Introducción
Este documento describe cómo intercambiar certificados autofirmados en la solución Unified Contact Center Enterprise (UCCE).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- UCCE versión 12.5 (1)
- Customer Voice Portal (CVP) versión 12.5 (1)
- Navegador de voz virtualizado (VB) de Cisco
Componentes Utilizados
La información que contiene este documento se basa en estas versiones de software:
- UCCE 12.5 (1)
- CVP 12.5 (1)
- Cisco VB 12.5
- Consola de operaciones de CVP (OAMP)
- CVP Nuevo OAMP (NOAMP)
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
En una solución de UCCE, la configuración de las nuevas funciones que implican las aplicaciones principales, como ROGGER, los gateways periféricos (PG), las estaciones de trabajo de administración (AW)/los servidores de datos de administración (ADS), Finesse, Cisco Unified Intelligence Center (CUIC), etc., se realiza a través de la página de administración de Contact Center Enterprise (CCE). Para las aplicaciones de respuesta de voz interactiva (IVR) como CVP, Cisco VB y gateways, NOAMP controla la configuración de las nuevas funciones. A partir de CCE 12.5 (1), debido al cumplimiento de la gestión de seguridad (SRC), todas las comunicaciones con CCE Admin y NOAMP se realizan estrictamente a través del protocolo HTTP seguro.
Para lograr una comunicación segura y sin problemas entre estas aplicaciones en un entorno de certificados autofirmado, el intercambio de certificados entre los servidores se convierte en una obligación. En la siguiente sección se explican en detalle los pasos necesarios para intercambiar certificados autofirmados entre:
- Servidores CCE AW y servidores de aplicaciones de núcleo CCE
- Servidor CVP OAMP y servidores de componentes CVP
Procedimiento
Servidores CCE AW y servidores de aplicaciones de núcleo CCE
Estos son los componentes desde los que se exportan los certificados autofirmados y los componentes en los que se deben importar los certificados autofirmados.
Servidores CCE AW: Este servidor requiere un certificado de:
- Plataforma Windows: router y registrador (ROGGER) {A/B}, puerta de enlace periférica (PG) {A/B} y todos los AW/ADS.
Nota: se necesitan los certificados IIS y Diagnostic Framework Portico (DFP).
- Plataforma VOS: Finesse, CUIC, Live Data (LD), Identity Server (IDS), Cloud Connect y otros servidores aplicables forman parte de la base de datos de inventario.
Lo mismo se aplica a otros servidores AW de la solución.
Router\Logger Server: Este servidor requiere un certificado de:
- Plataforma Windows: certificado IIS de todos los servidores AW.
Los pasos necesarios para intercambiar los certificados autofirmados por CCE de forma eficaz se dividen en las siguientes secciones:
Sección 1. Intercambio de certificados entre router\registrador, PG y servidor AW.
Sección 2. Intercambio de certificados entre la aplicación de plataforma VOS y el servidor AW.
Sección 1. Intercambio de certificados entre router\registrador, PG y servidor AW
Los pasos necesarios para completar este intercambio correctamente son:
Paso 1. Exporte certificados IIS desde Router\Logger, PG y todos los servidores AW.
Paso 2. Exporte certificados DFP desde Router\Logger, PG y todos los servidores AW.
Paso 3. Importe certificados IIS y DFP de Router\Logger, PG y AW a servidores AW.
Paso 4. Importe certificados IIS a Router\Logger y PG desde servidores AW.
Precaución: antes de comenzar, debe realizar una copia de seguridad del almacén de claves y abrir el símbolo del sistema como Administrador.
- Conozca la ruta de inicio de Java para asegurarse de dónde está alojada la herramienta clave de Java. Hay un par de maneras de encontrar la ruta de inicio de Java.
Opción 1. Comando CLI: echo %JAVA_HOME%
Opción 2. Manualmente a través de la configuración avanzada del sistema, como se muestra en la imagen.
Nota: En UCCE 12.5, la ruta predeterminada esC:\Program Files (x86)\Java\jre1.8.0_221\bin
. Sin embargo, si ha utilizado el instalador 12.5 (1a) o tiene 12.5 ES55 instalado (OpenJDK ES obligatorio), utilice%CCE_JAVA_HOME%
en lugar de%JAVA_HOME%
, ya que la ruta del almacén de datos ha cambiado con OpenJDK. Puede encontrar más información sobre la migración de OpenJDK en CCE y CVP en los siguientes documentos: Install and Migrate to OpenJDK in CCE 12.5(1) e Install and Migrate to OpenJDK in CVP 12.5(1).
- Realice una copia de seguridad del
cacerts
archivo desde la carpeta{JAVA_HOME}\lib\security
. Puede copiarlo en otra ubicación.
Paso 1. Exporte certificados IIS desde Router\Logger, PG y todos los servidores AW.
- En el servidor AW desde un navegador, navegue hasta la URL de los servidores (ROGGERs, PG, otros servidores AW):
https://{servername}
.
- Guarde el certificado en una carpeta temporal, por ejemplo,
c:\temp\certs
y asígnele el nombreICM{svr}[ab].cer
.
Nota: Elija la opción Codificado Base-64 X.509 (.CER).
Paso 2. Exporte certificados DFP desde Router\Logger, PG y todos los servidores AW.
- En el servidor AW, abra un navegador y navegue hasta los servidores (Router, Logger o ROGGER, PG, AW) y la URL DFP:
https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion
.
- Guarde el certificado en el ejemplo de carpeta
c:\temp\certs
y asígnele el nombredfp{svr}[ab].cer
.
Nota: Elija la opción Codificado Base-64 X.509 (.CER).
Paso 3. Importe certificados IIS y DFP de Router\Logger, PG y AW a servidores AW.
Nota: Los comandos de ejemplo utilizan la contraseña predeterminada del almacén de claves dechangeit
. Debe cambiarla si ha modificado la contraseña en el sistema.
Comando para importar los certificados autofirmados de IIS en el servidor AW. La ruta para ejecutar la herramienta clave es:%JAVA_HOME%\bin
.
keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer
Nota: Importe todos los certificados de servidor exportados a todos los servidores AW.
Comando para importar los certificados autofirmados DFP en servidores AW:
keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_DFP -file c:\temp\certs\ dfp{svr}[ab].cer
Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myrgra.domain.com_DFP -file c:\temp\certs\dfprgra.cer
Nota: Importe todos los certificados de servidor exportados a todos los servidores AW.
Reinicie el servicio Apache Tomcat en los servidores AW.
Paso 4. Importe certificados IIS a Router\Logger y PG desde servidores AW.
Comando para importar los certificados autofirmados de AW IIS en los servidores Router\Logger y PG:
keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myawa.domain.com_IIS -file c:\temp\certs\ICMawa.cer
Nota: Importe todos los certificados de servidor IIS de AW exportados a los servidores Router\Logger y PG en los lados A y B.
Reinicie el servicio Apache Tomcat en los servidores Router\Logger y PG.
Sección 2. Intercambio de certificados entre aplicaciones de la plataforma VOS y el servidor AW
Los pasos necesarios para completar este intercambio correctamente son:
Paso 1. Exportar certificados de servidor de aplicaciones de la plataforma VOS.
Paso 2. Importar certificados de aplicación de la plataforma VOS al servidor AW.
Este proceso se aplica a todas las aplicaciones VOS, como:
- Finesse
- CUIC\LD\IDS
- Conexión a la nube
Paso 1. Exportar certificados de servidor de aplicaciones de la plataforma VOS.
i. Vaya a la página de administración del sistema operativo Cisco Unified Communications: https://{FQDN}:8443/cmplatform.
ii. Navegue hastaSecurity > Certificate Management
los certificados de servidor principal de la aplicación y búsquelos en la carpeta tomcat-trust.
iii. Elija el certificado y haga clicDownload .PEM File
para guardarlo en una carpeta temporal en el servidor AW.
Nota: Realice los mismos pasos para el suscriptor.
Paso 2. Importar aplicación de plataforma VOS al servidor AW.
Ruta para ejecutar la herramienta Clave: {JAVA_HOME}\bin
Comando para importar los certificados autofirmados:
keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_vos} -file c:\temp\certs\vosapplicationX.pem
Reinicie el servicio Apache Tomcat en los servidores AW.
Nota: Realice la misma tarea en otros servidores AW.
Servidor CVP OAMP y servidores de componentes CVP
Estos son los componentes desde los que se exportan los certificados autofirmados y los componentes en los que se deben importar los certificados autofirmados.
i. Servidor CVP OAMP: este servidor requiere un certificado de:
- Plataforma Windows: certificado del Administrador de servicios web (WSM) del servidor CVP y los servidores de informes.
- Plataforma VOS: integración de Cisco VB para Customer Virtual Agent (CVA), servidor Cloud Connect para integración de Webex Experience Management (WXM).
ii. Servidores CVP: Este servidor requiere un certificado de:
- Plataforma Windows: certificado WSM del servidor OAMP.
- Plataforma VOS: servidor Cloud Connect para integración WXM y servidor Cisco VB.
iii. Servidores de informes de CVP: Este servidor requiere un certificado de:
- Plataforma Windows: certificado WSM del servidor OAMP.
iv. Servidores Cisco VB: Este servidor requiere un certificado de:
- Plataforma Windows: certificado VXML del servidor CVP y certificado Callserver del servidor CVP.
En estas tres secciones se explican los pasos necesarios para intercambiar eficazmente los certificados autofirmados en el entorno de CVP.
Sección 1. Intercambio de certificados entre el servidor CVP OAMP y el servidor CVP y los servidores de informes.
Sección 2. Intercambio de certificados entre el servidor CVP OAMP y las aplicaciones de plataforma VOS.
Sección 3. Intercambio de certificados entre el servidor CVP y los servidores VB.
Sección 1. Intercambio de certificados entre el servidor CVP OAMP y el servidor CVP y los servidores de informes
Los pasos necesarios para completar este intercambio correctamente son:
Paso 1. Exporte el certificado WSM desde el servidor CVP, el servidor de informes y el servidor OAMP.
Paso 2. Importe certificados WSM del servidor CVP y del servidor de informes en el servidor OAMP.
Paso 3. Importe el certificado WSM del servidor CVP OAMP en el servidor CVP y en el servidor de informes.
Precaución: antes de comenzar, debe realizar lo siguiente:
1. Abra una ventana de comandos como administrador.
2. Para identificar la contraseña del almacén de claves, ejecute el comando,more %CVP_HOME%\conf\security.properties
.
3. Necesita esta contraseña cuando ejecute los comandos keytool.
4. Desde el%CVP_HOME%\conf\security\
directorio, ejecute el comando, copy .keystore backup.keystore
.
Paso 1. Exporte el certificado WSM desde el servidor CVP, el servidor de informes y el servidor OAMP.
i. Exporte el certificado WSM de cada servidor a una ubicación temporal y cambie el nombre del certificado con el nombre que desee. Puede cambiarle el nombre porwsmX.crt
. Sustituya X por el nombre de host del servidor. Por ejemplo,wsmcsa.crt
,wsmcsb.crt
,wsmrepa.crt
,wsmrepb.crt
,wsmoamp.crt
.
Comando para exportar los certificados autofirmados:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
ii. Copie el certificado de la rutaC:\Cisco\CVP\conf\security\wsm.crt
de acceso de cada servidor y cámbiele el nombre segúnwsmX.crt
el tipo de servidor.
Paso 2. Importe los certificados WSM de los servidores CVP y los servidores de informes en el servidor OAMP.
i. Copie el certificado WSM de cada servidor CVP y servidor de informes (wsmX.crt
) en el%CVP_HOME%\conf\security
directorio del servidor OAMP.
ii. Importe estos certificados con el comando:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmcsX.crt
iii. Reinicie el servidor.
Paso 3. Importe el certificado WSM del servidor CVP OAMP en los servidores CVP y los servidores de informes.
i. Copie el certificado WSM (wsmoampX.crt
) del servidor OAMP en el%CVP_HOME%\conf\security
directorio de todos los servidores CVP y servidores de informes.
ii. Importe los certificados con el comando:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmoampX.crt
iii. Reinicie los servidores.
Sección 2. Intercambio de certificados entre el servidor CVP OAMP y las aplicaciones de la plataforma VOS
Los pasos necesarios para completar este intercambio correctamente son:
Paso 1. Exporte el certificado de aplicación desde la plataforma VOS.
Paso 2. Importe el certificado de la aplicación VOS en el servidor OAMP.
Este proceso es aplicable a aplicaciones VOS como:
- CUCM
- VVB
- Conexión a la nube
Paso 1. Exporte el certificado de aplicación desde la plataforma VOS.
i. Vaya a la página de administración del sistema operativo Cisco Unified Communications: https://{FQDN}:8443/cmplatform.
ii. Navegue hastaSecurity > Certificate Management
los certificados de servidor principal de la aplicación y búsquelos en la carpeta tomcat-trust.
iii. Elija el certificado y haga clicDownload .PEM File
para guardarlo en una carpeta temporal en el servidor OAMP.
Paso 2. Importe el certificado de la aplicación VOS en el servidor OAMP.
i. Copie el certificado de VOS en el%CVP_HOME%\conf\security
directorio del servidor OAMP.
ii. Importe los certificados con el comando:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_vos} -file %CVP_HOME%\conf\security\VOS.pem
iii. Reinicie el servidor.
Sección 3. Intercambio de certificados entre servidores CVP y VB
Este es un paso opcional para asegurar la comunicación SIP entre CVP y otros componentes del Contact Center. Para más información, consulte la sección Guía de configuración de CVP: Guía de configuración de CVP - Seguridad.
Integración del servicio web de CVP Call Studio
Para obtener información detallada sobre cómo establecer una comunicación segura para los elementos Web Services Element y Rest_Client, consulte la Guía del usuario para el servidor VXML de Cisco Unified CVP y Cisco Unified Call Studio versión 12.5(1) - Integración de servicios web [Cisco Unified Customer Voice Portal] - Cisco.
Información Relacionada