在UCCE解决方案的Exchange自签名证书

简介

本文描述如何交换在Unified联络中心企业(UCCE)解决方案的自签名证书。

贡献用Anuj Bhatia， Robert Rogier和拉米罗Amaya， Cisco TAC工程师

先决条件

要求

Cisco 建议您了解以下主题：

• UCCE版本12.5(1)
• Customer Voice Portal (CVP)版本12.5 (1)
• Cisco虚拟化语音浏览器(VVB)

使用的组件

本文档中的信息基于以下软件版本：

• UCCE 12.5(1)
• CVP 12.5(1)
• Cisco VVB 12.5
• CVP操作控制台(OAMP)
• CVP新建的OAMP (NOAMP)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景

在UCCE介入核心applicatios例如Roggers，外围通路新特性(PG)， Admin工作站(AW)，精良， Cisco Unified智能中心(CUIC)等等的解决方案配置中通过联络中心企业(CCE)管理员页面执行。对于交互语音应答(IVR)应用程序类似CVP、Cisco VVB和网关， NOAMP控制新特性的配置。从CCE 12.5(1)由于安全管理法规遵从性(SRC)所有通信对CCE admin和NOAMP通过安全HTTP协议严格完成。

要达到这些应用程序之间的无缝的安全通信在这些证书自签名证书环境交换在服务器之间的请变为必需。下一部分详细解释必要的步骤交换自签名证书之间：

• CCE AW服务器和CCE核心应用程序应用程序服务器
• CVP OAMP服务器和CVP组件服务器

步骤

CCE AW服务器和CCE核心应用程序应用程序服务器

这些是自签名证书导出的自签名证书需要导入的组件和组件。

CCE AW服务器：此服务器要求证书从：

• Windows平台：路由器和Logger(Rogger) {A/B}，外围网关(PG) {A/B}，所有AW/ADS和电子邮件和聊天(ECE)服务器。

Note:IIS和诊断框架证书是需要的。

• VOS平台：Cisco Unified CallManager (CUCM)，精良、CUIC、Live数据(LD)，标识服务器(IDS)， Cloud连接和是库存数据库的一部分的其他可适用的服务器。

同样申请在解决方案的其他AW服务器。

路由器\记录器服务器：此服务器要求证书从：

• Windows平台：所有AW服务器IIS证书。

必要的步骤有效交换CCE的自签名证书在这些部分分开。

第 1 部分：在路由器\记录器， PG和AW服务器之间的证书Exchange。
第 2 部分：在VOS平台应用程序和AW服务器之间的证书Exchange。

第 1 部分：在路由器\记录器， PG和AW服务器之间的证书Exchange。

必要的步骤完成此交换顺利地是：

步骤1.出口从路由器\记录器、PG和所有AW服务器的IIS证书。
步骤2.从路由器\记录器和PG服务器的出口诊断框架门廓(DFP)证书。
步骤3.导入从路由器\记录器的IIS和DFP证书，对AW服务器的PG。
步骤4.导入对路由器\记录器的IIS证书从AW服务器。

警告：在您开始前，您必须备份keystore和从Java主页运行命令作为管理员。

(i)认识Java家庭路径保证Java keytool哪里主机。有您能找到Java主页路径的两个方式。

    选项 1：CLI命令：响应%JAVA_HOME%

    

   选项 2：手工通过先进的系统设置，如镜像所显示

   

Note:在UCCE 12.5默认路径是C:\Program文件(x86)\Java\jre1.8.0_221\bin。

(ii)备份cacerts文件从文件夹C:\Program文件(x86)\Java\jre1.8.0_221\lib\security。 您能复制它到另一个位置。

(iii)打开命令窗口作为管理员运行命令。

步骤1.导出从路由器\记录器、PG和所有AW服务器的IIS证书。

(i)在从浏览器的AW服务器上，请导航对服务器(Roggers， PG，其他AW服务器) URL ：https:// {servername}。

(ii)保存证书到临时文件夹，例如c:\temp\certs并且命名cert作为ICM {svr} [ab] .cer。

Note:选择选项Base-64编码的X.509 (.CER)。

步骤2.导出从路由器\记录器和PG服务器的诊断框架门廓(DFP)证书。

(i)在AW服务器上，请打开浏览器，并且导航对服务器(路由器、记录器或者Roggers， PG) DFP URL ：https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion.

(ii)保存证书对文件夹示例c:\temp\certs并且命名cert作为dfp {svr} [ab] .cer

Note:选择选项Base-64编码的X.509 (.CER)。

步骤3.导入从Rogger的IIS和DFP证书， PG到AW服务器。

发出命令导入IIS自签名证书到AW服务器。运行关键工具的路径：C:\Program文件(x86)\Java\jre1.8.0_221\bin ：

keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer

Note:Import all服务器证书导出到所有AW服务器。

命令导入DFP自签名证书到AW服务器：

keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_DFP -file c:\temp\certs\ dfp{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_DFP -file c:\temp\certs\dfprgra.cer

Note:Import all服务器证书导出到所有AW服务器。

重新启动在AW服务器的Apache Tomcat服务。

步骤4.导入IIS证书到路由器\记录器从AW服务器。

发出命令导入IIS自签名证书到Rogger服务器：

keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer

Note:Import all AW IIS服务器证书导出到Rogger A和B端。

重新启动在Rogger服务器的Apache Tomcat服务。

第 2 部分：在VOS平台应用程序和AW服务器之间的证书Exchange。

必要的步骤完成此交换顺利地是：

步骤1.出口VOS平台应用服务器证书。
步骤2.导入VOS平台对AW服务器的应用程序证书。

此进程为所有VOS应用程序是可适用的例如：

• CUCM
• Finesse
• CUIC \ LD \ IDS
• Cloud连接

步骤1.出口VOS平台应用服务器证书。

(i)导航对Cisco Unified通信操作系统的管理页面：https://FQDN:8443/cmplatform。

(ii)导航对安全> Certificate Management并且查找在Tomcat信任文件夹的应用程序主服务器证书。

(iii)选择证书并且点击下载.PEM文件保存它在AW服务器的一个临时文件夹。

Note:执行用户的同样步骤。

步骤2.导入VOS对AW服务器的平台应用程序。

运行关键工具的路径：C:\Program文件(x86)\Java\jre1.8.0_221\bin

命令导入自签名证书：

keytool -keystore C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_vos} -file c:\temp\certs\vosapplicationX.pem

重新启动在AW服务器的Apache Tomcat服务。

Note:执行在其他AW服务器的同一任务。

CVP OAMP服务器和CVP组件服务器

这些是自签名证书导出的自签名证书需要导入的组件和组件。

(i) CVP OAMP服务器：此服务器要求证书从

• Windows平台：网站服务从CVP服务器和报告服务器的管理器(WSM)证书。
• VOS平台：客户虚拟代理程序(CVA)集成的Cisco VVB， Cloud WebEx体验管理(WXM)集成的连接服务器。

(ii) CVP服务器：此服务器要求证书从

• Windows平台：从OAMP服务器的WSM证书。
• VOS平台：Cloud WXM集成的连接服务器，安全SIP和HTTP通信的Cisco VVB服务器。

(iii)报告服务器的CVP ：此服务器要求证书从

• Windows平台：从OAMP服务器的WSM证书。

(iv) Cisco VVB服务器：此服务器要求证书从

• Windows平台：CVP服务器VXML (安全HTTP)， CVP服务器callserver (安全SIP)

必要的步骤有效交换在CVP环境的自签名证书通过这三个部分解释。

第 1 部分：在CVP OAMP服务器和CVP服务器和报告服务器之间的证书Exchange。
第 2 部分：在CVP OAMP服务器和VOS平台应用程序之间的证书Exchange。
第 3 部分：在CVP服务器和VVB服务器之间的证书Exchange。

第 1 部分：在CVP OAMP服务器和CVP服务器和报告服务器之间的证书Exchange。

必要的步骤完成此交换顺利地是：

步骤1.出口从CVP服务器，报告和OAMP服务器的WSM证书。
步骤2.导入从CVP服务器和报告服务器的WSM证书到OAMP服务器。
步骤3.导入CVP OAMP服务器WSM证书到CVP服务器和报告服务器里。

警告：在您开始前，您必须执行此：
1. 得到keystore密码。运行命令：更多%CVP_HOME% \ conf \ security.properties
2. 复制%CVP_HOME% \ conf \安全文件夹到另一个文件夹。
3. 打开命令窗口作为管理员运行命令。

