Einleitung
In diesem Dokument werden die erforderlichen Schritte zum Erhalt und zur Installation eines Zertifizierungsstellen-Zertifikats (Certification Authority, CA) erläutert, das von einem Drittanbieter erstellt wurde, um eine HTTPS-Verbindung zwischen Finesse-, Cisco Unified Intelligence Center (CUIC)- und Live Data (LD)-Servern herzustellen.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Cisco Unified Contact Center Enterprise (UCCE)
- Cisco Live-Daten (LD)
- Cisco Unified Intelligence Center (CUIC)
- Cisco Finesse
- CA-zertifiziert
Verwendete Komponenten
Die in diesem Dokument verwendeten Informationen basieren auf der Version 11.0(1) von UCCE.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen aller Schritte kennen.
Hintergrundinformationen
Um HTTPS für die sichere Kommunikation zwischen Finesse-, CUIC- und Live Data-Servern nutzen zu können, müssen Sicherheitszertifikate eingerichtet werden. Diese Server stellen standardmäßig selbstsignierte Zertifikate bereit, die verwendet werden, oder Kunden können Zertifikate mit CA-Signatur (Certificate Authority) beschaffen und installieren. Diese Zertifizierungsstellenzertifikate können entweder von einem Drittanbieter wie VeriSign, Thawte, GeoTrust bezogen oder intern hergestellt werden.
Konfigurieren
Um ein Zertifikat für die HTTPS-Kommunikation auf Finesse-, CUIC- und Live Data-Servern einzurichten, müssen folgende Schritte ausgeführt werden:
- Erstellen und Herunterladen einer CSR-Anforderung (Certificate Signing Request)
- Holen Sie sich das Stamm-, Zwischen- (falls zutreffend) und Anwendungszertifikat von der Zertifizierungsstelle mit CSR ein.
- Zertifikate auf die Server hochladen.
Schritt 1: Erstellen und Herunterladen einer CSR-Anforderung (Certificate Signing Request)
- Die hier beschriebenen Schritte zum Generieren und Herunterladen von CSR-Dateien sind für Finesse-, CUIC- und Live-Datenserver identisch.
- Öffnen Sie die Seite Cisco Unified Communications Operating System Administration (Cisco Unified Communications-Betriebssystemverwaltung) mit der angegebenen URL, und melden Sie sich mit dem während des Installationsvorgangs erstellten Betriebssystem-Administratorkonto an.
https://FQDN:8443/cmplatform
- Generieren Sie die CSR-Anforderung (Certificate Signing Request) wie im Bild gezeigt:
Schritt 1: Navigieren Sie zu Sicherheit > Zertifikatsverwaltung > CSR erstellen.
Schritt 2: Wählen Sie in der Dropdown-Liste Zertifikatzweckname die Option tomcat aus.
Schritt 3: Wählen Sie je nach Geschäftsanforderungen Hash-Algorithmus und Schlüssellänge aus.
- Schlüssellänge: 2048 \ Hash-Algorithmus: SHA256 wird empfohlen
Schritt 4: Klicken Sie auf CSR erstellen.
Hinweis: Wenn geschäftlich erforderlich ist, dass das Feld für die übergeordnete Domäne der SANs (Subject Alternate Names) mit dem Domänennamen ausgefüllt wird, beachten Sie die Problemadressen im Dokument "SANs Issue with a Third Party Signed Certificate in Finesse" (SANs stellen mit einem Drittanbieter-Zertifikat in Finesse aus).
- Laden Sie die CSR-Anfrage (Certificate Signing Request) wie im Bild dargestellt herunter:
Schritt 1: Navigieren Sie zu Sicherheit > Zertifikatsverwaltung > CSR herunterladen.
Schritt 2: Wählen Sie in der Dropdown-Liste "Zertifikatsname" die Option tomcat aus.
Schritt 3: Klicken Sie auf CSR herunterladen.
Anmerkung:
Hinweis: Führen Sie die oben genannten Schritte auf den sekundären Servern mit der URL https://FQDN:8443/cmplatform durch, um CSRs für Certificate Authority zu erhalten.
Schritt 2: Holen Sie sich das Root-, Intermediate- (ggf. Schritt 5) und Anwendungszertifikat von der Zertifizierungsstelle.
- Geben Sie die CSR-Informationen (Certificate Signing Request) für den primären und sekundären Server an Zertifizierungsstellen von Drittanbietern wie VeriSign, Thawte, GeoTrust usw. weiter.
- Von der Zertifizierungsstelle sollte die folgende Zertifikatskette für den primären und sekundären Server erhalten werden.
- Finesse-Server: Root-, Intermediate- (optional) und Anwendungszertifikat
- CUIC-Server: Root-, Intermediate- (optional) und Anwendungszertifikat
- Live-Datenserver: Root-, Intermediate- (optional) und Anwendungszertifikat
Schritt 3: Zertifikate auf die Server hochladen.
In diesem Abschnitt wird beschrieben, wie Sie die Zertifikatskette korrekt auf Finesse-, CUIC- und Live-Datenserver hochladen.
Finesse-Server
- Laden Sie das Root-Zertifikat mithilfe der folgenden Schritte auf den primären Finesse-Server hoch:
Schritt 1: Navigieren Sie auf der Seite für die Verwaltung des Cisco Unified Communications-Betriebssystems auf dem primären Server zu Sicherheit > Zertifikatsverwaltung > Zertifikat hochladen.
Schritt 2: Wählen Sie in der Dropdown-Liste "Zertifikatsname" die Option "cat-trust" aus.
Schritt 3: Klicken Sie im Feld Upload File (Datei hochladen) auf Browse (Durchsuchen), und navigieren Sie zur Stammzertifikatdatei.
Schritt 4: Klicken Sie auf Datei hochladen.
- Laden Sie das Zwischenzertifikat mithilfe der folgenden Schritte auf den primären Finese-Server hoch:
Schritt 1: Die Schritte zum Hochladen des Zwischenzertifikats entsprechen denen des Stammzertifikats, wie in Schritt 1 gezeigt.
Schritt 2: Navigieren Sie auf der Seite "Cisco Unified Communications Operating System Administration" des primären Servers zu Security > Certificate Management > Upload Certificate.
Schritt 3: Wählen Sie in der Dropdown-Liste "Zertifikatsname" die Option "cat-trust" aus.
Schritt 4: Klicken Sie im Feld Upload File (Datei hochladen) auf Browse (Durchsuchen), und navigieren Sie zur Zertifikatsdatei Intermediate (Zwischendurch).
Schritt 5: Klicken Sie auf Hochladen.
Hinweis: Da der Tomcat-Trust-Speicher zwischen dem primären und sekundären Server repliziert wird, ist es nicht erforderlich, das Root- oder Intermediate-Zertifikat auf den sekundären Finesse-Server hochzuladen.
- Laden Sie das primäre Finesse-Server-Anwendungszertifikat wie im Bild gezeigt hoch:
Schritt 1: Wählen Sie in der Dropdown-Liste "Zertifikatsname" die Option tomcat aus.
Schritt 2: Klicken Sie im Feld Upload File (Datei hochladen) auf Browse (Durchsuchen), und navigieren Sie zur Datei mit dem Anwendungszertifikat.
Schritt 3: Klicken Sie auf Hochladen, um die Datei hochzuladen.
- Laden Sie das sekundäre Finese-Serveranwendungszertifikat hoch.
In diesem Schritt fFühren Sie den gleichen Prozess wie in Schritt 3 auf dem sekundären Server für ein eigenes Anwendungszertifikat durch.
- Jetzt können Sie die Server neu starten.
Greifen Sie auf die CLI des primären und sekundären Finesse-Servers zu, und geben Sie den Befehl utils system restart ein, um die Server neu zu starten.
CUIC-Server (unter der Annahme, dass in der Zertifikatskette keine Zwischenzertifikate vorhanden sind)
- Laden Sie das Root-Zertifikat auf den primären CUIC-Server hoch.
Schritt 1: Navigieren Sie auf der Seite "Cisco Unified Communications Operating System Administration" des primären Servers zu Security > Certificate Management > Upload Certificate/Certificate chain .
Schritt 2: Wählen Sie in der Dropdown-Liste "Zertifikatsname" die Option "cat-trust" aus.
Schritt 3: Klicken Sie im Feld Upload File (Datei hochladen) auf Browse (Durchsuchen), und navigieren Sie zur Stammzertifikatdatei.
Schritt 4: Klicken Sie auf Datei hochladen.
Hinweis: Da der Tomcat-Trust-Speicher zwischen dem primären und dem sekundären Server repliziert wird, ist es nicht erforderlich, das Root-Zertifikat auf den sekundären CUIC-Server hochzuladen.
- Laden Sie das Anwendungszertifikat des primären CUIC-Servers hoch.
