Comunicação JMX segura entre componentes CVP OAMP e CVP com autenticação mútua

Opções de download

  • PDF     (304.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (128.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (104.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:4 de outubro de 2024
ID do documento:216522

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como proteger a comunicação Java Management Extensions (JMX) entre o Console de gerenciamento e operação do Customer Voice Portal (CVP) e o Servidor CVP e o Servidor CVP no servidor Cisco Unified Contact Center Enterprise (UCCE) através de certificados assinados pela Autoridade de certificação (CA).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • UCCE versão 12.5(1)
    • Customer Voice Portal (CVP) versão 12.5 (1)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • UCCE 12.5(1)
    • CVP 12.5(1)

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

    Informações de Apoio

    O OAMP se comunica com o CVP Call Server, o CVP VXML Server e o CVP Reporting Server através do protocolo JMX. A comunicação segura entre o OAMP e esses componentes do CVP evita vulnerabilidades de segurança do JMX. Essa comunicação segura é opcional, não é necessária para a operação regular entre os componentes OAMP e CVP.

    Você pode proteger a comunicação JMX:

    • Gere a CSR (Certificate Sign Request, solicitação de assinatura de certificado) para o WSM (Web Service Manager, gerenciador de serviços da Web) no servidor CVP e no servidor de relatórios CVP.
    • Gerar certificado de cliente CSR para WSM no servidor CVP e no servidor de relatórios CVP.
    • Gerar certificado de cliente CSR para OAMP (a ser feito no OAMP).
    • Assinar os certificados por uma Autoridade de Certificação.
    • Importe os certificados assinados pela CA, Raiz e Intermediário no Servidor CVP, Servidor de Relatórios CVP e OAMP.
    • [Opcional] Logon seguro do JConsole no OAMP.
    • Secure System CLI (CLI do sistema seguro).

    Gerar certificados CSR para WSM

    Etapa 1. Inicie a sessão no servidor CVP ou no servidor de relatórios. Recupere a senha do armazenamento de chaves do arquivo security.properties.

    Note: No prompt de comando, digite mais %CVP_HOME%\conf\security.properties. Security.keystorePW = <Retorna a senha do keystore> Insira a senha do keystore quando solicitado. 

    Etapa 2.  Navegue até %CVP_HOME%\conf\security e exclua o certificado WSM. Use este comando.


    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate.

    Digite a senha do armazenamento de chaves quando solicitado.


    Etapa 3. Repita a Etapa 2 para o servidor de chamadas (callserver_certificate) e os certificados do servidor VXML (vxml_certificate) no servidor CVP e o certificado do servidor de chamadas (callserver_certificate) no servidor de relatórios.

    Etapa 4. Gerar um certificado assinado pela CA para o serviço WSM. Use este comando:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -v -keysize 2048 -keyalg RSA.

    1. Insira os detalhes nos prompts e digite Yes para confirmar.
    2. Digite a senha do armazenamento de chaves quando solicitado.

    Note: Anote o nome CN para referência futura.

    Etapa 5. Gere a solicitação de certificado para o alias. Execute este comando e salve-o em um arquivo. Por exemplo, wsm.csr.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.csr.

    1. Insira a senha do armazenamento de chaves quando solicitado.

    Etapa 6. Obter o certificado assinado por uma CA. Use o procedimento para criar um certificado assinado pela CA com a autoridade da CA e certifique-se de usar um modelo de Autenticação de Certificado Cliente-Servidor quando a CA gerar o certificado assinado.

    image

    Etapa 7. Faça o download do certificado assinado, da raiz e do certificado intermediário da autoridade de certificação.

    Etapa 8. Copie o certificado WSM raiz, intermediário e assinado pela CA para %CVP_HOME%\conf\security\.

    Etapa 9. Importe o certificado raiz com este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<nome_do_root_cer>.

    1. Digite a senha do armazenamento de chaves quando solicitado.
    2. No prompt Confiar neste certificado, digite Sim.

    Etapa 10. Importe o certificado intermediário com este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias intermediate -file %CVP_HOME%\conf\security\<nome_do_arquivo_intermediário_cer>.

    1. Digite a senha do armazenamento de chaves quando solicitado.
    2. No prompt Confiar neste certificado, digite Sim.

    Etapa 11. Importe o certificado WSM assinado pela CA com este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias wsm_certificate -file %CVP_HOME%\conf\security\<nome_do_seu_certificado_assinado_da_CA>.

    1. Insira a senha do armazenamento de chaves quando solicitado.

    Etapa 12. Repita as Etapas 4 a 11 (os certificados raiz e intermediários não precisam ser importados duas vezes) para os certificados do servidor de chamadas e do servidor VXML no servidor CVP e o certificado do servidor de chamadas no servidor de relatórios.

    Etapa 13 Configurar o WSM no servidor CVP e no servidor de relatórios CVP.

    1. Navegue até c:\cisco\cvp\conf\jmx_wsm.conf.

    Adicione ou atualize o arquivo como mostrado e salve-o:

    javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 3000
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword=< keystore_password >
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore 
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS

    2. Execute o comando regedit.

    Append this to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\WebServicesManager\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
Djavax.net.ssl.trustStoreType=JCEKS

    Etapa 14. Configurar o JMX do servidor de chamada CVP no servidor CVP e no servidor de relatório.

    1. Navegue até c:\cisco\cvp\conf\jmx_callserver.conf.

    Atualize o arquivo como mostrado e salve-o:

    com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2098
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 2097
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword = 
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore 
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS

    Etapa 15. Configurar o JMX do servidor VXML no servidor CVP.

    1. Navegue até c:\cisco\cvp\conf\jmx_vxml.conf.

    Edite o arquivo como mostrado e salve-o:

    com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 9696
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 9697
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword =

    2. Execute o comando regedit.

    • Append theese to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\VXMLServer\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
Djavax.net.ssl.trustStoreType=JCEKS

    3. Reinicie o serviço WSM, o servidor de chamadas e os serviços do servidor VXML no servidor CVP e o serviço WSM e o serviço do servidor de chamadas no servidor de relatórios.

    Note:  Quando a comunicação segura está habilitada com JMX, ela força o armazenamento de chaves a ser %CVP_HOME%\conf\security\.keystore, em vez de %CVP_HOME%\jre\lib\security\cacerts.
    Portanto, os certificados de %CVP_HOME%\jre\lib\security\cacerts devem ser importados para %CVP_HOME%\conf\security\.keystore.

    Gerar Certificado de Cliente Assinado por CA para WSM

    Etapa 1. Inicie a sessão no servidor CVP ou no servidor de relatórios. Recupere a senha do armazenamento de chaves do arquivo security.properties.

    Note: No prompt de comando, digite mais %CVP_HOME%\conf\security.properties. Security.keystorePW = <Retorna a senha do keystore> Insira a senha do keystore quando solicitado. 

    Etapa 2. Navegue até %CVP_HOME%\conf\security e gere um certificado assinado pela CA para autenticação de cliente com callserver com esse comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN do servidor CVP ou certificado WSM do servidor de relatório> -v -keysize 2048 -keyalg RSA

    1. Informe os detalhes nos prompts e digite Sim para confirmar.
    2. Informe a senha da área de armazenamento de chaves quando solicitado.

    Note: O alias é o mesmo que o CN usado para gerar o certificado do servidor WSM.

    Etapa 3. Gere a solicitação de certificado para o alias com este comando e salve-a em um arquivo (por exemplo, jmx_client.csr).

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN do servidor CVP ou certificado WSM do servidor de relatórios> -file %CVP_HOME%\conf\security\jmx_client.csr

    1. Insira a senha do armazenamento de chaves quando solicitado.
    2. Verifique se o CSR foi gerado com sucesso com este comando: dir jmx_client.csr.

    Etapa 4. Assinar o certificado de cliente JMX em uma CA.

    Note: Use o procedimento para criar um certificado assinado pela autoridade de certificação com a autoridade de certificação. Faça download do certificado do cliente JMX assinado pela CA (certificados raiz e intermediários não são necessários, pois foram baixados e importados anteriormente).

    1. Insira a senha do armazenamento de chaves quando solicitado.
    2. No prompt Confiar neste certificado, digite Sim.

    Etapa 5. Copie o certificado do cliente JMX assinado pela CA para %CVP_HOME%\conf\security\.

    Etapa 6. Importe o certificado do cliente JMX assinado pela CA com este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN do servidor CVP ou certificado WSM do servidor de relatórios> -file %CVP_HOME%\conf\security\<nome do arquivo do certificado do cliente JMX assinado pela CA>

    1. Insira a senha do armazenamento de chaves quando solicitado.

    Etapa 7. Reinicie os serviços Cisco CVP Call Server, VXML Server e WSM.

    Etapa 8. Repita o mesmo procedimento para o Servidor de Relatórios, se implementado.

    Gerar Certificado de Cliente Assinado por CA para OAMP (a ser feito no OAMP)

    Etapa 1. Efetue login no Servidor OAMP. Recupere a senha do armazenamento de chaves do arquivo security.properties.

    Note: No prompt de comando, digite mais %CVP_HOME%\conf\security.properties. Security.keystorePW = <Retorna a senha do keystore> Insira a senha do keystore quando solicitado. 

    Etapa 2. Navegue até %CVP_HOME%\conf\security e gere um certificado assinado pela CA para autenticação de cliente com o Servidor CVP ou o Servidor de Relatórios CVP WSM. Use este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN do servidor CVP ou certificado WSM do servidor de relatórios CVP> -v -keysize 2048 -keyalg RSA.

    1. Informe os detalhes nos prompts e digite Sim para confirmar.
    2. Informe a senha da área de armazenamento de chaves quando solicitado.

    Etapa 3. Gere a solicitação de certificado para o alias com este comando e salve-a em um arquivo (por exemplo, jmx.csr).

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN do servidor CVP ou certificado WSM do servidor de relatórios CVP> -file %CVP_HOME%\conf\security\jmx.csr.

    1. Insira a senha do armazenamento de chaves quando solicitado.

    Etapa 4. Assinar o certificado em uma CA.

    Note: Use o procedimento para criar um certificado assinado pela autoridade de certificação usando a autoridade de certificação. Baixe o certificado e o certificado raiz da autoridade de certificação.

    Etapa 5. Copie o certificado raiz e o certificado do cliente JMX assinado pela CA para %CVP_HOME%\conf\security\.

    Etapa 6. Importe o certificado raiz da CA. Use este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<nome_do_cert_raiz>.

    1. Insira a senha do armazenamento de chaves quando solicitado.
    2. No prompt Confiar neste certificado, digite Sim.

    Etapa 7. Importar o certificado do cliente JMX assinado pela CA do servidor CVP e do servidor de relatórios CVP. Use este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN do servidor CVP ou certificado WSM do servidor de relatórios CVP> -file %CVP_HOME%\conf\security\<nome_do_arquivo_do_certificado_assinado_da_CA>.

    1. Insira a senha do armazenamento de chaves quando solicitado.

    Etapa 8. Reinicie o serviço OAMP.

    Etapa 9. Efetue login no OAMP para ativar a comunicação segura entre o OAMP e o Call Server, o VXML Server ou o Reporting Server.  Navegue até Device Management > Call Server. Marque a caixa de seleção Habilitar comunicação segura com o console Ops. Salve e implante o Call Server e o VXML Server.

    Etapa 10. Execute o comando regedit.

    Navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\OPSConsoleServer\Parameters\Java.

    Anexe-o ao arquivo e salve-o.

    Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
Djavax.net.ssl.trustStoreType=JCEKS

    Note:  Depois de proteger as portas para JMX, o JConsole pode ser acessado somente depois que você executar as etapas definidas para o JConsole listado nos documentos Oracle.

    Etapa 11. Reinicie o serviço OAMP.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    21-Dec-2020
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Ramiro Amaya
      Engenheiro do Cisco TAC
    • Robert Rogier
      Engenheiro do Cisco TAC
    • Adithya Udupa
      Engenheiro da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos