Sichere JMX-Kommunikation zwischen CVP OAMP- und CVP-Komponenten mit gegenseitiger Authentifizierung

Download-Optionen

  • PDF     (305.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (132.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (109.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:4. Oktober 2024
Dokument-ID:216522

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie die Java Management Extensions (JMX)-Kommunikation zwischen Customer Voice Portal (CVP) Operation and Management Console (OAMP) und CVP Server und CVP Reporting Server in der Cisco Unified Contact Center Enterprise (UCCE)-Lösung über CA-signierte Zertifikate abgesichert wird.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • UCCE-Version 12.5(1)
    • Customer Voice Portal (CVP) Version 12.5 (1)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

    • UCCE 12.5(1)
    • CVP 12.5(1)

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

    Hintergrundinformationen

    OAMP kommuniziert über das JMX-Protokoll mit dem CVP-Anrufserver, dem CVP VXML-Server und dem CVP Reporting Server. Die sichere Kommunikation zwischen OAMP und diesen CVP-Komponenten verhindert JMX-Sicherheitslücken. Diese sichere Kommunikation ist optional und für den regulären Betrieb zwischen OAMP und den CVP-Komponenten nicht erforderlich.

    Sie können die JMX-Kommunikation wie folgt sichern:

    • Erstellen Sie die Zertifikatsanforderung (Certificate Sign Request, CSR) für den Web Service Manager (WSM) auf dem CVP-Server und dem CVP Reporting-Server.
    • Erstellen eines CSR-Client-Zertifikats für WSM im CVP-Server und CVP Reporting Server
    • Erstellen eines CSR-Client-Zertifikats für OAMP (für OAMP)
    • Signieren Sie die Zertifikate durch eine Zertifizierungsstelle.
    • Importieren Sie die CA-signierten Zertifikate Root und Intermediate in CVP Server, CVP Reporting Server und OAMP.
    • [Optional] Sichere JConsole-Anmeldung bei OAMP
    • Secure System-CLI

    CSR-Zertifikate für WSM generieren

    Schritt 1: Melden Sie sich beim CVP-Server oder beim Reporting-Server an. Abrufen des Keystore-Kennworts aus der Datei security.properties.

    Hinweis: Geben Sie an der Eingabeaufforderung mehr %CVP_HOME%\conf\security.properties ein. Security.keystorePW = <Gibt das Keystore-Kennwort zurück> Geben Sie bei Aufforderung das Keystore-Kennwort ein. 

    Schritt 2: Navigieren Sie zu %CVP_HOME%\conf\security, und löschen Sie das WSM-Zertifikat. Verwenden Sie diesen Befehl.


    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate.

    Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.


    Schritt 3: Wiederholen Sie Schritt 2 für Anrufserver (callserver_certificate) und VXML-Serverzertifikate (vxml_certificate) auf dem CVP-Server und Anrufserverzertifikat (callserver_certificate) auf dem Reporting-Server.

    Schritt 4: Erstellen eines CA-signierten Zertifikats für den WSM-Dienst Verwenden Sie diesen Befehl:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -v -keysize 2048 -keyalg RSA.

    1. Geben Sie die Details an den Eingabeaufforderungen ein, und geben Sie Ja zur Bestätigung ein.
    2. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.

    Hinweis: Notieren Sie den KN-Namen für die zukünftige Referenz.

    Schritt 5: Generieren Sie die Zertifikatanforderung für den Alias. Führen Sie diesen Befehl aus, und speichern Sie ihn in einer Datei. Beispiel: wsm.csr.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.csr.

    1. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.

    Schritt 6: Lassen Sie das von einer Zertifizierungsstelle signierte Zertifikat abrufen. Verwenden Sie das Verfahren, um ein CA-signiertes Zertifikat mit der Zertifizierungsstelle zu erstellen und sicherzustellen, dass eine Client-Server-Zertifikatauthentifizierungsvorlage verwendet wird, wenn die Zertifizierungsstelle das signierte Zertifikat generiert.

    image

    Schritt 7. Laden Sie das signierte Zertifikat, das Stamm- und Zwischenzertifikat der Zertifizierungsstelle herunter.

    Schritt 8: Kopieren Sie das Root-, Intermediate- und das CA-signierte WSM-Zertifikat nach %CVP_HOME%\conf\security\.

    Schritt 9. Importieren Sie das Stammzertifikat mit diesem Befehl.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cer>.

    1. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.
    2. Geben Sie an der Eingabeaufforderung diesem Zertifikat vertrauen Ja ein.

    Schritt 10. Importieren Sie das Zwischenzertifikat mit diesem Befehl.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias intermediäre -datei %CVP_HOME%\conf\security\<Dateiname_des_intermediäre_cer>.

    1. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.
    2. Geben Sie an der Eingabeaufforderung diesem Zertifikat vertrauen Ja ein.

    Schritt 11. Importieren Sie das von der Zertifizierungsstelle signierte WSM-Zertifikat mit diesem Befehl.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias wsm_certificate -file %CVP_HOME%\conf\security\<filename_of_your_signed_cert_from_CA>

    1. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.

    Schritt 12: Wiederholen Sie die Schritte 4 bis 11 (Root- und Zwischenzertifikate müssen nicht zweimal importiert werden) für Call Server- und VXML Server-Zertifikate auf dem CVP-Server und Call Server-Zertifikate auf dem Reporting Server.

    Schritt 13: Konfigurieren von WSM im CVP-Server und CVP Reporting Server

    1. Navigieren Sie zu c:\cisco\cvp\conf\jmx_wsm.conf.

    Fügen Sie die angezeigte Datei hinzu, oder aktualisieren Sie sie, und speichern Sie sie:

    javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 3000
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword=< keystore_password >
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore 
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS

    2. Führen Sie den Befehl regedit aus.

    Append this to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\WebServicesManager\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
    
    
      Djavax.net.ssl.trustStoreType=JCEKS

    Schritt 14: Konfigurieren Sie JMX des CVP-Callservers im CVP-Server und Reporting-Server.

    1. Navigieren Sie zu c:\cisco\cvp\conf\jmx_callserver.conf.

    Aktualisieren Sie die Datei wie dargestellt, und speichern Sie sie:

    com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2098
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 2097
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword = 
    
    
      javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore javax.net.ssl.trustStorePassword=< keystore_password > javax.net.ssl.trustStoreType=JCEKS

    Schritt 15: Konfigurieren der JMX des VXML-Servers im CVP-Server

    1. Navigieren Sie zu c:\cisco\cvp\conf\jmx_vxml.conf.

    Bearbeiten Sie die Datei wie dargestellt, und speichern Sie sie:

    com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 9696
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 9697
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword =

    2. Führen Sie den Befehl regedit aus.

    • Append theese to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\VXMLServer\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
      
      
        Djavax.net.ssl.trustStoreType=JCEKS

    3. Starten Sie den WSM-Dienst, den Anrufserver und die VXML-Serverdienste auf dem CVP-Server und den WSM-Dienst sowie den Anrufserverdienst auf dem Reporting Server neu.

    Hinweis: Wenn die sichere Kommunikation mit JMX aktiviert ist, muss der Keystore %CVP_HOME%\conf\security\.keystore lauten, anstatt %CVP_HOME%\jre\lib\security\cacerts.
    Daher müssen die Zertifikate von %CVP_HOME%\jre\lib\security\cacerts in %CVP_HOME%\conf\security\.keystore importiert werden.

    Erstellen eines Clientzertifikats mit CA-Signatur für WSM

    Schritt 1: Melden Sie sich beim CVP-Server oder beim Reporting-Server an. Abrufen des Keystore-Kennworts aus der Datei security.properties.

    Hinweis: Geben Sie an der Eingabeaufforderung mehr %CVP_HOME%\conf\security.properties ein. Security.keystorePW = <Gibt das Keystore-Kennwort zurück> Geben Sie bei Aufforderung das Keystore-Kennwort ein. 

    Schritt 2: Navigieren Sie zu %CVP_HOME%\conf\security, und generieren Sie mit diesem Befehl ein CA-signiertes Zertifikat für die Client-Authentifizierung mit dem Anrufserver.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN des CVP Server- oder Reporting Server WSM-Zertifikats> -v -keysize 2048 -keyalg RSA

    1. Geben Sie die Details an den Eingabeaufforderungen ein, und geben Sie Ja zur Bestätigung ein.
    2. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.

    Hinweis: Der Alias entspricht dem CN, der zum Generieren des WSM-Serverzertifikats verwendet wird.

    Schritt 3: Generieren Sie die Zertifikatanforderung für den Alias mit diesem Befehl, und speichern Sie sie in einer Datei (z. B. jmx_client.csr).

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN des CVP-Server- oder Reporting-Server-WSM-Zertifikats> -Datei %CVP_HOME%\conf\security\jmx_client.csr

    1. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.
    2. Stellen Sie sicher, dass der CSR mit dem folgenden Befehl erfolgreich generiert wurde: dir jmx_client.csr.

    Schritt 4: Signieren des JMX-Clientzertifikats auf einer Zertifizierungsstelle

    Hinweis: Gehen Sie wie folgt vor, um ein CA-signiertes Zertifikat mit der Zertifizierungsstelle zu erstellen. Laden Sie das CA-signierte JMX Client-Zertifikat herunter (Root- und Zwischenzertifikate sind nicht erforderlich, da sie zuvor heruntergeladen und importiert wurden).

    1. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.
    2. Geben Sie an der Eingabeaufforderung diesem Zertifikat vertrauen Yes (Ja) ein.

    Schritt 5: Kopieren Sie das CA-signierte JMX-Client-Zertifikat nach %CVP_HOME%\conf\security\.

    Schritt 6: Importieren Sie das CA-signierte JMX-Client-Zertifikat mit diesem Befehl.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN des CVP-Servers oder des Reporting Server WSM-Zertifikats> -Datei %CVP_HOME%\conf\security\<Dateiname des CA-signierten JMX-Client-Zertifikats>

    1. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.

    Schritt 7. Starten Sie den Cisco CVP-Anrufserver, den VXML-Server und die WSM-Dienste neu.

    Schritt 8: Wiederholen Sie das gleiche Verfahren für Reporting Server, falls implementiert.

    Generieren eines CA-signierten Client-Zertifikats für OAMP (für OAMP)

    Schritt 1: Melden Sie sich beim OAMP-Server an. Abrufen des Keystore-Kennworts aus der Datei security.properties.

    Hinweis: Geben Sie an der Eingabeaufforderung mehr %CVP_HOME%\conf\security.properties ein. Security.keystorePW = <Gibt das Keystore-Kennwort zurück> Geben Sie bei Aufforderung das Keystore-Kennwort ein. 

    Schritt 2: Navigieren Sie zu %CVP_HOME%\conf\security, und generieren Sie ein CA-signiertes Zertifikat für die Client-Authentifizierung mit dem CVP-Server oder dem CVP Reporting Server WSM. Verwenden Sie diesen Befehl.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN des CVP Server- oder CVP Reporting Server WSM-Zertifikats> -v -keysize 2048 -keyalg RSA.

    1. Geben Sie die Details an den Eingabeaufforderungen ein, und geben Sie zur Bestätigung "Ja" ein.
    2. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.

    Schritt 3: Generieren Sie mit diesem Befehl die Zertifikatanforderung für den Alias, und speichern Sie sie in einer Datei (z. B. jmx.csr).

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN des CVP Server- oder CVP Reporting Server WSM-Zertifikats> -file %CVP_HOME%\conf\security\jmx.csr.

    1. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.

    Schritt 4: Signieren des Zertifikats auf einer Zertifizierungsstelle

    Hinweis: Gehen Sie wie folgt vor, um mit der Zertifizierungsstelle ein von der Zertifizierungsstelle signiertes Zertifikat zu erstellen. Laden Sie das Zertifikat und das Stammzertifikat der Zertifizierungsstelle herunter.

    Schritt 5: Kopieren Sie das Stammzertifikat und das CA-signierte JMX-Client-Zertifikat nach %CVP_HOME%\conf\security\.

    Schritt 6: Stammzertifikat der Zertifizierungsstelle importieren. Verwenden Sie diesen Befehl.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cert>.

    1. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.
    2. Geben Sie an der Eingabeaufforderung diesem Zertifikat vertrauen Yes (Ja) ein.

    Schritt 7. Importieren Sie das CA-signierte JMX-Client-Zertifikat des CVP-Servers und des CVP Reporting-Servers. Verwenden Sie diesen Befehl.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN des CVP-Servers oder des CVP-Reporting-Server-WSM-Zertifikats> -file %CVP_HOME%\conf\security\<Dateiname_Ihrer_signierten_Zertifikat_von_CA>.

    1. Geben Sie auf Aufforderung das Kennwort für den Schlüsselspeicher ein.

    Schritt 8: Starten Sie den OAMP-Dienst neu.

    Schritt 9. Melden Sie sich bei OAMP an, um eine sichere Kommunikation zwischen OAMP und dem Anrufserver, VXML-Server oder Reporting Server zu ermöglichen.  Navigieren Sie zu Geräteverwaltung > Anrufserver. Aktivieren Sie das Kontrollkästchen Sichere Kommunikation mit der Betriebskonsole aktivieren. Speichern und Bereitstellen von Anrufserver und VXML-Server.

    Schritt 10. Führen Sie den Befehl regedit aus.

    Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\OPSConsoleServer\Parameters\Java.

    Hängen Sie dies an die Datei an, und speichern Sie sie.

    Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
    
    
      Djavax.net.ssl.trustStoreType=JCEKS

    Hinweis: Nachdem Sie die Ports für JMX gesichert haben, kann auf JConsole nur zugegriffen werden, nachdem Sie die in den Oracle-Dokumenten aufgeführten Schritte für JConsole ausgeführt haben.

    Schritt 11. Starten Sie den OAMP-Dienst neu.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    21-Dec-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Ramiro Amaya
      Cisco TAC Engineer
    • Robert Rogier
      Cisco TAC Engineer
    • Adithya Udupa
      Cisco Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren