en het basiscertificaat van de CA-autoriteit.

    Stap 5. Kopieer het rootcertificaat en het CA-signed JMX Client-certificaat naar %CVP_HOME%\conf\security\.

    Stap 6. Importeer het basiscertificaat van de CA. Gebruik deze opdracht.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cert>.

    1. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.
    2. Typ Ja bij de prompt voor dit certificaat.

    Stap 7. Importeer het CA-ondertekende JMX-clientcertificaat van CVP Server en CVP Reporting Server. Gebruik deze opdracht.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN of CVP Reporting Server WSM certificate> -file %CVP_HOME%\conf\security\<filename_of_your_signed_cert_from_CA>.

    1. Voer het keystore-wachtwoord in wanneer daarom wordt gevraagd.

    Stap 8. Start de OAMP-service opnieuw op.

    Stap 9. Meld u aan bij OAMP. voor veilige communicatie tussen OAMP en Call Server, VXML Server of Reporting Server.  Ga naar Apparaatbeheer > Oproepserver. Schakel het selectievakje Veilige communicatie met de Ops-console inschakelen in. Opslaan en implementeren van zowel Call Server als VXML Server.

    Stap 10. Voer de opdracht regedit uit.

    Ga naar HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\OPSConsoleServer\Parameters\Java.

    Voeg dit toe aan het bestand en sla het op.

    Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
Djavax.net.ssl.trustStoreType=JCEKS

    Opmerking: Nadat u de poorten voor JMX hebt beveiligd, kunt u JConsole alleen openen nadat u de gedefinieerde stappen voor JConsole hebt uitgevoerd die in de Oracle-documenten worden vermeld.

    Stap 11. Start de OAMP-service opnieuw op.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    21-Dec-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Ramiro Amaya
      Cisco TAC Engineer
    • Robert Rogier
      Cisco TAC Engineer
    • Adithya Udupa
      Cisco Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco