简介
本文档介绍如何在统一联系中心企业版(UCCE)解决方案中交换自签名证书。
供稿:Anuj Bhatia、Robert Rogier和Ramiro Amaya,Cisco TAC工程师
先决条件
要求
Cisco 建议您了解以下主题:
- UCCE版本12.5(1)
- 客户语音门户(CVP)版本12.5(1)
- 思科虚拟化语音浏览器(VVB)
使用的组件
本文档中的信息基于以下软件版本:
- UCCE 12.5(1)
- CVP 12.5(1)
- 思科VVB 12.5
- CVP操作控制台(OAMP)
- CVP新OAMP(NOAMP)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景
在UCCE解决方案中,新功能的配置包括核心应用,如Roggers、外围网关(PG)、管理工作站(AW)、Finesse、思科统一智能中心(CUIC)等,通过Contact Center Enterprise(CCE)管理页面完成。对于交互式语音应答(IVR)应用(如CVP、Cisco VVB和网关),NOAMP控制新功能的配置。从CCE 12.5(1)开始,由于符合安全管理(SRC),与CCE管理员和NOAMP的所有通信都严格通过安全HTTP协议完成。
要实现这些应用程序之间的无缝安全通信,在自签名证书环境中这些证书在服务器之间的交换成为必须。下一节详细说明在以下之间交换自签名证书所需的步骤:
- CCE AW服务器和CCE核心应用服务器
- CVP OAMP服务器和CVP组件服务器
步骤
CCE AW服务器和CCE核心应用服务器
这些是自签名证书的导出组件和自签名证书需要导入的组件。
CCE AW服务器:此服务器需要证书来自:
- Windows平台:路由器和记录器(Rogger){A/B}、外围网关(PG){A/B}、所有AW/ADS以及电子邮件和聊天(ECE)服务器。
注意:需要IIS和诊断框架证书。
- VOS平台:Cisco Unified Call Manager(CUCM)、Finesse、CUIC、实时数据(LD)、身份服务器(IDS)、云连接以及资产数据库中的其他适用服务器。
解决方案中的其他AW服务器也是如此。
路由器\记录器服务器:此服务器需要证书来自:
有效交换CCE自签名证书所需的步骤分为以下部分。
第 1 部分:路由器\记录器、PG和AW服务器之间的证书交换。
第 2 部分:VOS平台应用和AW服务器之间的证书交换。
第 1 部分:路由器\记录器、PG和AW服务器之间的证书交换。
成功完成此交换所需的步骤如下:
步骤1.从Router\Logger、PG和所有AW服务器导出IIS证书。
步骤2.从路由器\记录器和PG服务器导出诊断框架门户(DFP)证书。
步骤3.将IIS和DFP证书从Router\Logger、PG导入AW服务器。
步骤4.从AW服务器将IIS证书导入Router\Logger。
警告:在开始之前,必须备份密钥库,并以管理员身份从java主目录运行命令。
(i)了解java主目录路径,以确保java密钥工具的托管位置。有几种方法可以找到java主目录路径。
选项 1:CLI命令:echo %JAVA_HOME%

选项 2:通过高级系统设置手动进行,如图所示

注意:在UCCE 12.5上,默认路径为C:\Program Files(x86)\Java\jre1.8.0_221\bin。但是,如果已使用12.5(1a)安装程序或安装了12.5 ES55(必需的OpenJDK ES),则使用CCE_JAVA_HOME而不是JAVA_HOME,因为Datastore路径已随OpenJDK而更改。有关CCE和CVP中OpenJDK迁移的详细信息,请参阅以下文档:在CCE 2.5(1)中安装并迁移到OpenJDK,在CVP 12.5(1)中安装并迁移到OpenJDK。
(ii)从C:\Program文件(x86)\Java\jre1.8.0_221\lib\security文件夹中备份cacerts文件。您可以将其复制到其他位置。
(iii)以管理员身份打开命令窗口以运行命令。
步骤1.从Router\Logger、PG和所有AW服务器导出IIS证书。
(i)在浏览器的AW服务器上,导航至服务器(Roggers、PG、其他AW服务器)url:https://{servername}。

(ii)将证书保存到临时文件夹,例如c:\temp\certs,并将证书命名为ICM{svr}[ab].cer。
注:选择选项Base-64 encoded X.509(.CER)。
步骤2.从路由器\记录器和PG服务器导出诊断框架门户(DFP)证书。
(i)在AW服务器上,打开浏览器,导航至服务器(路由器、记录器或触发器、PG)DFP URL:https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion。

(ii)将证书保存到文件夹示例c:\temp\certs,并将证书命名为dfp{svr}[ab].cer
注意:选择选项Base-64 encoded X.509(.CER)。
步骤3.将IIS和DFP证书从Rogger、PG导入AW服务器。
用于将IIS自签名证书导入AW服务器的命令。运行Key工具的路径:C:\Program文件(x86)\Java\jre1.8.0_221\bin:
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer
注意:将导出的所有服务器证书导入所有AW服务器。
将DFP自签名证书导入AW服务器的命令:
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_DFP -file c:\temp\certs\ dfp{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_DFP -file c:\temp\certs\dfprgra.cer
注意:将导出的所有服务器证书导入所有AW服务器。
在AW服务器上重新启动Apache Tomcat服务。
步骤4.从AW服务器将IIS证书导入Router\Logger。
将IIS自签名证书导入到Rogger服务器的命令:
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer
注意:导入导出到Rogger A和B端的所有AW IIS服务器证书。
在Rogger Server上重新启动Apache Tomcat服务。
第 2 部分:VOS平台应用和AW服务器之间的证书交换。
成功完成此交换所需的步骤如下:
步骤1.导出VOS平台应用服务器证书。
步骤2.将VOS平台应用证书导入AW服务器。
此流程适用于所有VOS应用,例如:
- CUCM
- Finesse
- CUIC \ LD \ IDS
- 云连接
步骤1.导出VOS平台应用服务器证书。
(i)导航至“思科统一通信操作系统管理”页:https://FQDN:8443/cmplatform。
(ii)导航至“安全”>“证书管理”,并在tomcat-trust文件夹中查找应用程序主服务器证书。

(iii)选择证书,然后点击下载.PEM文件,将其保存在AW服务器上的临时文件夹中。

注意:对用户执行相同的步骤。
步骤2.将VOS平台应用导入AW服务器。
运行密钥工具的路径:C:\Program文件(x86)\Java\jre1.8.0_221\bin
导入自签名证书的命令:
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_vos} -file c:\temp\certs\vosapplicationX.pem
在AW服务器上重新启动Apache Tomcat服务。
注意:在其他AW服务器上执行相同任务。
CVP OAMP服务器和CVP组件服务器
这些是自签名证书的导出组件和自签名证书需要导入的组件。
(i)CVP OAMP服务器:此服务器需要来自
- Windows平台:来自CVP服务器和报告服务器的Web服务管理器(WSM)证书。
- VOS平台:用于客户虚拟代理(CVA)集成的思科VVB,用于Webex体验管理(WXM)集成的云连接服务器。
(ii)CVP服务器:此服务器需要来自
- Windows平台:来自OAMP服务器的WSM证书。
- VOS平台:用于WXM集成的云连接服务器,用于安全SIP和HTTP通信的Cisco VVB服务器。
(iii)CVP报告服务器:此服务器需要来自
- Windows平台:来自OAMP服务器的WSM证书。
(iv)Cisco VVB服务器:此服务器需要来自
- Windows平台:CVP服务器VXML(安全HTTP)、CVP服务器呼叫服务器(安全SIP)
在CVP环境中有效交换自签名证书所需的步骤通过以下三个部分进行说明。
第 1 部分:CVP OAMP服务器与CVP服务器和报告服务器之间的证书交换。
第 2 部分:CVP OAMP服务器与VOS平台应用之间的证书交换。
第 3 部分:CVP服务器与VVB服务器之间的证书交换。
第 1 部分:CVP OAMP服务器与CVP服务器和报告服务器之间的证书交换。
成功完成此交换所需的步骤如下:
步骤1.从CVP服务器、报告和OAMP服务器导出WSM证书。
步骤2.将WSM证书从CVP服务器和报告服务器导入OAMP服务器。
步骤3.将CVP OAMP服务器WSM证书导入CVP服务器和报告服务器。
警告:在开始之前,您必须执行以下操作:
1.获取密钥库密码。运行以下命令:更多%CVP_HOME%\conf\security.properties
2.将%CVP_HOME%\conf\security文件夹复制到另一个文件夹。
3.以管理员身份打开命令窗口以运行命令。
步骤1.从CVP服务器、报告和OAMP服务器导出WSM证书。
(i)将WSM证书从每个CVP服务器导出到临时位置,并使用所需名称重命名证书。可将其重命名为wsmX.crt。用唯一的数字或字母替换X。例如, wsmcsa.crt、 wsmcsb.crt、 wsmrepa.crt、 wsmrepb.crt、 wsmoamp.crt。
用于导出自签名证书的命令:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
(ii)从每台服务器的路径C:\Cisco\CVP\conf\security\wsm.crt复制证书,并根据服务器类型将其重命名为wsmX.crt。
步骤2.将WSM证书从CVP服务器和报告服务器导入OAMP服务器。
(i)将每个CVP服务器和报告服务器WSM证书(wsmX.crt)复制到OAMP服务器上的C:\Cisco\CVP\conf\security目录。
(ii)使用以下命令导入这些证书:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file c:\cisco\cvp\conf\security\wsmcsX.crt
(iii)重新启动服务器。
步骤3.将CVP OAMP服务器WSM证书导入CVP服务器和报告服务器。
(i)将OAMP服务器WSM证书(wsmoampX.crt)复制到所有CVP服务器和报告服务器上的C:\Cisco\CVP\conf\security目录。
(ii)使用命令导入证书:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file c:\cisco\cvp\conf\security\wsmoampX.crt
(iii)重新启动服务器。
第 2 部分:CVP OAMP服务器与VOS平台应用之间的证书交换。
成功完成此交换所需的步骤如下:
步骤1.从VOS平台导出应用证书。
步骤2.将VOS应用证书导入OAMP服务器。
步骤1.从VOS平台导出应用证书。
(i)导航至“思科统一通信操作系统管理”页:https://FQDN:8443/cmplatform。
(ii)导航至“安全”>“证书管理”,并在tomcat-trust文件夹中查找应用程序主服务器证书。

(iii)选择证书,然后点击下载.PEM文件,将其保存在OAMP服务器上的临时文件夹中。

步骤2.将VOS应用证书导入OAMP服务器。
(i)将C VVB证书复制到OAMP服务器上的C:\Cisco\CVP\conf\security目录。
(ii)使用命令导入证书:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_vos} -file c:\cisco\cvp\conf\security\vvb.pem
(ii)重新启动服务器。
第 3 部分:CVP服务器和CVVB服务器之间的证书交换。
这是保护CVVB和CVP服务器之间SIP和HTTP通信的可选步骤。成功完成此交换所需的步骤如下:
步骤1.从VOS平台导出CVVB应用证书。
步骤2.将vos应用证书导入CVP服务器。
步骤 3:从CVP服务器导出callserver和vxml证书。
步骤 4:将callserver和vxml证书导入CVVB服务器。
步骤1.从vos平台导出应用证书。
(i)按照第2部分步骤1中所述的CVVB服务器的相同样例。
步骤2.将VOS应用证书导入CVP服务器。
(i)按照所有CVP服务器上第2部分步骤2所述的步骤操作。
步骤 3:从CVP服务器导出callserver和vxml证书
(i)将每个CVP服务器的callserver和vxml证书导出到临时位置,并使用所需名称重命名证书。可以将其重命名为callserverX.crt \ vxmlX.crt用唯一的数字或字母替换X。
用于导出自签名证书的命令:
Callserver certificate : %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias callserver_certificate -file %CVP_HOME%\conf\security\callserverX.crt
Vxml certificate : %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias vxml_certificate -file %CVP_HOME%\conf\security\vxmlX.crt
(ii)从每台服务器的路径C:\Cisco\CVP\conf\security\wsm.crt复制证书,并根据证书类型将其重命名为callserverX.crt \ vxmlX.crt。
步骤 4:将callserver和vxml证书导入CVVB服务器。
(i)导航至“思科统一通信操作系统管理”页:https://FQDN:8443/cmplatform。
(ii)导航至Security > Certificate Management,并选择Upload Certificate/Certificate chain选项。

(iii)在上传证书/证书链中,在证书用途字段中选择tomcat-trust,然后按步骤3中执行的步骤上传导出的证书。

(iv)重新启动服务器。
CVP CallStudio WEBService集成
有关如何为Web服务元素和Rest_Client元素建立安全通信的详细信息
请参阅《Cisco Unified CVP VXML服务器和Cisco Unified Call Studio版本12.5(1)- Web服务集成用户指南》[Cisco Unified Customer Voice Portal] - Cisco
相关信息
技术支持和文档 - Cisco Systems