Schritt 1: Wählen Sie in der Dropdown-Liste "Zertifikatsname" die Option tomcat aus.
Schritt 2: Klicken Sie im Feld Upload File (Datei hochladen) auf Browse (Durchsuchen), und navigieren Sie zur Datei mit dem Anwendungszertifikat.
Schritt 3: Klicken Sie auf Datei hochladen.
- Laden Sie das Anwendungszertifikat des sekundären CUIC-Servers hoch.
Führen Sie den gleichen Prozess wie in Schritt (2) für das eigene Anwendungszertifikat auf dem sekundären Server aus.
- Server neu starten
Greifen Sie auf die CLI des primären und sekundären CUIC-Servers zu, und geben Sie den Befehl "utils system restart" ein, um die Server neu zu starten.
Hinweis: Wenn die Zertifizierungsstelle die Zertifikatskette bereitstellt, die Zwischenzertifikate enthält, gelten die im Abschnitt "Finesse-Server" genannten Schritte auch für CUIC-Server.
Live-Datenserver
- Die Schritte zum Hochladen der Zertifikate auf Live-Data-Servern sind je nach Zertifikatskette mit den Finesse- oder CUIC-Servern identisch.
- Stammzertifikat auf primären Live-Daten-Server hochladen.
Schritt 1: Navigieren Sie auf der Seite "Cisco Unified Communications Operating System Administration" des primären Servers zu Security > Certificate Management > Upload Certificate.
Schritt 2: Wählen Sie in der Dropdown-Liste "Zertifikatsname" die Option "cat-trust" aus.
Schritt 3: Klicken Sie im Feld Upload File (Datei hochladen) auf Browse (Durchsuchen), und navigieren Sie zur Stammzertifikatdatei.
Schritt 4: Klicken Sie auf Hochladen.
- Zwischenzertifikat auf primären Live-Daten-Server hochladen.
Schritt 1: Die Schritte zum Hochladen des Zwischenzertifikats entsprechen denen des Stammzertifikats, wie in Schritt 1 gezeigt.
Schritt 2: Navigieren Sie auf der Seite "Cisco Unified Communications Operating System Administration" des primären Servers zu Security > Certificate Management > Upload Certificate.
Schritt 3: Wählen Sie in der Dropdown-Liste "Zertifikatsname" die Option "cat-trust" aus.
Schritt 4: Klicken Sie im Feld Upload File (Datei hochladen) auf Browse (Durchsuchen), und navigieren Sie zur Zertifikatsdatei Intermediate (Zwischendurch).
Schritt 5: Klicken Sie auf Hochladen.
Hinweis: Da der Tomcat-Trust-Speicher zwischen dem primären und sekundären Server repliziert wird, ist es nicht erforderlich, das Root- oder Intermediate-Zertifikat auf den sekundären Live-Data-Server hochzuladen.
- Primäre Live-Data-Serveranwendungszertifikat hochladen.
Schritt 1: Wählen Sie in der Dropdown-Liste "Zertifikatsname" die Option tomcat aus.
Schritt 2: Klicken Sie im Feld Upload File (Datei hochladen) auf Browse (Durchsuchen), und navigieren Sie zur Datei mit dem Anwendungszertifikat.
Schritt 3: Klicken Sie auf Hochladen.
- Laden Sie ein sekundäres Live-Data-Serveranwendungszertifikat hoch.
Befolgen Sie die gleichen Schritte wie in (4) auf dem sekundären Server für das eigene Anwendungszertifikat.
- Server neu starten
Greifen Sie auf die CLI des primären und sekundären Finesse-Servers zu, und geben Sie den Befehl "utils system restart" ein, um die Server neu zu starten.
Zertifikatabhängigkeiten von Live-Datenservern
Wenn Live-Datenserver mit CUIC- und Finesse-Servern interagieren, bestehen Zertifikatabhängigkeiten zwischen diesen Servern, wie im Bild gezeigt:
In Bezug auf die Zertifizierungsstellenzertifikatkette des Drittanbieters sind die Stammzertifikate und die Zwischenzertifikate für alle Server in der Organisation identisch. Damit der Live-Datenserver ordnungsgemäß funktioniert, müssen Sie sicherstellen, dass die Root- und Intermediate-Zertifikate der Finesse- und CUIC-Server ordnungsgemäß in den Tomcat-Trust-Containern geladen sind.
Überprüfung
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
Fehlerbehebung
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.