In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird der Austausch selbstsignierter Zertifikate in der Unified Contact Center Enterprise (UCCE)-Lösung beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Die Konfiguration neuer Funktionen in der UCCE-Lösung, die Kernanwendungen wie Roggers, Peripheral Gateways (PG), Admin Workstations (AW)/Administration Data Server (ADS), Finesse, Cisco Unified Intelligence Center (CUIC) usw. umfasst, erfolgt über die Contact Center Enterprise (CCE)-Admin-Seite. Bei Interactive Voice Response (IVR)-Anwendungen wie CVP, Cisco VVB und Gateways steuert NOAMP die Konfiguration neuer Funktionen. Ab CCE 12.5(1) erfolgt die gesamte Kommunikation zu CCE Admin und NOAMP aufgrund von Security-Management-Compliance (SRC) ausschließlich über ein sicheres HTTP-Protokoll.
Um eine nahtlose sichere Kommunikation zwischen diesen Anwendungen in einer selbstsignierten Zertifikatumgebung zu erreichen, ist der Austausch von Zertifikaten zwischen den Servern ein Muss. Im nächsten Abschnitt werden die erforderlichen Schritte für den Austausch selbstsignierter Zertifikate zwischen den folgenden Komponenten detailliert beschrieben:
Hinweis: Dieses Dokument bezieht sich NUR auf CCE-Version 12.6. Links zu anderen Versionen finden Sie im Abschnitt mit verwandten Informationen.
Dies sind die Komponenten, aus denen selbstsignierte Zertifikate exportiert werden, und Komponenten, in die selbstsignierte Zertifikate importiert werden müssen.
CCE AW-Server: Dieser Server benötigt ein Zertifikat von:
Hinweis: IIS und Diagnostic Framework Portico (DFP) werden benötigt.
Router \ Protokollierungsserver: Dieser Server benötigt ein Zertifikat von:
Die erforderlichen Schritte für einen effektiven Austausch der selbstsignierten Zertifikate gegen CCE sind in diese Abschnitte unterteilt.
Abschnitt 1: Zertifikataustausch zwischen Router\Logger, PG und AW-Server
Abschnitt 2: Zertifikataustausch zwischen VOS-Plattformanwendung und AW-Server
Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:
Schritt 1: Exportieren Sie IIS-Zertifikate von Router\Logger, PG und allen AW-Servern.
Schritt 2: Exportieren Sie DFP-Zertifikate von Router\Logger, PG und allen AW-Servern.
Schritt 3: Importieren Sie IIS- und DFP-Zertifikate von Router\Logger, PG und AW auf AW-Server.
Schritt 4: IIS-Zertifikat von AW-Servern in Router\Logger und PG importieren
Vorsicht: Bevor Sie beginnen, müssen Sie den Schlüsselspeicher sichern und eine Eingabeaufforderung als Administrator öffnen.
(i) Kennen Sie den Java-Home-Pfad, um sicherzustellen, wo das Java-Keytool gehostet wird. Es gibt mehrere Möglichkeiten, den Java-Home-Pfad zu finden.
Option 1: CLI-Befehl: echo %CCE_JAVA_HOME%
Option 2: Manuell über die erweiterte Systemeinstellung, wie im Bild dargestellt
(ii) Sichern Sie die Datei cacerts aus dem Ordner <ICM install directory>ssl\ . Sie können es an einen anderen Speicherort kopieren.
Schritt 1: Exportieren Sie IIS-Zertifikate von Router\Logger, PG und allen AW-Servern.
(i) Navigieren Sie auf einem AW-Server von einem Browser zu den Servern (Roggers, PG, andere AW-Server) url: https://{servername}.
(ii) Speichern Sie das Zertifikat in einem temporären Ordner. Beispiel: c:\temp\certs und geben Sie dem Zertifikat den Namen ICM{svr}[ab].cer.
Hinweis: Wählen Sie die Option Base-64-codiertes X.509 (.CER) aus.
Schritt 2: Exportieren Sie DFP-Zertifikate von Router\Logger, PG und allen AW-Servern.
(i) Öffnen Sie auf einem AW-Server einen Browser, und navigieren Sie zu den Servern (Router, Logger oder Roggers, PGs) DFP url : https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion.
(ii) Speichern Sie das Zertifikat im Ordner Beispiel c:\temp\certs, und geben Sie dem Zertifikat den Namen dfp{svr}[ab].cer
Hinweis: Wählen Sie die Option Base-64-codiertes X.509 (.CER) aus.
