统一CCE解决方案:获取和上传第三方CA证书的过程(版本11.x)
目录
简介
本文档旨在详细解释获取和安装由第三方供应商生成的证书颁发机构(CA)证书,以在Finesse、思科统一情报中心(CUIC)和实时数据(LD)服务器之间建立HTTPS连接的步骤。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科统一联系中心企业版(UCCE)
- Cisco Live Data(LD)
- 思科统一情报中心(CUIC)
- 思科Finesse
- CA认证
使用的组件
本文档中使用的信息基于UCCE解决方案11.0(1)版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解任何步骤的潜在影响。
背景信息
为了使用HTTPS在Finesse、CUIC和实时数据服务器之间进行安全通信,需要设置安全证书。默认情况下,这些服务器提供使用的自签名证书,或者客户可以获取和安装证书颁发机构(CA)签名证书。这些CA证书可以从VeriSign、Thawte、GeoTrust等第三方供应商处获取,也可以内部制作。
配置
在Finesse、CUIC和实时数据服务器中设置HTTPS通信的证书需要以下步骤:
- 生成并下载证书签名请求(CSR)。
- 使用CSR从证书颁发机构获取根、中间证书(如果适用)和应用证书。
- 将证书上传到服务器。
步骤1.生成并下载证书签名请求(CSR)。
- 此处介绍的生成和下载CSR的步骤对于Finesse、CUIC和实时数据服务器是相同的。
- 使用指定的URL打开Cisco Unified Communications Operating System Administration页面,并使用在安装过程中创建的操作系统管理员帐户登录
https://FQDN:8443/cmplatform - 生成证书签名请求(CSR),如图所示:
步骤1.导航到安全>证书管理>生成CSR。
步骤2.从Certificate Purpose Name下拉列表中,选择tomcat。
步骤3.根据业务需求选择散列算法和密钥长度。
— 密钥长度:2048 \散列算法:建议使用SHA256
步骤4.单击生成CSR。 - 下载证书签名请求(CSR),如图所示:
步骤1.导航到安全>证书管理>下载CSR。
步骤2.从Certificate Name下拉列表中选择tomcat。
步骤3.单击下载CSR。
注意:
步骤2.从证书颁发机构获取根证书、中间证书(如果适用)步骤5.和应用证书。
- 向第三方证书颁发机构(如VeriSign、Thawte、GeoTrust等)提供主要和辅助服务器的证书签名请求(CSR)信息。
- 从证书颁发机构中,应该收到主服务器和辅助服务器的以下证书链。
- Finesse服务器:根、中间(可选)和应用证书
- CUIC服务器:根、中间(可选)和应用证书
- 实时数据服务:根、中间(可选)和应用证书
步骤3.将证书上传到服务器。
本节介绍如何在Finesse、CUIC和Live数据服务器上正确上传证书链。
Finesse服务器
- 借助以下步骤,在主Finesse服务器上上传根证书:
步骤1.在主服务器Cisco Unified Communications Operating System Administration页面上,导航至 安全(Security)>证书管理(Certificate Management)>上传证书(Upload Certificate)。
步骤2.从Certificate Name下拉列表中,选择tomcat-trust。
步骤3.在Upload File字段中,点击浏览并浏览到根证书文件。
步骤4.点击上传文件(Upload File)。 - 借助以下步骤,在主Finese服务器上上传中间证书:
步骤1.上传中间证书的步骤与步骤1所示的根证书的步骤相同。
第2步:在主服务器Cisco Unified Communications Operating System Administration页面上,导航到安全>证书管理>上传证书。
步骤3.从Certificate Name下拉列表中,选择tomcat-trust。
步骤4.在Upload File字段中,点击browse并浏览到Intermediate certificate file。
步骤5.单击Upload。 - 上传主Finesse服务器应用证书,如图所示:
步骤1.从Certificate Name下拉列表中选择tomcat。
步骤2.在Upload File字段中,点击Browse并浏览到应用程序证书文件。
步骤3.单击上传上传文件。 - 上传辅助财务服务器应用证书。
在此步骤f中在辅助服务器上执行第3步中提到的相同过程以获取自己的应用证书。
- 现在您可以重新启动服务器。
访问主要和辅助Finesse服务器的CLI,并输入命令utils system restart以重新启动服务器。
CUIC服务器(假设证书链中不存在中间证书)
- 在主CUIC服务器上上传根证书。
步骤1.在主服务器Cisco Unified Communications Operating System Administration页面上,导航到Security > Certificate Management > Upload Certificate/Certificate chain。
步骤2.从Certificate Name下拉列表中,选择tomcat-trust。
步骤3.在Upload File字段中,点击浏览并浏览到根证书文件。
步骤4.点击上传文件(Upload File)。 - 上传主CUIC服务器应用证书。
步骤1.从Certificate Name下拉列表中选择tomcat。
步骤2.在Upload File字段中,点击Browse并浏览至应用证书文件。
步骤3.点击上传文件(Upload File)。 - 上传辅助CUIC服务器应用证书。
在辅助服务器上执行与步骤(2)中所述的相同过程,以获取自己的应用证书 - 重新启动服务器
访问主CUIC服务器和辅助CUIC服务器上的CLI,并输入命令“utils system restart”重新启动服务器。
实时数据服务器
- Live-Data服务器上上传证书所涉及的步骤与Finesse或CUIC服务器相同,具体取决于证书链。
- 在主实时数据服务器上上传根证书。
步骤1.在主服务器Cisco Unified Communications Operating System Administration页面上,导航到Security > Certificate Management > Upload Certificate。
步骤2.从Certificate Name下拉列表中,选择tomcat-trust。
步骤3.在Upload File字段中,点击browse并浏览到根证书文件。
步骤4.单击Upload。 - 在主实时数据服务器上上传中间证书。
步骤1.上传中间证书的步骤与步骤1所示的根证书的步骤相同。
第2步:在主服务器Cisco Unified Communications Operating System Administration页面上,导航到Security > Certificate Management > Upload Certificate。
步骤3.从Certificate Name下拉列表中,选择tomcat-trust。
步骤4.在Upload File字段中,点击browse并浏览到Intermediate certificate文件。
步骤5.单击Upload。
- 上传主实时数据服务器应用证书.
步骤1.从Certificate Name下拉列表中选择tomcat。
步骤2.在Upload File字段中,点击Browse并浏览到应用程序证书文件。
步骤3.单击Upload。 - 上传辅助实时数据服务器应用证书。
在辅助服务器上执行上述步骤(4),以获取自己的应用证书。
- 重新启动服务器
访问主Finesse服务器和辅助Finesse服务器上的CLI,并输入命令“utils system restart”重新启动服务器。
实时数据服务器证书依赖关系
当实时数据服务器与CUIC和Finesse服务器交互时,这些服务器之间存在证书依赖关系,如图所示:
对于第三方CA证书链,根证书和中间证书对于组织中的所有服务器都是相同的。为使Live数据服务器正常工作,您必须确保Finesse和CUIC服务器将根证书和中间证书正确加载到这些Tomcat-Trust容器中。
验证
当前没有可用于此配置的验证过程。
故障排除
目前没有针对此配置的故障排除信息。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
07-Dec-2015
|
初始版本 |
反馈