CVP OAMP和CVP组件之间采用相互身份验证的安全JMX通信

简介

本文档介绍如何通过证书颁发机构(CA)签名证书保护Cisco Unified Contact Center Enterprise(UCCE)解决方案中的客户语音门户(CVP)操作和管理控制台(OAMP)与CVP服务器和CVP报告服务器之间的Java管理扩展(JMX)通信。

先决条件

要求

Cisco 建议您了解以下主题：

• UCCE版本12.5(1)
• 客户语音门户(CVP)版本12.5(1)

使用的组件

本文档中的信息基于以下软件版本：

• UCCE 12.5(1)
• CVP 12.5(1)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

OAMP通过JMX协议与CVP呼叫服务器、CVP VXML服务器和CVP报告服务器通信。OAMP和这些CVP组件之间的安全通信可防止JMX安全漏洞。这种安全通信是可选的，OAMP和CVP组件之间的常规操作不需要这种通信。

您可以通过以下方式保护JMX通信：

• 在CVP服务器和CVP报告服务器中为Web服务管理器(WSM)生成证书签名请求(CSR)。
• 在CVP服务器和CVP报告服务器中为WSM生成CSR客户端证书。
• 为OAMP生成CSR客户端证书（将在OAMP上完成）。
• 证书颁发机构对证书进行签名。
• 导入CVP服务器、CVP报告服务器和OAMP中的CA签名证书、根证书和中间证书。
• [可选]保护JConsole登录OAMP。
• 安全系统CLI。

为WSM生成CSR证书

步骤1.登录到CVP服务器或报告服务器。从security.properties文件检索密钥库密码。

注意：在命令提示符下，输入更多%CVP_HOME%\conf\security.properties。Security.keystorePW = <返回密钥库密码>出现提示时输入密钥库密码。 

Step 2.  导航到%CVP_HOME%\conf\security并删除WSM证书。使用此命令。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate。

出现提示时，输入密钥库密码。

步骤3.对CVP服务器上的呼叫服务器(callserver_certificate)和VXML服务器证书(vxml_certificate)以及报告服务器上的呼叫服务器证书(callserver_certificate)重复步骤2。

步骤4.为WSM服务生成CA签名的证书。使用以下命令：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -v -keysize 2048 -keyalg RSA。

1. 在提示时输入详细信息，并键入Yes进行确认。
2. 出现提示时，输入密钥库密码。

注意：记下CN名称以备将来参考。

步骤5.生成别名的证书请求。运行此命令并将其保存到文件。例如，wsm.csr。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.csr。

1.根据提示输入密钥库密码。

步骤6.获取CA签名的证书。使用过程创建具有CA颁发机构的CA签名证书，并确保在CA生成签名证书时使用客户端 — 服务器证书身份验证模板。

步骤7.下载签名证书、CA机构的根证书和中间证书。

步骤8.将根、中间和CA签名的WSM证书复制到%CVP_HOME%\conf\security\。

步骤9.使用此命令导入根证书。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cer>

1. 出现提示时，输入密钥库密码。
2. 在Trust this certificate提示符下，键入Yes。

步骤10.使用此命令导入中间证书。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias intermediate -file %CVP_HOME%\conf\security\<filename_of_intermediate_cer>

1. 出现提示时，输入密钥库密码。
2. 在Trust this certificate提示符下，键入Yes。

步骤11.使用此命令导入CA签名的WSM证书。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias wsm_certificate -file %CVP_HOME%\conf\security\<filename_of_your_signed_cert_from_CA>。

1.根据提示输入密钥库密码。

步骤12.对CVP服务器上的Call Server和VXML Server证书以及报告服务器上的Call Server证书重复步骤4到11（无需将根证书和中间证书导入两次）。

第13步在CVP服务器和CVP报告服务器中配置WSM。

1.导航至c:\cisco\cvp\conf\jmx_wsm.conf。

按所示添加或更新文件并保存：

javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 3000
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword=< keystore_password >
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore 
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS

2.运行regedit命令。

Append this to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\WebServicesManager\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
Djavax.net.ssl.trustStoreType=JCEKS

步骤14.在CVP服务器和报告服务器中配置CVP Callserver的JMX。

1.导航至c:\cisco\cvp\conf\jmx_callserver.conf。

按所示更新文件并保存：

com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2098
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 2097
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword = 
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore 
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS

步骤15.在CVP服务器中配置VXML服务器的JMX。

1.导航至c:\cisco\cvp\conf\jmx_vxml.conf。

按所示编辑文件并保存：

com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 9696
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 9697
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword = 

2.运行regedit命令。

• Append theese to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\VXMLServer\Parameters\Java:
  
  
  
  Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
  Djavax.net.ssl.trustStorePassword=
  Djavax.net.ssl.trustStoreType=JCEKS

3.重新启动CVP服务器上的WSM服务、呼叫服务器和VXML服务器服务以及报告服务器上的WSM服务和呼叫服务器服务。

注意：  使用JMX启用安全通信时，它会强制密钥库为%CVP_HOME%\conf\security\.keystore，而不是%CVP_HOME%\jre\lib\security\cacerts。
因此，必须将%CVP_HOME%\jre\lib\security\cacerts中的证书导入%CVP_HOME%\conf\security\.keystore。

为WSM生成CA签名的客户端证书

步骤1.登录到CVP服务器或报告服务器。从security.properties文件检索密钥库密码。

注意：在命令提示符下，输入更多%CVP_HOME%\conf\security.properties。Security.keystorePW = <返回密钥库密码>出现提示时输入密钥库密码。 

步骤2.导航到%CVP_HOME%\conf\security，并使用此命令生成一个CA签发的证书，用于使用callserver进行客户端身份验证。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CVP服务器或报告服务器WSM证书的CN> -v -keysize 2048 -keyalg RSA

1.在提示时输入详细信息，然后键入是进行确认。
2.根据提示输入密钥库密码。

注意：别名与用于生成WSM服务器证书的CN相同。

步骤3.使用此命令生成别名的证书请求并将其保存到文件(例如jmx_client.csr)。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN of CVP Server or Reporting Server WSM certificate> -file %CVP_HOME%\conf\security\jmx_client.csr

1.根据提示输入密钥库密码。
2.使用下面的命令验证是否成功生成CSR:dir jmx_client.csr。

步骤4.在CA上签署JMX客户端证书。

注意：使用过程创建具有CA颁发机构的CA签名证书。下载CA签名的JMX客户端证书（由于以前已下载和导入根证书和中间证书，因此不需要这些证书）。

1.根据提示输入密钥库密码。
2.在“信任此证书”提示符下，键入Yes。

步骤5.将CA签名的JMX客户端证书复制到%CVP_HOME%\conf\security\。

步骤6.使用此命令导入CA签名的JMX客户端证书。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CVP服务器或报告服务器WSM证书的CN> -file %CVP_HOME%\conf\security\<CA签名的JMX客户端证书的文件名>

1.根据提示输入密钥库密码。

步骤7.重新启动Cisco CVP呼叫服务器、VXML服务器和WSM服务。

步骤8.对报告服务器重复相同的过程（如果已实施）。

为OAMP生成CA签名的客户端证书（将在OAMP上完成）

步骤1.登录到OAMP服务器。从security.properties文件检索密钥库密码。

注意：在命令提示符下，输入more %CVP_HOME%\conf\security.properties。Security.keystorePW = <返回密钥库密码>出现提示时输入密钥库密码。 

第2步：导航到%CVP_HOME%\conf\security，并使用CVP服务器或CVP报告服务器WSM为客户端身份验证生成CA签名的证书。使用此命令。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN of CVP Server or CVP Reporting Server WSM certificate> -v -keysize 2048 -keyalg RSA。

1.在提示时输入详细信息，然后键入“是”进行确认。
2.根据提示输入密钥库密码。

步骤3.使用此命令生成别名的证书请求并将其保存到文件(例如jmx.csr)。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN of CVP Server or CVP Reporting Server WSM certificate> -file %CVP_HOME%\conf\security\jmx.csr。

1.根据提示输入密钥库密码。

步骤4.在CA上签署证书。

注意：使用过程创建使用CA机构的CA签名证书。下载CA颁发机构的证书和根证书。

步骤5.将根证书和CA签名的JMX客户端证书复制到%CVP_HOME%\conf\security\。

步骤6.导入CA的根证书。使用此命令。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cert>

1.根据提示输入密钥库密码。
2.在“信任此证书”提示符下，键入Yes。

步骤7.导入CVP服务器和CVP报告服务器的CA签名的JMX客户端证书。使用此命令。

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CVP服务器或CVP报告服务器WSM证书的CN> -file %CVP_HOME%\conf\security\<filename_of_your_signed_cert_from_CA>。

1.根据提示输入密钥库密码。

步骤8.重新启动OAMP服务。

步骤9.登录OAMP。启用OAMP与呼叫服务器、VXML服务器或报告服务器之间的安全通信。  导航到设备管理>呼叫服务器。选中Enable secure communication with the Ops console复选框。保存并部署呼叫服务器和VXML服务器。

步骤10.运行regedit命令。

导航至HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\OPSConsoleServer\Parameters\Java。

将此添加到文件并保存。

Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
Djavax.net.ssl.trustStoreType=JCEKS

注意：  保护JMX的端口后，只有执行Oracle文档中列出的JConsole定义步骤后，才能访问JConsole。

步骤11.重新启动OAMP服务。

相关信息

• CVP安全配置指南
• 技术支持和文档 - Cisco Systems