Schritt 3: Importieren Sie IIS- und DFP-Zertifikate von Router\Logger, PG und AW auf AW-Server.
Befehl zum Importieren der selbstsignierten IIS-Zertifikate in den AW-Server. Der Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\IIS{svr}[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts Example:%CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\IISAWA.cer -alias AWA_IIS -keystore C:\icm\ssl\cacerts
Hinweis: Importieren Sie alle in alle AW-Server exportierten Serverzertifikate.
Befehl zum Importieren der selbstsignierten DFP-Zertifikate in AW-Server:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\dfp{svr}[ab].cer -alias {fqdn_of_server}_DFP -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\dfpAWA.cer -alias AWA_DFP -keystore C:\icm\ssl\cacerts
Hinweis: Importieren Sie alle in alle AW-Server exportierten Serverzertifikate.
Starten Sie den Apache Tomcat-Dienst auf den AW-Servern neu.
Schritt 4: IIS-Zertifikat von AW-Servern in Router\Logger und PG importieren
Befehl zum Importieren der selbstsignierten AW IIS-Zertifikate in Router\Logger- und PG-Server:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\IIS{svr}[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\IISAWA.cer -alias AWA_IIS -keystore C:\icm\ssl\cacerts
Hinweis: Importieren Sie alle AW IIS-Serverzertifikate, die in Rogger- und PG-Server auf A- und B-Seite exportiert wurden.
Starten Sie den Apache Tomcat-Dienst auf dem Router\Logger und den PG-Servern neu.
Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:
Schritt 1: Exportieren von Zertifikaten für den VOS-Plattform-Anwendungsserver
Schritt 2: Importieren von Zertifikaten der VOS-Plattformanwendung in einen AW-Server.
Dieser Prozess gilt für VOS-Anwendungen wie:
Schritt 1: Exportieren von Zertifikaten für den VOS-Plattform-Anwendungsserver
(i) Navigieren Sie zur Seite "Cisco Unified Communications Operating System Administration" (Cisco Unified Communications-Betriebssystemverwaltung): https://FQDN:8443/cmplatform.
(ii) Navigieren Sie zu Security > Certificate Management, und suchen Sie im Ordner tomcat-trust nach den Zertifikaten des primären Anwendungsservers.
(iii) Wählen Sie das Zertifikat aus und klicken Sie auf Download .PEM-Datei, um es in einem temporären Ordner auf dem AW-Server zu speichern.
Hinweis: Führen Sie die gleichen Schritte für den Abonnenten durch.
Schritt 2: VOS-Plattformanwendung in AW-Server importieren
Pfad zum Ausführen des Schlüssel-Tools: %CCE_JAVA_HOME%\bin
Befehl zum Importieren der selbstsignierten Zertifikate:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\vosapplicationX.pem -alias {fqdn_of_VOS} -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\CUICPub.pem -alias CUICPub -keystore C:\icm\ssl\cacerts
Starten Sie den Apache Tomcat-Dienst auf den AW-Servern neu.
Hinweis: Führen Sie die gleiche Aufgabe auf anderen AW-Servern aus.
Dies sind die Komponenten, aus denen selbstsignierte Zertifikate exportiert werden, und Komponenten, in die selbstsignierte Zertifikate importiert werden müssen.
(i) CVP OAMP-Server: Dieser Server benötigt ein Zertifikat von
(ii) CVP-Server: Dieser Server benötigt ein Zertifikat von
(iii) CVP-Reporting-Server: Für diesen Server ist ein Zertifikat von
(iv) Cisco VVB-Server: Für diesen Server ist ein Zertifikat von
In diesen drei Abschnitten werden die Schritte erläutert, die für einen effektiven Austausch der selbstsignierten Zertifikate in der CVP-Umgebung erforderlich sind.
Abschnitt 1: Zertifikataustausch zwischen CVP OAMP-Server und CVP-Server und Reporting-Server
Abschnitt 2: Zertifikataustausch zwischen CVP OAMP-Server- und VOS-Plattformanwendungen
Abschnitt 3: Zertifikataustausch zwischen CVP-Server- und VOS-Plattformanwendungen
Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:
Schritt 1: Exportieren Sie das WSM-Zertifikat vom CVP-Server, vom Reporting- und vom OAMP-Server.
Schritt 2: Importieren Sie die WSM-Zertifikate vom CVP-Server und vom Reporting-Server in den OAMP-Server.