步骤1.导出从CVP服务器，报告和OAMP服务器的WSM证书。

(i)导出从每个CVP服务器的WSM证书到一个临时位置，并且重命名与一希望的名称的证书。您能重命名它作为wsmX.crt。用唯一号码替换X或在上写字。即wsmcsa.crt， wsmcsb.crt， wsmrepa.crt， wsmrepb.crt， wsmoamp.crt。

命令导出自签名证书：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt

(ii)复制从路径C:\Cisco\CVP\conf\security\wsm.crt的证书从每个服务器并且重命名它作为wsmX.crt根据服务器类型。

步骤2.导入从CVP服务器的WSM证书和报告服务器到OAMP服务器。

(i)复制每个CVP服务器和报告服务器WSM证书(wsmX.crt)对在OAMP服务器的C:\Cisco\CVP\conf\security目录。

(ii)导入这些证书用命令：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file c:\cisco\cvp\conf\security\wsmcsX.crt

(iii)重新启动服务器。

步骤3.导入CVP OAMP服务器WSM证书到CVP服务器和报告服务器。

(i)复制OAMP服务器WSM证书(wsmoampX.crt)对在所有CVP服务器的C:\Cisco\CVP\conf\security目录和报告服务器。

(ii)导入证书用命令：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file c:\cisco\cvp\conf\security\wsmoampX.crt

(iii)重新启动服务器。

第 2 部分：在CVP OAMP服务器和VOS平台应用程序之间的证书Exchange。

必要的步骤完成此交换顺利地是：

步骤1.出口从VOS平台的应用程序证书。

步骤2.导入VOS应用程序证书到OAMP服务器里。

步骤1.出口从VOS平台的应用程序证书。

(i)导航对Cisco Unified通信操作系统的管理页面：https://FQDN:8443/cmplatform。

(ii)导航对安全> Certificate Management并且查找在Tomcat信任文件夹的应用程序主服务器证书。

(iii)选择证书并且点击下载.PEM文件保存它在OAMP服务器的一个临时文件夹。

步骤2.导入VOS应用程序证书到OAMP服务器。

(i)复制theC VVB证书对在OAMP服务器的C:\Cisco\CVP\conf\security目录。

(ii)导入证书用命令：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_vos} -file c:\cisco\cvp\conf\security\vvb.pem

(ii)重新启动服务器。

第 3 部分：在CVP服务器和CVVB服务器之间的证书Exchange。

这是巩固CVVB和CVP服务器之间的SIP和HTTP通信的可选步骤。必要的步骤完成此交换顺利地是：

步骤1.出口CVVB从VOS平台的应用程序证书。
步骤2.导入vos应用程序证书到CVP服务器里。
步骤 3：出口callserver和vxml证书从CVP服务器。 
步骤 4：导入callserver和vxml证书到CVVB服务器里。

步骤1.出口从vos平台的应用程序证书。

(i)跟随同一镫骨如step1 CVVB服务器的部分所述2。

步骤2.导入VOS应用程序证书到CVP服务器。

(i)遵从同样步骤如步骤2所述在所有CVP服务器的部分2。

步骤 3：导出从CVP服务器的callserver和vxml证书

(i)导出从每个CVP服务器的callserver和vxml证书到一个临时位置，并且重命名与一希望的名称的证书。当callserverX.crt \ vxmlX.crt替换X witha唯一号码或字母，您能重命名它。 

命令导出自签名证书：

Callserver certificate : %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias callserver_certificate -file %CVP_HOME%\conf\security\callserverX.crt
Vxml certificate : %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias vxml_certificate -file %CVP_HOME%\conf\security\vxmlX.crt

(ii)复制从路径C:\Cisco\CVP\conf\security\wsm.crt的证书从每个服务器并且重命名它作为callserverX.crt \ vxmlX.crt根据证书类型。

步骤 4：导入callserver和vxml证书到CVVB服务器。

(i)导航对Cisco Unified通信操作系统的管理页面：https://FQDN:8443/cmplatform。

(ii)导航到安全> Certificate Management和挑选选项加载证书/证书链。

(iii)在加载证书/证书链挑选Tomcat信任在证书请目的字段并且上传导出的证书如执行在步骤3。 

(iv)重新启动服务器。