In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird der Austausch selbstsignierter Zertifikate in der Cisco Packaged Contact Center Enterprise (PCCE)-Lösung beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Bei der PCCE-Lösung ab 12.x werden alle Geräte über Single Pane of Glass (SPOG) gesteuert, der im Haupt-AW-Server gehostet wird. Aufgrund von Security-Management-Compliance (SRC) ab Version PCCE 12.5(1) erfolgt die gesamte Kommunikation zwischen SPOG und anderen Servern der Lösung ausschließlich über ein sicheres HTTP-Protokoll.
Zertifikate werden verwendet, um eine nahtlose sichere Kommunikation zwischen dem SPOG und den anderen Geräten zu erreichen. In einer selbstsignierten Zertifikatsumgebung ist der Zertifikataustausch zwischen den Servern ein Muss.
Dies sind die Komponenten, aus denen selbstsignierte Zertifikate exportiert werden, und Komponenten, in die selbstsignierte Zertifikate importiert werden müssen.
(i) Alle AW/ADS-Server: Für diese Server ist ein Zertifikat von erforderlich:
Hinweis: IIS und Diagnostic Framework Portico (DFP) werden benötigt.
Hinweis: WSM-Zertifikat (Web Service Management) aller Server wird benötigt. Zertifikate müssen einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) aufweisen.
(ii) Router \ Protokollierungsserver: Für diese Server ist ein Zertifikat von erforderlich:
(iii) PG-Server: Für diese Server ist ein Zertifikat erforderlich von:
Hinweis: Dies ist erforderlich, um den JTAPI-Client vom CUCM-Server herunterzuladen.
(iv) CVP-Server: Für diese Server ist ein Zertifikat von
(v) CVP-Reporting-Server: Dieser Server benötigt ein Zertifikat von:
(vi) VVB-Server: Dieser Server benötigt ein Zertifikat von:
Die erforderlichen Schritte zum effektiven Austausch der selbstsignierten Zertifikate in der Lösung sind in drei Abschnitte unterteilt.
Abschnitt 1: Zertifikataustausch zwischen CVP- und ADS-Servern.
Abschnitt 2: Zertifikataustausch zwischen VOS-Plattformanwendungen und dem ADS-Server.
Abschnitt 3: Zertifikataustausch zwischen Roggers, PGs und ADS-Server.
Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:
Schritt 1: CVP-Server-WSM-Zertifikate exportieren
Schritt 2: CVP-Server WSM-Zertifikat auf ADS-Server importieren.
Schritt 3: ADS-Serverzertifikat exportieren
Schritt 4: ADS-Server auf CVP-Server und CVP Reporting-Server importieren.
Bevor Sie die Zertifikate von den CVP-Servern exportieren, müssen Sie die Zertifikate mit dem FQDN des Servers regenerieren, da sonst nur wenige Funktionen wie Smart Licensing, Virtual Agent Voice (VAV) und die CVP-Synchronisierung mit SPOG Probleme verursachen können.
Vorsicht: Bevor Sie beginnen, müssen Sie dies tun:
1. Öffnen Sie ein Befehlsfenster als Administrator.
2. Für 12.6.2 rufen Sie zur Identifizierung des Keystore-Kennworts den Ordner %CVP_HOME%\bin auf, und führen Sie die Datei DecryptKeystoreUtil.bat aus.
3. Für 12.6.1 führen Sie den Befehl more %CVP_HOME%\conf\security.properties aus, um das Schlüsselspeicherkennwort zu identifizieren.
4. Sie benötigen dieses Kennwort, wenn Sie die Befehle keytool ausführen.
5. Führen Sie im Verzeichnis %CVP_HOME%\conf\security\ den Befehl aus, kopieren Sie .keystore backup.keystore.
Hinweis: Sie können die in diesem Dokument verwendeten Befehle mithilfe des Parameters keytool -storepass optimieren. Geben Sie für alle CVP-Server das von Ihnen angegebene Keytool-Kennwort an. Das Standardkennwort für die ADS-Server lautet: changeIt
Führen Sie die folgenden Schritte aus, um das Zertifikat auf den CVP-Servern neu zu generieren:
(i) Auflisten der Zertifikate im Server
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -list
Hinweis: Die CVP-Server verfügen über die folgenden selbstsignierten Zertifikate: wsm_certificate, vxml_certificate, callserver_certificate. Wenn Sie den Parameter -v des Schlüsselwerkzeugs verwenden, können Sie detailliertere Informationen zu jedem Zertifikat sehen. Darüber hinaus können Sie das ">"-Symbol am Ende des Listenbefehls keytool.exe hinzufügen, um die Ausgabe an eine Textdatei zu senden, z. B.: > test.txt
ii) Löschen der alten selbstsignierten Zertifikate
CVP-Server: Befehle zum Löschen der selbstsignierten Zertifikate:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias vxml_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
CVP-Reporting-Server: Befehle zum Löschen der selbstsignierten Zertifikate:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
Hinweis: CVP-Reporting-Server verfügen über folgende selbstsignierte Zertifikate: "wsm_certificate", "callserver_certificate".
(iii) Generieren der neuen selbstsignierten Zertifikate mit dem FQDN des Servers
CVP-Server
Befehl zum Generieren des selbstsignierten Zertifikats für WSM:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
Hinweis: Standardmäßig werden die Zertifikate für zwei Jahre generiert. Verwenden Sie -valid XXXX, um das Ablaufdatum festzulegen, an dem Zertifikate neu generiert werden. Andernfalls sind Zertifikate 90 Tage lang gültig und müssen vor diesem Zeitpunkt von einer Zertifizierungsstelle signiert werden. Für die meisten dieser Zertifikate muss eine Validierungszeit von 3-5 Jahren angemessen sein.
Hier sind einige Standardeingaben für die Gültigkeit:
1 Jahr |
365 |
Zwei Jahre |
730 |
Drei Jahre |
1095 |
Vier Jahre |
1460 |
Fünf Jahre |
1895 |
Zehn Jahre |
3650 |
Achtung: Von 12,5 Zertifikate müssen SHA 256, Key Size 2048, und Verschlüsselung Algorithm RSA, verwenden Sie diese Parameter, um diese Werte: -keyalg RSA und -keysize 2048. Es ist wichtig, dass die CVP-Keystore-Befehle den -storetype-Parameter JCEKS enthalten. Andernfalls kann das Zertifikat, der Schlüssel oder, schlimmer noch, der Schlüsselspeicher beschädigt werden.
Geben Sie den FQDN des Servers an, und wie lautet Ihr Vor- und Nachname?
Beantworten Sie die folgenden Fragen:
Wie lautet der Name Ihrer Organisationseinheit?
[Unbekannt]: <OU angeben>
Wie heißt Ihre Organisation?
[Unbekannt]: <Name der Organisation angeben>
Wie lautet der Name Ihrer Stadt oder Gemeinde?
[Unbekannt]: <Name der Stadt/des Ortes angeben>
Wie heißt Ihr Bundesland?
[Unbekannt]: <Name des Bundeslandes angeben>
Wie lautet der aus zwei Buchstaben bestehende Ländercode für diese Einheit?
[Unbekannt]: <Ländercode aus zwei Buchstaben angeben>
Geben Sie für die nächsten beiden Eingaben yes (Ja) an.
Führen Sie für vxml_certificate und callserver_certificate die gleichen Schritte aus:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
Neustart des CVP-Anrufservers
CVP-Reporting-Server
Befehl zum Generieren der selbstsignierten Zertifikate für WSM:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
Geben Sie den FQDN des Servers für die Abfrage an, wie lautet Ihr Vor- und Nachname?, und fahren Sie mit den gleichen Schritten wie bei CVP-Servern fort.
Führen Sie für callserver_certificate die gleichen Schritte aus:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
Starten Sie die Reporting-Server neu.
(iv) Export von wsm_Certificate von CVP- und Reporting-Servern
a) Exportieren Sie das WSM-Zertifikat von jedem CVP-Server an einen temporären Speicherort, und benennen Sie das Zertifikat um, und geben Sie ihm den gewünschten Namen. Sie können sie in wsmcsX.crt umbenennen. Ersetzen Sie "X" durch den Hostnamen des Servers. Beispiel: wsmcsa.crt, wsmcsb.crt, wsmrepa.crt, wsmrepb.crt.
Befehl zum Exportieren der selbstsignierten Zertifikate:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
b) Kopieren Sie das Zertifikat aus dem Pfad %CVP_HOME%\conf\security\wsm.crt, benennen Sie es in wsmcsX.crt um und verschieben Sie es in einen temporären Ordner auf dem ADS-Server.
Um das Zertifikat in den ADS-Server zu importieren, müssen Sie das keytool verwenden, das Teil des Java-Toolsets ist. Es gibt mehrere Möglichkeiten, den Java-Home-Pfad zu finden, auf dem dieses Tool gehostet wird.
(i) CLI-Befehl > echo %CCE_JAVA_HOME%
(ii) Manuell über erweiterte Systemeinstellungen, wie im Bild dargestellt.
Auf PCCE 12.6 lautet der Standardpfad von OpenJDK: C:\Program Files (x86)\OpenJDK\jre-8.0.272.10-hotspot\bin
Befehle zum Importieren der selbstsignierten Zertifikate:
cd %CCE_JAVA_HOME%\bin
keytool.exe -import -file C:\Temp\certs\wsmcsX.crt -alias {fqdn_of_CVP} -keystore {ICM install directory}\ssl\cacerts
Hinweis: Wiederholen Sie die Befehle für jedes CVP in der Bereitstellung, und führen Sie die gleiche Aufgabe für andere ADS-Server aus.
(iii) Starten Sie den Apache Tomcat-Dienst auf den ADS-Servern neu.
So exportieren Sie das ADS-Zertifikat:
(i) Navigieren Sie auf dem ADS-Server von einem Browser aus zur Server-URL: https://<Servername>.
(ii) Speichern Sie das Zertifikat in einem temporären Ordner, z. B. c:\temp\certs, und geben Sie dem Zertifikat den Namen ADS<svr>[ab].cer.
Hinweis: Wählen Sie die Option Base-64-codiertes X.509 (.CER) aus.
(i) Kopieren Sie das Zertifikat auf CVP-Server und CVP-Reporting-Server im Verzeichnis %CVP_HOME%\conf\security.
(ii) Zertifikat auf CVP-Server und CVP-Reporting-Server importieren.
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias {fqdn_of_ads} -file %CVP_HOME%\conf\security\ADS{svr}[ab].cer
Führen Sie die gleichen Schritte für andere ADS-Serverzertifikate aus.
(iii) Starten Sie die CVP-Server und den Reporting-Server neu.
Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:
Schritt 1: Exportieren von Zertifikaten für den VOS-Plattform-Anwendungsserver
Schritt 2: Importieren von Zertifikaten für die VOS-Plattformanwendung in den ADS-Server.
Schritt 3: Importieren von Anwendungszertifikaten der CUCM-Plattform in CUCM PG-Server.
Dieser Prozess gilt für alle VOS-Anwendungen wie:
(i) Navigieren Sie zur Seite "Cisco Unified Communications Operating System Administration" (Cisco Unified Communications-Betriebssystemverwaltung): https://FQDN:8443/cmplatform.
(ii) Navigieren Sie zu Security > Certificate Management, und suchen Sie im Ordner tomcat-trust nach den Zertifikaten des primären Anwendungsservers.
(iii) Wählen Sie das Zertifikat und klicken Sie auf Download .PEM-Datei, um es in einem temporären Ordner auf dem ADS-Server zu speichern.
Hinweis: Führen Sie die gleichen Schritte für den Abonnenten durch.
Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin
Befehle zum Importieren der selbstsignierten Zertifikate:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\vosapplicationX.cer -alias {fqdn_of_VOS>} -keystore {ICM install directory}\ssl\cacerts
Starten Sie den Apache Tomcat-Dienst auf den ADS-Servern neu.
Hinweis: Führen Sie die gleiche Aufgabe auf anderen ADS-Servern aus.
Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin
Befehle zum Importieren der selbstsignierten Zertifikate:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\cucmapplicationX.cer -alias {fqdn_of_cucm>} -keystore {ICM install directory}\ssl\cacerts
Starten Sie den Apache Tomcat-Dienst auf den PG-Servern neu.
Hinweis: Führen Sie die gleiche Aufgabe auf anderen CUCM PG-Servern aus.
Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:
Schritt 1: IIS-Zertifikat von Rogger- und PG-Servern exportieren
Schritt 2: DFP-Zertifikat von Rogger- und PG-Servern exportieren
Schritt 3: Zertifikate in ADS-Server importieren
Schritt 4: ADS-Zertifikat in Rogger- und PG-Server importieren
(i) Navigieren Sie auf dem ADS-Server von einem Browser zu den Servern (Roggers, PG) url: https://{servername}
(ii)Speichern Sie das Zertifikat in einem temporären Ordner, z. B. c:\temp\certs, und nennen Sie das Zertifikat ICM<svr>[ab].cer.
Hinweis: Wählen Sie die Option Base-64-codiertes X.509 (.CER) aus.
(i) Navigieren Sie auf dem ADS-Server von einem Browser zu den Servern (Roggers, PGs) DFP url : https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion
(ii) Speichern Sie das Zertifikat im Ordner Beispiel c:\temp\certs, und geben Sie dem Zertifikat den Namen dfp{svr}[ab].cer
Hinweis: Wählen Sie die Option Base-64-codiertes X.509 (.CER) aus.
Befehl zum Importieren der selbstsignierten IIS-Zertifikate in den ADS-Server. Der Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\temp\certs\ICM<svr>[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts
Hinweis: Importieren Sie alle in alle ADS-Server exportierten Serverzertifikate.
Befehl zum Importieren der selbstsignierten Diagnosezertifikate in den ADS-Server
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\dfp<svr>[ab].cer -alias {fqdn_of_server}_DFP -keystore {ICM install directory}\ssl\cacerts
Hinweis: Importieren Sie alle in alle ADS-Server exportierten Serverzertifikate.
Starten Sie den Apache Tomcat-Dienst auf den ADS-Servern neu.
Befehl zum Importieren der selbstsignierten IIS-Zertifikate in Rogger- und PG-Server. Der Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin.
%CCE_JAVA_HOME%\bin\keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ICM{svr}[ab].cer
Hinweis: Importieren Sie alle IIS-Zertifikate des ADS-Servers, die in alle Rogger- und PG-Server exportiert wurden.
Starten Sie den Apache Tomcat-Dienst auf den Rogger- und PG-Servern neu.
Ausführliche Informationen zum Einrichten einer sicheren Kommunikation für Web Services-Element und Rest_Client-Element
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
31-Jul-2023 |
Erstveröffentlichung |