Schritt 3: Importieren Sie das WSM-Zertifikat des CVP OAMP-Servers in CVP-Server und Reporting-Server.
Vorsicht: Bevor Sie beginnen, müssen Sie dies tun:
1. Öffnen Sie ein Befehlsfenster als Administrator.
2. Für 12.6.2 rufen Sie zur Identifizierung des Keystore-Kennworts den Ordner %CVP_HOME%\bin auf, und führen Sie die Datei DecryptKeystoreUtil.bat aus.
3. Für 12.6.1 führen Sie den Befehl more %CVP_HOME%\conf\security.properties aus, um das Schlüsselspeicherkennwort zu identifizieren.
4. Sie benötigen dieses Kennwort, wenn Sie die Befehle keytool ausführen.
5. Führen Sie im Verzeichnis %CVP_HOME%\conf\security\ den Befehl aus, kopieren Sie .keystore backup.keystore.
Schritt 1: Exportieren Sie das WSM-Zertifikat vom CVP-Server, Reporting- und OAMP-Server.
(i) Exportieren Sie das WSM-Zertifikat von jedem CVP-Server an einen temporären Speicherort, und benennen Sie das Zertifikat um den gewünschten Namen. Sie können sie in wsmX.crt umbenennen. Ersetzen Sie X durch den Hostnamen des Servers. Beispiel: wsmcsa.crt, wsmcsb.crt, wsmrepa.crt, wsmrepb.crt, wsmoamp.crt.
Befehl zum Exportieren der selbstsignierten Zertifikate:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
(ii) Kopieren Sie das Zertifikat aus dem Pfad %CVP_HOME%\conf\security\wsm.crt von jedem Server, und benennen Sie es je nach Servertyp in wsmX.crt um.
Schritt 2: Importieren von WSM-Zertifikaten vom CVP-Server und Reporting-Server in den OAMP-Server.
(i) Kopieren Sie alle CVP-Server- und Reporting-Server-WSM-Zertifikate (wsmX.crt) in das Verzeichnis %CVP_HOME%\conf\security auf dem OAMP-Server.
ii) diese Zertifikate mit dem folgenden Befehl importieren:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmcsX.crt
(iii) Neustart des Servers.
Schritt 3: Importieren Sie das WSM-Zertifikat des CVP OAMP-Servers in CVP-Server und Reporting-Server.
(i) Kopieren Sie das WSM-Zertifikat des OAMP-Servers (wsmoampX.crt) in das Verzeichnis %CVP_HOME%\conf\security auf allen CVP-Servern und Reporting-Servern.
ii) Importieren Sie die Zertifikate mit dem folgenden Befehl:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmoampX.crt
(iii) Starten Sie die Server neu.
Um diesen Austausch erfolgreich abzuschließen, sind folgende Schritte erforderlich:
Schritt 1: Exportieren des Anwendungszertifikats von der VOS-Plattform
Schritt 2: Import des VOS-Anwendungszertifikats in den OAMP-Server
Dieser Prozess gilt für VOS-Anwendungen wie:
Schritt 1: Exportieren des Anwendungszertifikats von der VOS-Plattform
(i) Navigieren Sie zur Seite "Cisco Unified Communications Operating System Administration" (Cisco Unified Communications-Betriebssystemverwaltung): https://FQDN:8443/cmplatform.
(ii) Navigieren Sie zu Security > Certificate Management, und suchen Sie im Ordner tomcat-trust nach den Zertifikaten des primären Anwendungsservers.
(iii) Wählen Sie das Zertifikat aus, und klicken Sie auf Download .PEM-Datei, um es in einem temporären Ordner auf dem OAMP-Server zu speichern.
Schritt 2: Import des VOS-Anwendungszertifikats in den OAMP-Server
(i) Kopieren Sie das VOS-Zertifikat in das Verzeichnis %CVP_HOME%\conf\security auf dem OAMP-Server.
ii) Importieren Sie die Zertifikate mit dem folgenden Befehl:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_VOS} -file %CVP_HOME%\conf\security\VOS.pem
(ii) Starten Sie den Server neu.
Dies ist ein optionaler Schritt zum Sichern der SIP-Kommunikation zwischen CVP und anderen Contact Center-Komponenten. Weitere Informationen finden Sie im CVP-Konfigurationsleitfaden: CVP-Konfigurationsleitfaden - Sicherheit.
Ausführliche Informationen zum Einrichten einer sicheren Kommunikation für Web Services-Element und Rest_Client-Element
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
15-Aug-2023 |
Erstveröffentlichung |