Introdução
Este documento descreve o procedimento para usar SHA256 com CVP.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
Componentes Utilizados
As informações neste documento são baseadas no CVP 10.5.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
A partir de janeiro de 2016, todos os navegadores rejeitaram certificados assinados SHA1. Isso não renderizou os serviços solicitados corretamente, a menos que você mova de SHA1 para SHA256.
Com o recente desenvolvimento em algoritmos computacionais, bem como a capacidade computacional explosiva, SHA1 tem crescido dia a dia mais fraco. Isso levou à resistência de colisão de degradação fundamental do SHA1 e eventual desaparecimento.
Configurar
Procedimento de troca de certificados entre o Console de operações do CVP (OAMP):
No OAMP
Etapa 1. Exportar CERT. OAMP.
c:\Cisco\CVP\jre\bin\keytool.exe -export -v -keystore .keystore -storetype JCEKS -alias oamp_certificate -file oamp_security_76.cer
Etapa 2. Copiar o certificado OAMP para o servidor de chamada e importar.
c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias orm_oamp_certificate -file oamp_security_76.cer
Servidor On Call
Etapa 1. Exportar CALLSERVER CERT.
c:\Cisco\CVP\jre\bin\keytool.exe -export -v -keystore .ormkeystore -storetype JCEKS -alias orm_certificate -file orm_security_108.cer
Etapa 2. Copiar CALLSERVER CERT para OAMP e importar.
c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias oamp_orm_certificate -file orm_security_108.cer
Etapa 3. Exportar certificado de formulário no armazenamento de chaves do Servidor de Chamadas.
C:\Cisco\CVP\conf\security>c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias vxml_orm_certificate -file orm_security_108.cer
Verificar
Você pode validar se a comunicação segura é estabelecida entre os componentes. Navegue até a página OAMP > Gerenciamento de dispositivos > <servidor gerenciado> > Estatísticas
As estatísticas devem ser exibidas.
Você pode usar o JConsole para estabelecer uma conexão se a segurança estiver configurada corretamente:
Etapa 1. c:\Cisco\CVP\conf\orm_jmx.conf no OAMP é semelhante a:
javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = false
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.ormkeystore
javax.net.ssl.keyStorePassword=<local security password>
Etapa 2. Abra jconsole no comando. Use o comando:
C:\Cisco\CVP\jre\bin>jconsole.exe -J-Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore -J-Djavax.net.ssl.trustStorePassword=<oamp security password/jconsole client> -J-Djavax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore -J-Djavax.net.ssl.keyStorePassword=<oamp security password/jconsole client> -J-Djavax.net.ssl.keyStoreType=JCEKS -debug -J-Djavax.net.ssl.trustStoreType=JCEKS
Chave em <managed server ip>:<secure jmx port eg:2099> no campo Remote Process.
Observação: o JConsole deve se conectar sem solicitar que a aplicação ignore o método seguro.
Etapa 3. Wireshark enquanto a conexão jconsole é chamada. A captura oferece uma visão dos detalhes negociados durante o handshake de segurança.
Rastreamentos em JMX
A implementação de JMX usa java.util.logging para registrar rastreamentos de depuração. Muitos desses rastreamentos dizem respeito a classes internas não expostas, mas podem ajudá-lo a entender o que está acontecendo com seu aplicativo.
A implementação JMX possui dois conjuntos de loggers:
javax.management.\*
: todos os loggers relacionados à API JMX
javax.management.remote.\*
: loggers especificamente relacionados à API remota JMX
Você pode encontrar uma descrição mais completa dos loggers JMX aqui.
Você pode ativar os rastreamentos JMX de duas maneiras diferentes:
- Estaticamente, com o uso de um arquivo logging.properties
- Dinamicamente, com o uso de um JMXTracing MBean. No Java SE 6, você pode fazer isso para uma aplicação, mesmo que o conector JMX não esteja ativado na linha de comando.
Usar um arquivo logging.properties
Inicie seu aplicativo com estes sinalizadores:
java -Djava.util.logging.config.file=<logging.properties> ....
onde logging.properties ativa rastreamentos para loggers JMX:
handlers= java.util.logging.ConsoleHandler
.level=INFO
java.util.logging.FileHandler.pattern = %h/java%u.log
java.util.logging.FileHandler.limit = 50000
java.util.logging.FileHandler.count = 1
java.util.logging.FileHandler.formatter = java.util.logging.XMLFormatter
java.util.logging.ConsoleHandler.level = FINEST
java.util.logging.ConsoleHandler.formatter = java.util.logging.SimpleFormatter
// Use FINER or FINEST for javax.management.remote.level - FINEST is
// very verbose...
//
javax.management.level=FINEST
javax.management.remote.level=FINER