Austausch selbstsignierter Zertifikate in einer PCCE 12.6-Lösung

Einleitung

In diesem Dokument wird der Austausch selbstsignierter Zertifikate in der Cisco Packaged Contact Center Enterprise (PCCE)-Lösung beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• PCCE-Version 12.6(2)
• Customer Voice Portal (CVP) Version 12.6(2)
• Virtualisierter Sprachbrowser (VB) 12.6(2)
• Admin Workstation / Administration Date Server (AW/ADS) 12.6(2)
• Cisco Unified Intelligence Server (CUIC)
• Customer Collaboration-Plattform (CCP) 12.6(2)
• Enterprise Chat und E-Mail (ECE) 12.6(2)

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

• PCCE 12.6(2)
• CVP 12.6(2)

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrund

Bei der PCCE-Lösung ab 12.x werden alle Geräte über Single Pane of Glass (SPOG) gesteuert, der im Haupt-AW-Server gehostet wird. Aufgrund von Security-Management-Compliance (SRC) ab Version PCCE 12.5(1) erfolgt die gesamte Kommunikation zwischen SPOG und anderen Servern der Lösung ausschließlich über ein sicheres HTTP-Protokoll.

Zertifikate werden verwendet, um eine nahtlose sichere Kommunikation zwischen dem SPOG und den anderen Geräten zu erreichen. In einer selbstsignierten Zertifikatsumgebung ist der Zertifikataustausch zwischen den Servern ein Muss.

Vorgehensweise

Dies sind die Komponenten, aus denen selbstsignierte Zertifikate exportiert werden, und Komponenten, in die selbstsignierte Zertifikate importiert werden müssen.

(i) Alle AW/ADS-Server: Für diese Server ist ein Zertifikat von erforderlich:

• Windows-Plattform:
  • ICM: Router and Logger (Rogger){A/B}, Peripheral Gateway (PG){A/B}, alle AW/ADS- und ECE-Server.

Hinweis: IIS und Diagnostic Framework Portico (DFP) werden benötigt.

• • CVP: CVP-Server, CVP-Reporting-Server.

    Hinweis: WSM-Zertifikat (Web Service Management) aller Server wird benötigt. Zertifikate müssen einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) aufweisen.
• VOS-Plattform: Cloud Connect, Cisco Virtualized Voice Browser (VVB), Cisco Unified Communication Manager (CUCM), Finesse, Cisco Unified Intelligence Center (CUIC), Live Data (LD), Identity Server (IDS) und andere geeignete Server.  

(ii) Router \ Protokollierungsserver: Für diese Server ist ein Zertifikat von erforderlich: 

• Windows-Plattform: Alle AW/ADS-Server IIS-Zertifikat.

(iii) PG-Server: Für diese Server ist ein Zertifikat erforderlich von: 

• Windows-Plattform: Alle AW/ADS-Server IIS-Zertifikat.
• VOS-Plattform: CUCM Publisher (nur CUCM PG-Server); Cloud Connect und CCP (nur MR PG-Server).

Hinweis: Dies ist erforderlich, um den JTAPI-Client vom CUCM-Server herunterzuladen.

(iv) CVP-Server: Für diese Server ist ein Zertifikat von 

• Windows-Plattform: Alle ADS-Server IIS-Zertifikat
• VOS-Plattform: Cloud Connect-Server, VVB-Server. 

(v) CVP-Reporting-Server: Dieser Server benötigt ein Zertifikat von: 

• Windows-Plattform: Alle ADS-Server IIS-Zertifikat

(vi) VVB-Server: Dieser Server benötigt ein Zertifikat von: 

• Windows-Plattform: Alle ADS-Server IIS-Zertifikat, VXML-Zertifikat vom CVP-Server und Callserver-Zertifikat vom CVP-Server
• VOS-Plattform: Cloud Connect-Server 

Die erforderlichen Schritte zum effektiven Austausch der selbstsignierten Zertifikate in der Lösung sind in drei Abschnitte unterteilt.

Abschnitt 1: Zertifikataustausch zwischen CVP- und ADS-Servern.

Abschnitt 2: Zertifikataustausch zwischen VOS-Plattformanwendungen und dem ADS-Server.

Abschnitt 3: Zertifikataustausch zwischen Roggers, PGs und ADS-Server.

Abschnitt 1: Zertifikataustausch zwischen CVP- und ADS-Servern

Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:

Schritt 1: CVP-Server-WSM-Zertifikate exportieren

Schritt 2: CVP-Server WSM-Zertifikat auf ADS-Server importieren.

Schritt 3: ADS-Serverzertifikat exportieren

Schritt 4: ADS-Server auf CVP-Server und CVP Reporting-Server importieren.

Schritt 1: CVP-Serverzertifikate exportieren

Bevor Sie die Zertifikate von den CVP-Servern exportieren, müssen Sie die Zertifikate mit dem FQDN des Servers regenerieren, da sonst nur wenige Funktionen wie Smart Licensing, Virtual Agent Voice (VAV) und die CVP-Synchronisierung mit SPOG Probleme verursachen können.

Vorsicht: Bevor Sie beginnen, müssen Sie dies tun:
1. Öffnen Sie ein Befehlsfenster als Administrator.
2. Für 12.6.2 rufen Sie zur Identifizierung des Keystore-Kennworts den Ordner %CVP_HOME%\bin auf, und führen Sie die Datei DecryptKeystoreUtil.bat aus.
3. Für 12.6.1 führen Sie den Befehl more %CVP_HOME%\conf\security.properties aus, um das Schlüsselspeicherkennwort zu identifizieren.
4. Sie benötigen dieses Kennwort, wenn Sie die Befehle keytool ausführen.
5. Führen Sie im Verzeichnis %CVP_HOME%\conf\security\ den Befehl aus, kopieren Sie .keystore backup.keystore.

Hinweis: Sie können die in diesem Dokument verwendeten Befehle mithilfe des Parameters keytool -storepass optimieren. Geben Sie für alle CVP-Server das von Ihnen angegebene Keytool-Kennwort an. Das Standardkennwort für die ADS-Server lautet: changeIt

Führen Sie die folgenden Schritte aus, um das Zertifikat auf den CVP-Servern neu zu generieren:

(i) Auflisten der Zertifikate im Server

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -list 

Hinweis: Die CVP-Server verfügen über die folgenden selbstsignierten Zertifikate: wsm_certificate, vxml_certificate, callserver_certificate. Wenn Sie den Parameter -v des Schlüsselwerkzeugs verwenden, können Sie detailliertere Informationen zu jedem Zertifikat sehen. Darüber hinaus können Sie das ">"-Symbol am Ende des Listenbefehls keytool.exe hinzufügen, um die Ausgabe an eine Textdatei zu senden, z. B.: > test.txt

ii) Löschen der alten selbstsignierten Zertifikate

CVP-Server: Befehle zum Löschen der selbstsignierten Zertifikate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias vxml_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate

CVP-Reporting-Server: Befehle zum Löschen der selbstsignierten Zertifikate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate

Hinweis: CVP-Reporting-Server verfügen über folgende selbstsignierte Zertifikate: "wsm_certificate", "callserver_certificate".

(iii) Generieren der neuen selbstsignierten Zertifikate mit dem FQDN des Servers

CVP-Server

Befehl zum Generieren des selbstsignierten Zertifikats für WSM:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

Hinweis: Standardmäßig werden die Zertifikate für zwei Jahre generiert. Verwenden Sie -valid XXXX, um das Ablaufdatum festzulegen, an dem Zertifikate neu generiert werden. Andernfalls sind Zertifikate 90 Tage lang gültig und müssen vor diesem Zeitpunkt von einer Zertifizierungsstelle signiert werden. Für die meisten dieser Zertifikate muss eine Validierungszeit von 3-5 Jahren angemessen sein.

Hier sind einige Standardeingaben für die Gültigkeit:

Achtung: Von 12,5 Zertifikate müssen SHA 256, Key Size 2048, und Verschlüsselung Algorithm RSA, verwenden Sie diese Parameter, um diese Werte: -keyalg RSA und -keysize 2048. Es ist wichtig, dass die CVP-Keystore-Befehle den -storetype-Parameter JCEKS enthalten. Andernfalls kann das Zertifikat, der Schlüssel oder, schlimmer noch, der Schlüsselspeicher beschädigt werden.

Geben Sie den FQDN des Servers an, und wie lautet Ihr Vor- und Nachname?

Beantworten Sie die folgenden Fragen:

Wie lautet der Name Ihrer Organisationseinheit?

 [Unbekannt]: <OU angeben>

Wie heißt Ihre Organisation?

 [Unbekannt]: <Name der Organisation angeben>

Wie lautet der Name Ihrer Stadt oder Gemeinde?

 [Unbekannt]: <Name der Stadt/des Ortes angeben>

Wie heißt Ihr Bundesland?

 [Unbekannt]: <Name des Bundeslandes angeben>

Wie lautet der aus zwei Buchstaben bestehende Ländercode für diese Einheit?

 [Unbekannt]: <Ländercode aus zwei Buchstaben angeben>

Geben Sie für die nächsten beiden Eingaben yes (Ja) an.

Führen Sie für vxml_certificate und callserver_certificate die gleichen Schritte aus:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

Neustart des CVP-Anrufservers

CVP-Reporting-Server

Befehl zum Generieren der selbstsignierten Zertifikate für WSM:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

Geben Sie den FQDN des Servers für die Abfrage an, wie lautet Ihr Vor- und Nachname?, und fahren Sie mit den gleichen Schritten wie bei CVP-Servern fort.

Führen Sie für callserver_certificate die gleichen Schritte aus:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

Starten Sie die Reporting-Server neu.

(iv) Export von wsm_Certificate von CVP- und Reporting-Servern

a) Exportieren Sie das WSM-Zertifikat von jedem CVP-Server an einen temporären Speicherort, und benennen Sie das Zertifikat um, und geben Sie ihm den gewünschten Namen. Sie können sie in wsmcsX.crt umbenennen. Ersetzen Sie "X" durch den Hostnamen des Servers. Beispiel: wsmcsa.crt, wsmcsb.crt, wsmrepa.crt, wsmrepb.crt.

Befehl zum Exportieren der selbstsignierten Zertifikate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt

b) Kopieren Sie das Zertifikat aus dem Pfad %CVP_HOME%\conf\security\wsm.crt, benennen Sie es in wsmcsX.crt um und verschieben Sie es in einen temporären Ordner auf dem ADS-Server.

Schritt 2: CVP-Server WSM-Zertifikat in ADS-Server importieren

Um das Zertifikat in den ADS-Server zu importieren, müssen Sie das keytool verwenden, das Teil des Java-Toolsets ist. Es gibt mehrere Möglichkeiten, den Java-Home-Pfad zu finden, auf dem dieses Tool gehostet wird.

(i) CLI-Befehl > echo %CCE_JAVA_HOME%

Java-Home-Pfad

(ii) Manuell über erweiterte Systemeinstellungen, wie im Bild dargestellt.

Umgebungsvariablen

Auf PCCE 12.6 lautet der Standardpfad von OpenJDK: C:\Program Files (x86)\OpenJDK\jre-8.0.272.10-hotspot\bin

Befehle zum Importieren der selbstsignierten Zertifikate:

cd %CCE_JAVA_HOME%\bin
keytool.exe -import -file C:\Temp\certs\wsmcsX.crt -alias {fqdn_of_CVP} -keystore {ICM install directory}\ssl\cacerts

Hinweis: Wiederholen Sie die Befehle für jedes CVP in der Bereitstellung, und führen Sie die gleiche Aufgabe für andere ADS-Server aus.

(iii) Starten Sie den Apache Tomcat-Dienst auf den ADS-Servern neu.

Schritt 3: ADS-Serverzertifikat exportieren

So exportieren Sie das ADS-Zertifikat:

(i) Navigieren Sie auf dem ADS-Server von einem Browser aus zur Server-URL: https://<Servername>.

(ii) Speichern Sie das Zertifikat in einem temporären Ordner, z. B. c:\temp\certs, und geben Sie dem Zertifikat den Namen ADS<svr>[ab].cer.

ADS-Zertifikate exportieren

Hinweis: Wählen Sie die Option Base-64-codiertes X.509 (.CER) aus.

Schritt 4: ADS-Serverzertifikat in CVP-Server und Reporting-Server importieren

(i) Kopieren Sie das Zertifikat auf CVP-Server und CVP-Reporting-Server im Verzeichnis %CVP_HOME%\conf\security.

(ii) Zertifikat auf CVP-Server und CVP-Reporting-Server importieren.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias {fqdn_of_ads} -file %CVP_HOME%\conf\security\ADS{svr}[ab].cer

Führen Sie die gleichen Schritte für andere ADS-Serverzertifikate aus.

(iii) Starten Sie die CVP-Server und den Reporting-Server neu.

Abschnitt 2: Zertifikataustausch zwischen VOS-Plattformanwendungen und dem ADS-Server

Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:

Schritt 1: Exportieren von Zertifikaten für den VOS-Plattform-Anwendungsserver

Schritt 2: Importieren von Zertifikaten für die VOS-Plattformanwendung in den ADS-Server.

Schritt 3: Importieren von Anwendungszertifikaten der CUCM-Plattform in CUCM PG-Server.

Dieser Prozess gilt für alle VOS-Anwendungen wie:

• CUCM
• VVB
• Finesse
• CUIC \ LD \ IDS
• Cloud Connect

Schritt 1: Exportieren von Zertifikaten für den VOS-Plattform-Anwendungsserver

(i) Navigieren Sie zur Seite "Cisco Unified Communications Operating System Administration" (Cisco Unified Communications-Betriebssystemverwaltung): https://FQDN:8443/cmplatform.

(ii) Navigieren Sie zu Security > Certificate Management, und suchen Sie im Ordner tomcat-trust nach den Zertifikaten des primären Anwendungsservers.

(iii) Wählen Sie das Zertifikat und klicken Sie auf Download .PEM-Datei, um es in einem temporären Ordner auf dem ADS-Server zu speichern.

Hinweis: Führen Sie die gleichen Schritte für den Abonnenten durch.

Schritt 2: VOS-Plattformanwendungszertifikat in ADS-Server importieren

Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin

Befehle zum Importieren der selbstsignierten Zertifikate:

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\vosapplicationX.cer -alias {fqdn_of_VOS>} -keystore {ICM install directory}\ssl\cacerts

Starten Sie den Apache Tomcat-Dienst auf den ADS-Servern neu.

Hinweis: Führen Sie die gleiche Aufgabe auf anderen ADS-Servern aus.

Schritt 3: Zertifikat für die CUCM-Plattformanwendung in CUCM PG-Server importieren

Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin

Befehle zum Importieren der selbstsignierten Zertifikate:

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\cucmapplicationX.cer -alias {fqdn_of_cucm>} -keystore {ICM install directory}\ssl\cacerts

Starten Sie den Apache Tomcat-Dienst auf den PG-Servern neu.

Hinweis: Führen Sie die gleiche Aufgabe auf anderen CUCM PG-Servern aus.

Abschnitt 3: Zertifikataustausch zwischen Roggers-, PG- und ADS-Servern

Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:

Schritt 1: IIS-Zertifikat von Rogger- und PG-Servern exportieren

Schritt 2: DFP-Zertifikat von Rogger- und PG-Servern exportieren

Schritt 3: Zertifikate in ADS-Server importieren

Schritt 4: ADS-Zertifikat in Rogger- und PG-Server importieren

Schritt 1: IIS-Zertifikat von Rogger- und PG-Servern exportieren

(i) Navigieren Sie auf dem ADS-Server von einem Browser zu den Servern (Roggers, PG) url: https://{servername}

(ii)Speichern Sie das Zertifikat in einem temporären Ordner, z. B. c:\temp\certs, und nennen Sie das Zertifikat ICM<svr>[ab].cer.

IIS-Zertifikat exportieren

Hinweis: Wählen Sie die Option Base-64-codiertes X.509 (.CER) aus.

Schritt 2: DFP-Zertifikat von Rogger- und PG-Servern exportieren 

(i) Navigieren Sie auf dem ADS-Server von einem Browser zu den Servern (Roggers, PGs) DFP url : https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion

(ii) Speichern Sie das Zertifikat im Ordner Beispiel c:\temp\certs, und geben Sie dem Zertifikat den Namen dfp{svr}[ab].cer

DFP-Zertifikat exportieren

Hinweis: Wählen Sie die Option Base-64-codiertes X.509 (.CER) aus.

Schritt 3: Zertifikate in ADS-Server importieren

Befehl zum Importieren der selbstsignierten IIS-Zertifikate in den ADS-Server. Der Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\temp\certs\ICM<svr>[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts

Hinweis: Importieren Sie alle in alle ADS-Server exportierten Serverzertifikate.

Befehl zum Importieren der selbstsignierten Diagnosezertifikate in den ADS-Server

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\dfp<svr>[ab].cer -alias {fqdn_of_server}_DFP -keystore {ICM install directory}\ssl\cacerts

Hinweis: Importieren Sie alle in alle ADS-Server exportierten Serverzertifikate.

Starten Sie den Apache Tomcat-Dienst auf den ADS-Servern neu.

Schritt 4: ADS-Zertifikat in Rogger- und PG-Server importieren

Befehl zum Importieren der selbstsignierten IIS-Zertifikate in Rogger- und PG-Server. Der Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin.

%CCE_JAVA_HOME%\bin\keytool -keystore ..\lib\security\cacerts  -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ICM{svr}[ab].cer

Hinweis: Importieren Sie alle IIS-Zertifikate des ADS-Servers, die in alle Rogger- und PG-Server exportiert wurden.

Starten Sie den Apache Tomcat-Dienst auf den Rogger- und PG-Servern neu.

Abschnitt 4: Integration von CVP CallStudio Web Service

Ausführliche Informationen zum Einrichten einer sicheren Kommunikation für Web Services-Element und Rest_Client-Element

siehe Benutzerhandbuch für Cisco Unified CVP VXML-Server und Cisco Unified Call Studio Release 12.6(2) - Web Service Integration [Cisco Unified Customer Voice Portal] - Cisco

Zugehörige Informationen

• CVP-Konfigurationsleitfaden - Sicherheit
• UCCE-Sicherheitsleitfaden
• PCCE-Administratorhandbuch
• Exchange PCCE-selbstsignierte Zertifikate - PCCE 12.5
• Exchange UCCE-selbstsignierte Zertifikate - UCCE 12.5
• Selbstsignierte Exchange UCCE-Zertifikate - UCCE 12.6
• Implementierung von CA-signierten Zertifikaten - CCE 12.6
• Tauschen Sie Zertifikate mit dem Contact Center Uploader-Tool aus
• Technischer Support und Dokumentation für Cisco Systeme