UCCE解决方案中的Exchange自签名证书

下载选项

  • PDF     (872.4 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (697.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (476.1 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2022 年 7 月 14 日
文档 ID:215445

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在统一联系中心企业版(UCCE)解决方案中交换自签名证书。

    供稿:Anuj Bhatia、Robert Rogier和Ramiro Amaya,Cisco TAC工程师

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • UCCE版本12.5(1)
    • 客户语音门户(CVP)版本12.5(1)
    • 思科虚拟化语音浏览器(VVB)

    使用的组件

    本文档中的信息基于以下软件版本:

    • UCCE 12.5(1)
    • CVP 12.5(1)
    • 思科VVB 12.5
    • CVP操作控制台(OAMP)
    • CVP新OAMP(NOAMP)

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景

    在UCCE解决方案中,新功能的配置包括核心应用,如Roggers、外围网关(PG)、管理工作站(AW)、Finesse、思科统一智能中心(CUIC)等,通过Contact Center Enterprise(CCE)管理页面完成。对于交互式语音应答(IVR)应用(如CVP、Cisco VVB和网关),NOAMP控制新功能的配置。从CCE 12.5(1)开始,由于符合安全管理(SRC),与CCE管理员和NOAMP的所有通信都严格通过安全HTTP协议完成。

    要实现这些应用程序之间的无缝安全通信,在自签名证书环境中这些证书在服务器之间的交换成为必须。下一节详细说明在以下之间交换自签名证书所需的步骤:

    • CCE AW服务器和CCE核心应用服务器
    • CVP OAMP服务器和CVP组件服务器

    步骤

    CCE AW服务器和CCE核心应用服务器

    这些是自签名证书的导出组件和自签名证书需要导入的组件。

    CCE AW服务器:此服务器需要证书来自:

    • Windows平台:路由器和记录器(Rogger){A/B}、外围网关(PG){A/B}、所有AW/ADS以及电子邮件和聊天(ECE)服务器。

    注意:需要IIS和诊断框架证书。

    • VOS平台:Cisco Unified Call Manager(CUCM)、Finesse、CUIC、实时数据(LD)、身份服务器(IDS)、云连接以及资产数据库中的其他适用服务器。

    解决方案中的其他AW服务器也是如此。

    路由器\记录器服务器:此服务器需要证书来自:

    • Windows平台:所有AW服务器IIS证书。

    有效交换CCE自签名证书所需的步骤分为以下部分。

    第 1 部分:路由器\记录器、PG和AW服务器之间的证书交换。
    第 2 部分:VOS平台应用和AW服务器之间的证书交换。

    第 1 部分:路由器\记录器、PG和AW服务器之间的证书交换。

    成功完成此交换所需的步骤如下:

    步骤1.从Router\Logger、PG和所有AW服务器导出IIS证书。
    步骤2.从路由器\记录器和PG服务器导出诊断框架门户(DFP)证书。
    步骤3.将IIS和DFP证书从Router\Logger、PG导入AW服务器。
    步骤4.从AW服务器将IIS证书导入Router\Logger。

    警告:在开始之前,必须备份密钥库,并以管理员身份从java主目录运行命令。


    (i)了解java主目录路径,以确保java密钥工具的托管位置。有几种方法可以找到java主目录路径。


        选项 1:CLI命令:echo %JAVA_HOME%

        screen shot 1

       选项 2:通过高级系统设置手动进行,如图所示

       screen shot 2

    注意:在UCCE 12.5上,默认路径为C:\Program Files(x86)\Java\jre1.8.0_221\bin。但是,如果已使用12.5(1a)安装程序或安装了12.5 ES55(必需的OpenJDK ES),则使用CCE_JAVA_HOME而不是JAVA_HOME,因为Datastore路径已随OpenJDK而更改。有关CCE和CVP中OpenJDK迁移的详细信息,请参阅以下文档:在CCE 2.5(1)中安装并迁移到OpenJDK,在CVP 12.5(1)中安装并迁移到OpenJDK

    (ii)从C:\Program文件(x86)\Java\jre1.8.0_221\lib\security文件夹中备份cacerts文件。您可以将其复制到其他位置。

