Configuración del certificado firmado por la CA en el servidor CVP para el acceso web HTTPS
Opciones de descarga
-
ePub (89.7 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone -
Mobi (Kindle) (79.6 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Lenguaje no discriminatorio
El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Acerca de esta traducción
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Contenido
Introducción
Este documento describe cómo configurar y verificar el certificado firmado por la autoridad certificadora (CA) en el servidor del portal de voz de Cisco (CVP) Operation Administration and Management Portal (OAMP).
Prerequisites
El servidor de Autoridad de certificación basado en Microsoft Windows ya está preconfigurado.
Requirements
Cisco recomienda que tenga conocimiento de la infraestructura PKI.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
CVP versión 1.0
Servidor Windows 2012 R2
Autoridad de certificados de Windows 2012 R2
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Configurar
Lista de referencia de comandos
more c:\Cisco\CVP\conf\security.properties
cd c:\Cisco\CVP\conf\security
%kt% -list
%kt% -list | findstr Priv
%kt% -list -v -alias oamp_certificate
%kt% -genkeypair -alias oamp_certificate -v -keysize 2048 -keyalg RSA
%kt% -import -v -trustcacerts -alias oamp_certificate -file oamp.p7b
Realizar una copia de seguridad
Navegue hasta la carpeta c:\Cisco\CVP\conf\security y archive todos los archivos. Si el acceso web de OAMP no funciona, sustituya los archivos recién creados por los de la copia de seguridad.
Generar CSR
Compruebe la contraseña de seguridad.
more c:\Cisco\CVP\conf\security.properties Security.keystorePW = fc]@2zfe*Ufe2J,.0uM$fF
Vaya a la carpeta c:\Cisco\CVP\conf\security.
cd c:\Cisco\CVP\conf\security
Nota: En este artículo, la variable de entorno de Windows se utiliza para hacer que los comandos de Keytool sean mucho más cortos y legibles. Antes de agregar cualquier comando keytool, asegúrese de que la variable esté inicializada.
1. Cree una variable temporal.
set kt=c:\Cisco\CVP\jre\bin\keytool.exe -storepass fc]@2zfe*Ufe2J,.0uM$fF -storetype JCEKS -keystore .keystore
Ingrese el comando para asegurarse de que la variable se inicializa. Introduzca la contraseña correcta.
echo %kt%
c:\Cisco\CVP\jre\bin\keytool.exe -storepass fc]@2zfe*Ufe2J,.0uM$fF -storetype JCEKS -keystore .keystore
Lista de certificados
Enumera los certificados instalados actualmente en el almacén de claves.
%kt% -list
Consejo: Si desea refinar la lista, puede modificar el comando para mostrar sólo certificados autofirmados.
%kt% -list | findstr Priv
vxml_certificate, May 27, 2016, PrivateKeyEntry, oamp_certificate, May 27, 2016, PrivateKeyEntry, wsm_certificate, May 27, 2016, PrivateKeyEntry, callserver_certificate, May 27, 2016, PrivateKeyEntry,
Verifique la información de certificación OAMP autofirmada.
%kt% -printcert -file oamp.crt
Owner: CN=CVP11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL Issuer: CN=CVP11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL Serial number: 3f44f086 Valid from: Fri May 27 08:13:38 CEST 2016 until: Mon May 25 08:13:38 CEST 2026 Certificate fingerprints: MD5: 58:F5:D3:18:46:FE:9A:8C:14:EA:73:0F:5F:12:E7:43 SHA1: 51:7F:E7:FF:25:B6:B8:02:CD:18:84:E7:50:9E:F2:ED:B1:9E:78:40 Signature algorithm name: SHA1withRSA Version: 3
Eliminar el certificado OAMP existente
Para generar un nuevo par de claves, elimine el certificado que ya existe.
%kt% -delete -alias oamp_certificate
Generar par de claves
Ejecute este comando para generar un nuevo par de claves para el alias con el tamaño de clave seleccionado.
%kt% -genkeypair -alias oamp_certificate -v -keysize 2048 -keyalg RSA
What is your first and last name?
[Unknown]: cvp11.allevich.local
What is the name of your organizational unit?
[Unknown]: TAC
What is the name of your organization?
[Unknown]: Cisco
What is the name of your City or Locality?
[Unknown]: Krakow
What is the name of your State or Province?
[Unknown]: Malopolskie
What is the two-letter country code for this unit?
[Unknown]: PL
Is CN=cvp11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL correct?
[no]: yes
Generating 2,048 bit RSA key pair and self-signed certificate (SHA256withRSA)
with a validity of 90 days for: CN=cvp11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
(RETURN if same as keystore password):
[Storing .keystore]
Compruebe que se ha generado el par de claves.
c:\Cisco\CVP\conf\security>dir | findstr oamp.key 05/27/2016 08:13 AM 1,724 oamp.key
Asegúrese de introducir el nombre y los apellidos como servidor OAMP. El nombre debe poder resolverse en una dirección IP. Este nombre aparecerá en el campo CN del certificado.
Generar nuevo CSR
Ejecute este comando para generar la solicitud de certificado para el alias y guardarla en un archivo (por ejemplo, oamp.csr).
%kt% -certreq -alias oamp_certificate -file oamp.csr
Verifique que el CSR se haya generado correctamente.
dir oamp.csr 08/25/2016 08:13 AM 1,136 oamp.csr
Emita el certificado en la CA
Para obtener el certificado, necesitará una autoridad de certificación ya configurada.
Escriba la dirección URL dada en un explorador
http://<dirección IP de la CA>/certsrv
A continuación, seleccione Solicitar certificado y Solicitud de certificado avanzado.
more oamp.csr -----BEGIN NEW CERTIFICATE REQUEST----- MIIC/TCCAeUCAQAwgYcxIzAhBgkqhkiG9w0BCQEWFGFkbWluQGFsbGV2aWNoLmxvY2FsMQswCQYD VQQGEwJQTDEUMBIGA1UECBMLTWFsb3BvbHNraWUxDzANBgNVBAcTBktyYWtvdzEOMAwGA1UEChMF Q2lzY28xDDAKBgNVBAsTA1RBQzEOMAwGA1UEAxMFQ1ZQMTEwggEiMA0GCSqGSIb3DQEBAQUAA4IB DwAwggEKAoIBAQCvQEGmJPmzimqQA6zc1mbWnkzAj3PvGKe9Qg0REfOnHpLq+ddx66o6OGr6TTb1 BrqI8UeN1JDfuQj/m4HZvKsqRv1AWA5CtGRzjbOeNXPMCGOtkO0b9643M8DY0Q9LQ/+PxdzYGhie CxnhQURcAIsViphV4yxUVJ4QcLkzkbM9T8DSoJSJAI4gY+tO3i0xxDTcxlaTQ1xkRYDba8JwzVHL TkVwtSRK2jqIzJuBPZwpXMZc8RDkffBurrVXhFb8ylvR/Q7cAzHPgpPLuK6KmwpOKv8CRoWml3xA EgRd39szkZfbawRzddTqw8hM/2cLSoUKx0NMFY5dXzIszQEYlK5XAgMBAAGgMDAuBgkqhkiG9w0B CQ4xITAfMB0GA1UdDgQWBBRe8ul0CdlHckIm9VjD3ZL/uXhgGzANBgkqhkiG9w0BAQsFAAOCAQEA c48VD1d/BJMaOXwxz5riT1BCjxzLIMTNzv3W00K7ehtmYVTTaRCXLZ/sOX5ws807kwnOaZeIpRzd lGvumS+dUgun/2QO0rp+B44gRvgp9KUTvv5C6YoBslm4H2xp9yaQpgzLBJuKRgl8yIzYnIvoVuPx racGSkyxKzxvrvxOX2qvxoVq71bf43Aps4+G85Cp3GWhIBQ+TtIKKxgZ/C64ThZgT9HtD9zbL3g0 U8bPlF6JNjztzjmuGEdqsNf0fAjpPsfShQl0o4qIMBi7hBQusAwNBEB1xaAlYumD09+R/BK2KfMv Iy4CdsEfWlmjBb54lTJEYzwOh7tpRZkjOqyVMQ== -----END NEW CERTIFICATE REQUEST-----
Copie y pegue todo el contenido del CSR en el menú adecuado. Seleccione Web Server como plantilla de certificado y Base 64 codificado. A continuación, haga clic en Descargar cadena de certificados.
