在UCCE 12.6解決方案中交換自簽名證書

簡介

本文檔介紹如何在Unified Contact Center Enterprise(UCCE)解決方案中交換自簽名證書。

必要條件

需求

思科建議您瞭解以下主題：

• UCCE版本12.6(2)
• 客戶語音入口網站(CVP)版本12.6(2)
• Cisco Virtualized Voice Browser(VVB)

採用元件

本檔案中的資訊是根據以下軟體版本：

• UCCE 12.6(2)
• CVP 12.6(2)
• Cisco VVB 12.6(2)
• CVP營運主控台(OAMP)
• CVP新OAMP(NOAMP)

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

在UCCE解決方案中，新功能的配置涉及核心應用程式，如路由器、外圍裝置網關(PG)、管理工作站(AW)/管理資料伺服器(ADS)、Finesse、思科統一情報中心(CUIC)等，通過聯絡中心企業版(CCE)管理頁面完成。對於CVP、Cisco VVB和網關等互動式語音響應(IVR)應用，NOAMP控制新功能的配置。從CCE 12.5(1)開始，由於安全管理合規性(SRC)，所有與CCE管理員和NOAMP的通訊都嚴格通過安全HTTP協定完成。

要在自簽名證書環境中實現這些應用程式之間的無縫安全通訊，必須在伺服器之間交換證書。下一節詳細說明了交換自簽名證書所需的步驟：

• CCE AW伺服器和CCE核心應用伺服器
• CVP OAMP伺服器和CVP元件伺服器

附註：本檔案僅適用於CCE版本12.6。請參閱相關資訊部分以獲取指向其他版本的連結。

程式

CCE AW伺服器和CCE核心應用伺服器

這些是匯出自簽名證書的元件，以及需要將自簽名證書匯入其中的元件。

CCE AW伺服器:此伺服器需要來自以下位置的證書：

• Windows平台：路由器和記錄器（記錄器）{A/B}、外圍網關(PG){A/B}和所有AW/ADS。

附註：需要IIS和診斷框架門戶(DFP)。

• VOS平台：Finesse、CUIC、即時資料(LD)、身份伺服器(IDS)、Cloud Connect，以及其他屬於清單資料庫的適用伺服器。這同樣適用於解決方案中的其他AW伺服器。

路由器\記錄器伺服器:此伺服器需要來自以下位置的證書：

• Windows平台：所有AW伺服器IIS證書。

為CCE有效交換自簽名證書所需的步驟分為以下部分。

第1部分：路由器\記錄器、PG和AW伺服器之間的證書交換
第2部分：VOS平台應用程式和AW伺服器之間的證書交換

第1部分：路由器\記錄器、PG和AW伺服器之間的證書交換

成功完成此交換所需的步驟為：

步驟1.從Router\Logger、PG和所有AW伺服器匯出IIS證書。
步驟2.從Router\Logger、PG和所有AW伺服器匯出DFP證書。
步驟3.將IIS和DFP證書從Router\Logger、PG和AW匯入AW伺服器。

步驟 4.從AW伺服器將IIS證書匯入Router\Logger和PG。

注意：開始之前，您必須備份金鑰庫並以管理員身份開啟命令提示符。

(i)瞭解java主路徑以確保java keytool託管位置。您可以通過幾種方法查詢java home路徑。

    選項 1:CLI命令：echo %CCE_JAVA_HOME%

   選項 2:通過高級系統設定手動執行，如下圖所示

(ii)從<ICM install directory>ssl\ 資料夾備份cacerts檔案。您可以將其複製到其他位置。

步驟1.從Router\Logger、PG和所有AW伺服器匯出IIS證書。

(i)在瀏覽器的AW伺服器上，導航到伺服器（Rogers、PG、其他AW伺服器）url:https://{servername}。

(ii)將憑證儲存到臨時資料夾中。例如c:\temp\certs，並將證書命名為ICM{svr}[ab].cer。

附註：選擇Base-64 encoded X.509(.CER)選項。

步驟2.從Router\Logger、PG和所有AW伺服器匯出DFP證書。

(i)在AW伺服器上，開啟瀏覽器，導航到伺服器（路由器、記錄器或記錄器、PG）DFP url :https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion。

(ii)將證書儲存到資料夾示例c:\temp\certs，並將證書命名為dfp{svr}[ab].cer

附註：選擇Base-64 encoded X.509(.CER)選項。

步驟3.將IIS和DFP證書從Router\Logger、PG和AW匯入AW伺服器。

用於將IIS自簽名證書匯入AW伺服器的命令。運行Key工具的路徑：%CCE_JAVA_HOME%\bin:

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\IIS{svr}[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts
Example:%CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\IISAWA.cer -alias AWA_IIS -keystore C:\icm\ssl\cacerts

附註：匯入匯出到所有AW伺服器的所有伺服器證書。

用於將DFP自簽名證書匯入AW伺服器的命令：

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\dfp{svr}[ab].cer -alias {fqdn_of_server}_DFP -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\dfpAWA.cer -alias AWA_DFP -keystore C:\icm\ssl\cacerts

附註：匯入匯出到所有AW伺服器的所有伺服器證書。

在AW伺服器上重新啟動Apache Tomcat服務。

步驟4.從AW伺服器將IIS證書匯入Router\Logger和PG。

用於將AW IIS自簽名證書匯入到Router\Logger和PG伺服器的命令：

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\IIS{svr}[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\IISAWA.cer -alias AWA_IIS -keystore C:\icm\ssl\cacerts

附註：匯入匯出到A端和B端的Rogger和PG伺服器的所有AW IIS伺服器證書。

在路由器\記錄器和PG伺服器上重新啟動Apache Tomcat服務。

第2部分：VOS平台應用程式和AW伺服器之間的證書交換

成功完成此交換所需的步驟為：

步驟1.匯出VOS平台應用伺服器證書。
步驟2.將VOS平台應用程式證書匯入AW伺服器。

此過程適用於VOS應用程式，例如：

• Finesse
• CUIC \ LD \ IDS
• 雲端連線

步驟1.匯出VOS平台應用伺服器證書。

(i)導航至Cisco Unified Communications Operating System Administration頁面：https://FQDN:8443/cmplatform。

(ii)導航到Security > Certificate Management，然後找到應用伺服器tomcat證書。

(iii)選擇certificate，然後按一下Download.PEM File，將其儲存在AW伺服器上的臨時資料夾中。

附註：對使用者執行相同步驟。

步驟2.將VOS平台應用程式匯入AW伺服器。

運行Key工具的路徑：%CCE_JAVA_HOME%\bin

用於匯入自簽名證書的命令：

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\vosapplicationX.pem -alias {fqdn_of_VOS} -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\CUICPub.pem -alias CUICPub -keystore C:\icm\ssl\cacerts

在AW伺服器上重新啟動Apache Tomcat服務。

附註：在其他AW伺服器上執行相同的任務。

CVP OAMP伺服器和CVP元件伺服器

這些是匯出自簽名證書的元件和需要將自簽名證書匯入其中的元件。

(i)CVP OAMP伺服器：此伺服器需要來自的證書

• Windows平台：來自CVP伺服器和報告伺服器的Web服務管理器(WSM)證書。
• VOS平台：Cisco VVB和Cloud Connect server。

(ii)CVP伺服器：此伺服器需要來自的證書

• Windows平台：來自OAMP伺服器的WSM證書。
• VOS平台：Cloud Connect伺服器和Cisco VVB伺服器。

(iii)CVP報告伺服器：此伺服器需要來自的證書

• Windows平台：來自OAMP伺服器的WSM證書

(iv)Cisco VVB伺服器：此伺服器需要來自的證書

• Windows平台：CVP伺服器的VXML證書和CVP伺服器的Callserver證書
• VOS平台：Cloud Connect伺服器

以下三節說明了在CVP環境中有效交換自簽名證書所需的步驟。

第1部分：CVP OAMP伺服器與CVP伺服器及報告伺服器之間的證書交換
第2部分：CVP OAMP伺服器和VOS平台應用程式之間的證書交換
第3部分：CVP伺服器和VOS平台應用之間的證書交換

第1部分：CVP OAMP伺服器與CVP伺服器及報告伺服器之間的證書交換

成功完成此交換所需的步驟為：

步驟1.從CVP伺服器、報告和OAMP伺服器匯出WSM證書。
步驟2.將WSM證書從CVP伺服器和報告伺服器匯入OAMP伺服器。
步驟3.將CVP OAMP伺服器WSM證書匯入CVP伺服器和報告伺服器。

注意：開始之前，必須執行以下操作：
1.以管理員身份開啟命令視窗。
2.對於12.6.2，要標識金鑰庫密碼，請轉到%CVP_HOME%\bin資料夾並運行DecryptKeystoreUtil.bat檔案。
3.對於12.6.1，要標識金鑰庫密碼，請運行命令，其他%CVP_HOME%\conf\security.properties。
4.運行keytool命令時需要此密碼。
5.從%CVP_HOME%\conf\security\目錄運行命令copy .keystore backup.keystore。

步驟1.從CVP伺服器、報告和OAMP伺服器匯出WSM證書。

(i)將WSM證書從每個CVP伺服器匯出到臨時位置，並使用所需的名稱重新命名證書。您可以將其重新命名為wsmX.crt。將X替換為伺服器的主機名。例如，wsmcsa.crt、wsmcsb.crt、wsmrepa.crt、wsmrepb.crt、wsmoamp.crt。

用於匯出自簽名證書的命令：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt

(ii)從每台伺服器的路徑%CVP_HOME%\conf\security\wsm.crt複製證書，並根據伺服器型別將其重新命名為wsmX.crt。

步驟2.將WSM證書從CVP伺服器和報告伺服器匯入OAMP伺服器。

(i)將每個CVP伺服器和報告伺服器WSM證書(wsmX.crt)複製到OAMP伺服器上的%CVP_HOME%\conf\security目錄。

(ii)使用以下命令匯入這些證書：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmcsX.crt

(iii)重新啟動伺服器。

步驟3.將CVP OAMP伺服器WSM證書匯入CVP伺服器和報告伺服器。

(i)將OAMP伺服器WSM證書(wsmoampX.crt)複製到所有CVP伺服器和報告伺服器上的%CVP_HOME%\conf\security目錄。

(ii)使用以下命令匯入憑證：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmoampX.crt

(iii)重新啟動伺服器。

第2部分：CVP OAMP伺服器和VOS平台應用程式之間的證書交換

成功完成此交換所需的步驟為：

步驟1.從VOS平台匯出應用證書。

步驟2.將VOS應用證書匯入OAMP伺服器。

此過程適用於VOS應用程式，例如：

• CUCM
• VVB
• 雲端連線

步驟1.從VOS平台匯出應用證書。

(i)導航至Cisco Unified Communications Operating System Administration頁面：https://FQDN:8443/cmplatform。

(ii)導航到Security > Certificate Management，然後在tomcat-trust資料夾中查詢應用程式主伺服器證書。

(iii)選擇certificate，然後按一下download .PEM file，將其儲存到OAMP伺服器上的臨時資料夾中。

步驟2.將VOS應用證書匯入OAMP伺服器。

(i)將VOS證書複製到OAMP伺服器上的%CVP_HOME%\conf\security目錄。

(ii)使用以下命令匯入憑證：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_VOS} -file %CVP_HOME%\conf\security\VOS.pem

(ii)重新啟動伺服器。

第3部分：CVP伺服器和VOS平台應用之間的證書交換

這是確保CVP和其他聯絡中心元件之間SIP通訊的安全的可選步驟。有關詳細信息，請參閱CVP配置指南：CVP配置指南 — 安全。

CVP CallStudio Web服務整合

有關如何為Web服務元素和Rest_Client元素建立安全通訊的詳細資訊

請參閱Cisco Unified CVP VXML伺服器和Cisco Unified Call Studio版本12.6(2)使用手冊 — Web服務整合[Cisco Unified Customer Voice Portal] - Cisco

相關資訊

• CVP配置指南 — 安全
• UCCE安全指南
• PCCE管理指南
• Exchange PCCE自簽名證書 — PCCE 12.5
• Exchange UCCE自簽名證書 — UCCE 12.5
• Exchange PCCE自簽名證書 — PCCE 12.6
• 實施CA簽名的證書 — CCE 12.6
• 使用客服中心上傳程式工具交換憑證
• 技術支援與文件 - Cisco Systems