    (iii)以管理员身份打开命令窗口以运行命令。

    步骤1.从Router\Logger、PG和所有AW服务器导出IIS证书。

    (i)在浏览器的AW服务器上,导航至服务器(Roggers、PG、其他AW服务器)url:https://{servername}。

    screen shot 3

    (ii)将证书保存到临时文件夹,例如c:\temp\certs,并将证书命名为ICM{svr}[ab].cer。

    :选择选项Base-64 encoded X.509(.CER)。

    步骤2.从路由器\记录器和PG服务器导出诊断框架门户(DFP)证书。

    (i)在AW服务器上,打开浏览器,导航至服务器(路由器、记录器或触发器、PG)DFP URL:https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion。

    screen shot 8

    (ii)将证书保存到文件夹示例c:\temp\certs,并将证书命名为dfp{svr}[ab].cer

    注意:选择选项Base-64 encoded X.509(.CER)。

    步骤3.将IIS和DFP证书从Rogger、PG导入AW服务器。

    用于将IIS自签名证书导入AW服务器的命令。运行Key工具的路径:C:\Program文件(x86)\Java\jre1.8.0_221\bin:

    keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer

    注意:将导出的所有服务器证书导入所有AW服务器。

    将DFP自签名证书导入AW服务器的命令:

    keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_DFP -file c:\temp\certs\ dfp{svr}[ab].cer
    Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_DFP -file c:\temp\certs\dfprgra.cer

    注意:将导出的所有服务器证书导入所有AW服务器。

    在AW服务器上重新启动Apache Tomcat服务。

    步骤4.从AW服务器将IIS证书导入Router\Logger。

    将IIS自签名证书导入到Rogger服务器的命令:

    keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer

    注意:导入导出到Rogger A和B端的所有AW IIS服务器证书。

    在Rogger Server上重新启动Apache Tomcat服务。

    第 2 部分:VOS平台应用和AW服务器之间的证书交换。

    成功完成此交换所需的步骤如下:

    步骤1.导出VOS平台应用服务器证书。
    步骤2.将VOS平台应用证书导入AW服务器。

    此流程适用于所有VOS应用,例如:

    • CUCM
    • Finesse
    • CUIC \ LD \ IDS
    • 云连接

    步骤1.导出VOS平台应用服务器证书。

    (i)导航至“思科统一通信操作系统管理”页:https://FQDN:8443/cmplatform。

    (ii)导航至“安全”>“证书管理”,并在tomcat-trust文件夹中查找应用程序主服务器证书。

    screen shot 5

    (iii)选择证书,然后点击下载.PEM文件,将其保存在AW服务器上的临时文件夹中。

    screen shot 6

    注意:对用户执行相同的步骤。

    步骤2.将VOS平台应用导入AW服务器。


    运行密钥工具的路径:C:\Program文件(x86)\Java\jre1.8.0_221\bin

    导入自签名证书的命令:

    keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_vos} -file c:\temp\certs\vosapplicationX.pem

    在AW服务器上重新启动Apache Tomcat服务。

    注意:在其他AW服务器上执行相同任务。

    CVP OAMP服务器和CVP组件服务器

    这些是自签名证书的导出组件和自签名证书需要导入的组件。

    (i)CVP OAMP服务器:此服务器需要来自

    • Windows平台:来自CVP服务器和报告服务器的Web服务管理器(WSM)证书。
    • VOS平台:用于客户虚拟代理(CVA)集成的思科VVB,用于Webex体验管理(WXM)集成的云连接服务器。

    (ii)CVP服务器:此服务器需要来自

    • Windows平台:来自OAMP服务器的WSM证书。
    • VOS平台:用于WXM集成的云连接服务器,用于安全SIP和HTTP通信的Cisco VVB服务器。

    (iii)CVP报告服务器:此服务器需要来自

    • Windows平台:来自OAMP服务器的WSM证书。

    (iv)Cisco VVB服务器:此服务器需要来自

    • Windows平台:CVP服务器VXML(安全HTTP)、CVP服务器呼叫服务器(安全SIP)

    在CVP环境中有效交换自签名证书所需的步骤通过以下三个部分进行说明。

    第 1 部分:CVP OAMP服务器与CVP服务器和报告服务器之间的证书交换。
    第 2 部分:CVP OAMP服务器与VOS平台应用之间的证书交换。
    第 3 部分:CVP服务器与VVB服务器之间的证书交换。

    第 1 部分:CVP OAMP服务器与CVP服务器和报告服务器之间的证书交换。

    成功完成此交换所需的步骤如下:

    步骤1.从CVP服务器、报告和OAMP服务器导出WSM证书。
    步骤2.将WSM证书从CVP服务器和报告服务器导入OAMP服务器。
    步骤3.将CVP OAMP服务器WSM证书导入CVP服务器和报告服务器。

    警告:在开始之前,您必须执行以下操作:
    1.获取密钥库密码。运行以下命令:更多%CVP_HOME%\conf\security.properties
    2.将%CVP_HOME%\conf\security文件夹复制到另一个文件夹。
    3.以管理员身份打开命令窗口以运行命令。

    步骤1.从CVP服务器、报告和OAMP服务器导出WSM证书。

    (i)将WSM证书从每个CVP服务器导出到临时位置,并使用所需名称重命名证书。可将其重命名为wsmX.crt。用唯一的数字或字母替换X。例如, wsmcsa.crt、 wsmcsb.crt、 wsmrepa.crt、 wsmrepb.crt、 wsmoamp.crt。

    用于导出自签名证书的命令:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt

    (ii)从每台服务器的路径C:\Cisco\CVP\conf\security\wsm.crt复制证书,并根据服务器类型将其重命名为wsmX.crt。

    步骤2.将WSM证书从CVP服务器和报告服务器导入OAMP服务器。

    (i)将每个CVP服务器和报告服务器WSM证书(wsmX.crt)复制到OAMP服务器上的C:\Cisco\CVP\conf\security目录。

    (ii)使用以下命令导入这些证书:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file c:\cisco\cvp\conf\security\wsmcsX.crt

    (iii)重新启动服务器。

    步骤3.将CVP OAMP服务器WSM证书导入CVP服务器和报告服务器。

    (i)将OAMP服务器WSM证书(wsmoampX.crt)复制到所有CVP服务器和报告服务器上的C:\Cisco\CVP\conf\security目录。

    (ii)使用命令导入证书:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file c:\cisco\cvp\conf\security\wsmoampX.crt

    (iii)重新启动服务器。

    第 2 部分:CVP OAMP服务器与VOS平台应用之间的证书交换。

    成功完成此交换所需的步骤如下:

    步骤1.从VOS平台导出应用证书。

    步骤2.将VOS应用证书导入OAMP服务器。

    步骤1.从VOS平台导出应用证书。

    (i)导航至“思科统一通信操作系统管理”页:https://FQDN:8443/cmplatform。


    (ii)导航至“安全”>“证书管理”,并在tomcat-trust文件夹中查找应用程序主服务器证书。

    screen shot 1

    (iii)选择证书,然后点击下载.PEM文件,将其保存在OAMP服务器上的临时文件夹中。

    screen shot 2

    步骤2.将VOS应用证书导入OAMP服务器。

    (i)将C VVB证书复制到OAMP服务器上的C:\Cisco\CVP\conf\security目录。

    (ii)使用命令导入证书:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_vos} -file c:\cisco\cvp\conf\security\vvb.pem

    (ii)重新启动服务器。

    第 3 部分:CVP服务器和CVVB服务器之间的证书交换。

    这是保护CVVB和CVP服务器之间SIP和HTTP通信的可选步骤。成功完成此交换所需的步骤如下:

    步骤1.从VOS平台导出CVVB应用证书。
    步骤2.将vos应用证书导入CVP服务器。
    步骤 3:从CVP服务器导出callserver和vxml证书。 
    步骤 4:将callserver和vxml证书导入CVVB服务器。

    步骤1.从vos平台导出应用证书。


    (i)按照第2部分步骤1中所述的CVVB服务器的相同样例。

    步骤2.将VOS应用证书导入CVP服务器。

    (i)按照所有CVP服务器上第2部分步骤2所述的步骤操作。

    步骤 3:从CVP服务器导出callserver和vxml证书


    (i)将每个CVP服务器的callserver和vxml证书导出到临时位置,并使用所需名称重命名证书。可以将其重命名为callserverX.crt \ vxmlX.crt用唯一的数字或字母替换X。 

    用于导出自签名证书的命令:

    Callserver certificate : %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias callserver_certificate -file %CVP_HOME%\conf\security\callserverX.crt
Vxml certificate : %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias vxml_certificate -file %CVP_HOME%\conf\security\vxmlX.crt

    (ii)从每台服务器的路径C:\Cisco\CVP\conf\security\wsm.crt复制证书,并根据证书类型将其重命名为callserverX.crt \ vxmlX.crt。

    步骤 4:将callserver和vxml证书导入CVVB服务器


    (i)导航至“思科统一通信操作系统管理”页:https://FQDN:8443/cmplatform。

    (ii)导航至Security > Certificate Management,并选择Upload Certificate/Certificate chain选项。

    screen shot 3


    (iii)在上传证书/证书链中,在证书用途字段中选择tomcat-trust,然后按步骤3中执行的步骤上传导出的证书。 

    screen shot 4

    (iv)重新启动服务器。

    CVP CallStudio WEBService集成

    有关如何为Web服务元素和Rest_Client元素建立安全通信的详细信息

    请参阅《Cisco Unified CVP VXML服务器和Cisco Unified Call Studio版本12.5(1)- Web服务集成用户指南》[Cisco Unified Customer Voice Portal] - Cisco

    相关信息

    技术支持和文档 - Cisco Systems

    修订历史记录

    版本 发布日期 备注
    2.0
    14-Jul-2022
    修订版 11
    1.0
    24-Apr-2020
    初始版本
    TAC Authored

    由思科工程师提供

    • Anuj Bhatia
      思科TAC工程师
    • Robert Rogier
      思科TAC工程师
    • Ramiro Amaya
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品