Selbstsignierte Zertifikate in einer UCCE 12.6-Lösung austauschen

Download-Optionen

  • PDF     (925.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (788.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (519.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. August 2023
Dokument-ID:220754

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird der Austausch selbstsignierter Zertifikate in der Unified Contact Center Enterprise (UCCE)-Lösung beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • UCCE-Version 12.6(2)
    • Customer Voice Portal (CVP) Version 12.6(2)
    • Cisco Virtualized Voice Browser (VB)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

    • UCCE 12.6(2)
    • CVP 12.6(2)
    • Cisco VVB 12,6 (2)
    • CVP Operations Console (OAMP)
    • CVP New OAMP (NOAMP)

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Die Konfiguration neuer Funktionen in der UCCE-Lösung, die Kernanwendungen wie Roggers, Peripheral Gateways (PG), Admin Workstations (AW)/Administration Data Server (ADS), Finesse, Cisco Unified Intelligence Center (CUIC) usw. umfasst, erfolgt über die Contact Center Enterprise (CCE)-Admin-Seite. Bei Interactive Voice Response (IVR)-Anwendungen wie CVP, Cisco VVB und Gateways steuert NOAMP die Konfiguration neuer Funktionen. Ab CCE 12.5(1) erfolgt die gesamte Kommunikation zu CCE Admin und NOAMP aufgrund von Security-Management-Compliance (SRC) ausschließlich über ein sicheres HTTP-Protokoll.

    Um eine nahtlose sichere Kommunikation zwischen diesen Anwendungen in einer selbstsignierten Zertifikatumgebung zu erreichen, ist der Austausch von Zertifikaten zwischen den Servern ein Muss. Im nächsten Abschnitt werden die erforderlichen Schritte für den Austausch selbstsignierter Zertifikate zwischen den folgenden Komponenten detailliert beschrieben:

    • CCE AW-Server und CCE Core-Anwendungsserver
    • CVP OAMP-Server und CVP-Komponentenserver

    Hinweis: Dieses Dokument bezieht sich NUR auf CCE-Version 12.6. Links zu anderen Versionen finden Sie im Abschnitt mit verwandten Informationen.

    Vorgehensweise

    CCE AW-Server und CCE Core-Anwendungsserver

    Dies sind die Komponenten, aus denen selbstsignierte Zertifikate exportiert werden, und Komponenten, in die selbstsignierte Zertifikate importiert werden müssen.

    CCE AW-Server: Dieser Server benötigt ein Zertifikat von:

    • Windows-Plattform: Router und Protokollierung (Rogger){A/B}, Peripheral Gateway (PG){A/B} und alle AW/ADS.

    Hinweis: IIS und Diagnostic Framework Portico (DFP) werden benötigt.

    • VOS-Plattform: Finesse, CUIC, Live Data (LD), Identity Server (IDS), Cloud Connect und andere geeignete Server, die Teil der Bestandsdatenbank sind. Dasselbe gilt für andere AW-Server in der Lösung.

    Router \ Protokollierungsserver: Dieser Server benötigt ein Zertifikat von:

    • Windows-Plattform: Alle AW-Server IIS-Zertifikat.

    Die erforderlichen Schritte für einen effektiven Austausch der selbstsignierten Zertifikate gegen CCE sind in diese Abschnitte unterteilt.

    Abschnitt 1: Zertifikataustausch zwischen Router\Logger, PG und AW-Server
    Abschnitt 2: Zertifikataustausch zwischen VOS-Plattformanwendung und AW-Server

    Abschnitt 1: Zertifikataustausch zwischen Router\Logger, PG und AW-Server

    Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:

    Schritt 1: Exportieren Sie IIS-Zertifikate von Router\Logger, PG und allen AW-Servern.
    Schritt 2: Exportieren Sie DFP-Zertifikate von Router\Logger, PG und allen AW-Servern.
    Schritt 3: Importieren Sie IIS- und DFP-Zertifikate von Router\Logger, PG und AW auf AW-Server.

    Schritt 4: IIS-Zertifikat von AW-Servern in Router\Logger und PG importieren

    Vorsicht: Bevor Sie beginnen, müssen Sie den Schlüsselspeicher sichern und eine Eingabeaufforderung als Administrator öffnen.


    (i) Kennen Sie den Java-Home-Pfad, um sicherzustellen, wo das Java-Keytool gehostet wird. Es gibt mehrere Möglichkeiten, den Java-Home-Pfad zu finden.


        Option 1: CLI-Befehl: echo %CCE_JAVA_HOME%

        Option 1 - JAVA Home Path

       Option 2: Manuell über die erweiterte Systemeinstellung, wie im Bild dargestellt

       Option 2 - Environment Variables

    (ii) Sichern Sie die Datei cacerts aus dem Ordner <ICM install directory>ssl\ . Sie können es an einen anderen Speicherort kopieren.

    Schritt 1: Exportieren Sie IIS-Zertifikate von Router\Logger, PG und allen AW-Servern.

    (i) Navigieren Sie auf einem AW-Server von einem Browser zu den Servern (Roggers, PG, andere AW-Server) url: https://{servername}.

    Certificate Format on AW Server

    (ii) Speichern Sie das Zertifikat in einem temporären Ordner. Beispiel: c:\temp\certs und geben Sie dem Zertifikat den Namen ICM{svr}[ab].cer.

    Hinweis: Wählen Sie die Option Base-64-codiertes X.509 (.CER) aus.

    Schritt 2: Exportieren Sie DFP-Zertifikate von Router\Logger, PG und allen AW-Servern.

    (i) Öffnen Sie auf einem AW-Server einen Browser, und navigieren Sie zu den Servern (Router, Logger oder Roggers, PGs) DFP url : https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion.

    Certificate Format on AW Server, Format DFP

    (ii) Speichern Sie das Zertifikat im Ordner Beispiel c:\temp\certs, und geben Sie dem Zertifikat den Namen dfp{svr}[ab].cer

    Hinweis: Wählen Sie die Option Base-64-codiertes X.509 (.CER) aus.

    Schritt 3: Importieren Sie IIS- und DFP-Zertifikate von Router\Logger, PG und AW auf AW-Server.

    Befehl zum Importieren der selbstsignierten IIS-Zertifikate in den AW-Server. Der Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin:

    %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\IIS{svr}[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts
Example:%CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\IISAWA.cer -alias AWA_IIS -keystore C:\icm\ssl\cacerts

    Hinweis: Importieren Sie alle in alle AW-Server exportierten Serverzertifikate.

    Befehl zum Importieren der selbstsignierten DFP-Zertifikate in AW-Server:

    %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\dfp{svr}[ab].cer -alias {fqdn_of_server}_DFP -keystore {ICM install directory}\ssl\cacerts
    Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\dfpAWA.cer -alias AWA_DFP -keystore C:\icm\ssl\cacerts

    Hinweis: Importieren Sie alle in alle AW-Server exportierten Serverzertifikate.

    Starten Sie den Apache Tomcat-Dienst auf den AW-Servern neu.

    Schritt 4: IIS-Zertifikat von AW-Servern in Router\Logger und PG importieren

    Befehl zum Importieren der selbstsignierten AW IIS-Zertifikate in Router\Logger- und PG-Server:

    %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\IIS{svr}[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\IISAWA.cer -alias AWA_IIS -keystore C:\icm\ssl\cacerts

    Hinweis: Importieren Sie alle AW IIS-Serverzertifikate, die in Rogger- und PG-Server auf A- und B-Seite exportiert wurden.

    Starten Sie den Apache Tomcat-Dienst auf dem Router\Logger und den PG-Servern neu.

    Abschnitt 2: Zertifikataustausch zwischen VOS-Plattformanwendungen und AW-Server

    Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:

    Schritt 1: Exportieren von Zertifikaten für den VOS-Plattform-Anwendungsserver
    Schritt 2: Importieren von Zertifikaten der VOS-Plattformanwendung in einen AW-Server.

    Dieser Prozess gilt für VOS-Anwendungen wie:

    • Finesse
    • CUIC \ LD \ IDS
    • Cloud Connect

    Schritt 1: Exportieren von Zertifikaten für den VOS-Plattform-Anwendungsserver

    (i) Navigieren Sie zur Seite "Cisco Unified Communications Operating System Administration" (Cisco Unified Communications-Betriebssystemverwaltung): https://FQDN:8443/cmplatform.

    (ii) Navigieren Sie zu Security > Certificate Management, und suchen Sie im Ordner tomcat-trust nach den Zertifikaten des primären Anwendungsservers.

    VOS Platform Application Server Certificates

    (iii) Wählen Sie das Zertifikat aus und klicken Sie auf Download .PEM-Datei, um es in einem temporären Ordner auf dem AW-Server zu speichern.

    Download .PEM File

    Hinweis: Führen Sie die gleichen Schritte für den Abonnenten durch.

    Schritt 2: VOS-Plattformanwendung in AW-Server importieren


    Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin

    Befehl zum Importieren der selbstsignierten Zertifikate:

    %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\vosapplicationX.pem -alias {fqdn_of_VOS} -keystore {ICM install directory}\ssl\cacerts
    Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\CUICPub.pem -alias CUICPub -keystore C:\icm\ssl\cacerts

    Starten Sie den Apache Tomcat-Dienst auf den AW-Servern neu.

    Hinweis: Führen Sie die gleiche Aufgabe auf anderen AW-Servern aus.

    CVP OAMP-Server und CVP-Komponentenserver

    Dies sind die Komponenten, aus denen selbstsignierte Zertifikate exportiert werden, und Komponenten, in die selbstsignierte Zertifikate importiert werden müssen.

    (i) CVP OAMP-Server: Dieser Server benötigt ein Zertifikat von

    • Windows-Plattform: WSM-Zertifikat (Web Services Manager) des CVP-Servers und der Reporting-Server.
    • VOS-Plattform: Cisco VB und Cloud Connect-Server.

    (ii) CVP-Server: Dieser Server benötigt ein Zertifikat von

    • Windows-Plattform: WSM-Zertifikat vom OAMP-Server.
    • VOS-Plattform: Cloud Connect-Server und Cisco VB-Server.

    (iii) CVP-Reporting-Server: Für diesen Server ist ein Zertifikat von

    • Windows-Plattform: WSM-Zertifikat vom OAMP-Server

    (iv) Cisco VVB-Server: Für diesen Server ist ein Zertifikat von

    • Windows-Plattform: VXML-Zertifikat des CVP-Servers und Callserver-Zertifikat des CVP-Servers
    • VOS-Plattform: Cloud Connect-Server

    In diesen drei Abschnitten werden die Schritte erläutert, die für einen effektiven Austausch der selbstsignierten Zertifikate in der CVP-Umgebung erforderlich sind.

    Abschnitt 1: Zertifikataustausch zwischen CVP OAMP-Server und CVP-Server und Reporting-Server
    Abschnitt 2: Zertifikataustausch zwischen CVP OAMP-Server- und VOS-Plattformanwendungen
    Abschnitt 3: Zertifikataustausch zwischen CVP-Server- und VOS-Plattformanwendungen

    Abschnitt 1: Zertifikataustausch zwischen CVP OAMP-Server und CVP-Server und Reporting-Server

    Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:

    Schritt 1: Exportieren Sie das WSM-Zertifikat vom CVP-Server, vom Reporting- und vom OAMP-Server.
    Schritt 2: Importieren Sie die WSM-Zertifikate vom CVP-Server und vom Reporting-Server in den OAMP-Server.
    Schritt 3: Importieren Sie das WSM-Zertifikat des CVP OAMP-Servers in CVP-Server und Reporting-Server.

    Vorsicht: Bevor Sie beginnen, müssen Sie dies tun:
    1. Öffnen Sie ein Befehlsfenster als Administrator.
    2. Für 12.6.2 rufen Sie zur Identifizierung des Keystore-Kennworts den Ordner %CVP_HOME%\bin auf, und führen Sie die Datei DecryptKeystoreUtil.bat aus.
    3. Für 12.6.1 führen Sie den Befehl more %CVP_HOME%\conf\security.properties aus, um das Schlüsselspeicherkennwort zu identifizieren.
    4. Sie benötigen dieses Kennwort, wenn Sie die Befehle keytool ausführen.
    5. Führen Sie im Verzeichnis %CVP_HOME%\conf\security\ den Befehl aus, kopieren Sie .keystore backup.keystore.

    Schritt 1: Exportieren Sie das WSM-Zertifikat vom CVP-Server, Reporting- und OAMP-Server.

    (i) Exportieren Sie das WSM-Zertifikat von jedem CVP-Server an einen temporären Speicherort, und benennen Sie das Zertifikat um den gewünschten Namen. Sie können sie in wsmX.crt umbenennen. Ersetzen Sie X durch den Hostnamen des Servers. Beispiel: wsmcsa.crt, wsmcsb.crt, wsmrepa.crt, wsmrepb.crt, wsmoamp.crt.

    Befehl zum Exportieren der selbstsignierten Zertifikate:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt

    (ii) Kopieren Sie das Zertifikat aus dem Pfad %CVP_HOME%\conf\security\wsm.crt von jedem Server, und benennen Sie es je nach Servertyp in wsmX.crt um.

    Schritt 2: Importieren von WSM-Zertifikaten vom CVP-Server und Reporting-Server in den OAMP-Server.

    (i) Kopieren Sie alle CVP-Server- und Reporting-Server-WSM-Zertifikate (wsmX.crt) in das Verzeichnis %CVP_HOME%\conf\security auf dem OAMP-Server.

    ii) diese Zertifikate mit dem folgenden Befehl importieren:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmcsX.crt

    (iii) Neustart des Servers.

    Schritt 3: Importieren Sie das WSM-Zertifikat des CVP OAMP-Servers in CVP-Server und Reporting-Server.

    (i) Kopieren Sie das WSM-Zertifikat des OAMP-Servers (wsmoampX.crt) in das Verzeichnis %CVP_HOME%\conf\security auf allen CVP-Servern und Reporting-Servern.

    ii) Importieren Sie die Zertifikate mit dem folgenden Befehl:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmoampX.crt

    (iii) Starten Sie die Server neu.

    Abschnitt 2: Zertifikataustausch zwischen CVP OAMP-Server- und VOS-Plattformanwendungen

    Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:

    Schritt 1: Exportieren des Anwendungszertifikats von der VOS-Plattform

    Schritt 2: Import des VOS-Anwendungszertifikats in den OAMP-Server

    Dieser Prozess gilt für VOS-Anwendungen wie:

    • CUCM
    • VVB
    • Cloud Connect

    Schritt 1: Exportieren des Anwendungszertifikats von der VOS-Plattform

    (i) Navigieren Sie zur Seite "Cisco Unified Communications Operating System Administration" (Cisco Unified Communications-Betriebssystemverwaltung): https://FQDN:8443/cmplatform.


    (ii) Navigieren Sie zu Security > Certificate Management, und suchen Sie im Ordner tomcat-trust nach den Zertifikaten des primären Anwendungsservers.

    CUCM certificate

    (iii) Wählen Sie das Zertifikat aus, und klicken Sie auf Download .PEM-Datei, um es in einem temporären Ordner auf dem OAMP-Server zu speichern.

    Download .PEM File on CUCM

    Schritt 2: Import des VOS-Anwendungszertifikats in den OAMP-Server

    (i) Kopieren Sie das VOS-Zertifikat in das Verzeichnis %CVP_HOME%\conf\security auf dem OAMP-Server.

    ii) Importieren Sie die Zertifikate mit dem folgenden Befehl:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_VOS} -file %CVP_HOME%\conf\security\VOS.pem

    (ii) Starten Sie den Server neu.

    Abschnitt 3: Zertifikataustausch zwischen CVP-Server- und VOS-Plattformanwendungen

    Dies ist ein optionaler Schritt zum Sichern der SIP-Kommunikation zwischen CVP und anderen Contact Center-Komponenten. Weitere Informationen finden Sie im CVP-Konfigurationsleitfaden: CVP-Konfigurationsleitfaden - Sicherheit.

    CVP CallStudio-Webdienstintegration

    Ausführliche Informationen zum Einrichten einer sicheren Kommunikation für Web Services-Element und Rest_Client-Element

    siehe Benutzerhandbuch für Cisco Unified CVP VXML-Server und Cisco Unified Call Studio Release 12.6(2) - Web Service Integration [Cisco Unified Customer Voice Portal] - Cisco

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    15-Aug-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Bhaskar Sastry Garimella
      Cisco Technical Consulting Engineer
    • Ramiro Amaya
      Cisco Technical Consulting Engineer
    • Robert Rogier
      Cisco Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.