Puede exportar el certificado generado por la CA y el servidor web individualmente o descargar una cadena completa. En este ejemplo se utiliza la opción de cadena completa.
Importar certificado generado por CA
Instale el certificado desde el archivo.
%kt% -import -v -trustcacerts -alias oamp_certificate -file oamp.p7b
Para aplicar un nuevo certificado, reinicie los servicios de publicación World Wide Web y Cisco CVP OPSConsoleServer.
Verificación
Utilize esta sección para confirmar que su configuración funcione correctamente.
La forma más fácil de verificar es iniciar sesión en el servidor web de CVP OAMP. No debería recibir un mensaje de advertencia de certificado no confiable.
Otra manera es verificar el certificado OAMP utilizado con este comando.
%kt% -list -v -alias oamp_certificate Alias name: oamp_certificate Creation date: Oct 20, 2016 Entry type: PrivateKeyEntry Certificate chain length: 2 Certificate[1]: Owner: CN=cvp11.allevich.local, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL Issuer: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac Serial number: 130c0db6000000000017 Valid from: Thu Oct 20 12:48:08 CEST 2016 until: Sat Oct 20 12:48:08 CEST 2018 Certificate fingerprints: MD5: BA:E8:FA:05:45:07:D0:3C:C8:81:1C:34:3D:21:AF:AC SHA1: 30:04:F2:EE:37:22:9D:8D:27:8F:54:D2:BA:D4:0F:33:74:34:87:D8 Signature algorithm name: SHA1withRSA Version: 3 Extensions: #1: ObjectId: 1.3.6.1.4.1.311.20.2 Criticality=false 0000: 1E 12 00 57 00 65 00 62 00 53 00 65 00 72 00 76 ...W.e.b.S.e.r.v 0010: 00 65 00 72 .e.r #2: ObjectId: 1.3.6.1.5.5.7.1.1 Criticality=false AuthorityInfoAccess [ [ accessMethod: caIssuers accessLocation: URIName: ldap:///CN=pod1-POD1AD-CA,CN=AIA, ] ] #3: ObjectId: 2.5.29.35 Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: 9B 33 47 9E 76 DB F3 92 B2 F8 F9 86 3A 59 BA DE .3G.v.......:Y.. 0010: C5 0B E5 E4 .... ] ] #4: ObjectId: 2.5.29.31 Criticality=false CRLDistributionPoints [ [DistributionPoint: [URIName: ldap:///CN=pod1-POD1AD-CA,CN=POD1AD,CN=CDP] ]] #5: ObjectId: 2.5.29.37 Criticality=false ExtendedKeyUsages [ serverAuth ] #6: ObjectId: 2.5.29.15 Criticality=true KeyUsage [ DigitalSignature Key_Encipherment ] #7: ObjectId: 2.5.29.14 Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: CD FC 95 D1 60 44 9A 34 A9 EE 0E 3F C7 F5 5D 3C ....`D.4...?..]< 0010: 46 DF 47 D9 F.G. ] ] Certificate[2]: Owner: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac Issuer: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac Serial number: 305dba13e0def8b474fefeb92f54acd Valid from: Thu Sep 08 18:06:37 CEST 2016 until: Wed Sep 08 18:16:36 CEST 2021 Certificate fingerprints: MD5: 50:04:5F:89:CA:7C:D6:71:82:10:C3:04:57:78:AB:AE SHA1: A6:3B:07:29:AF:3A:07:73:9D:9B:4F:88:B5:A8:17:AC:0A:6D:C3:0D Signature algorithm name: SHA1withRSA Version: 3 Extensions: #1: ObjectId: 1.3.6.1.4.1.311.21.1 Criticality=false 0000: 02 01 00 ... #2: ObjectId: 2.5.29.19 Criticality=true BasicConstraints:[ CA:true PathLen:2147483647 ] #3: ObjectId: 2.5.29.15 Criticality=false KeyUsage [ DigitalSignature Key_CertSign Crl_Sign ] #4: ObjectId: 2.5.29.14 Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: 9B 33 47 9E 76 DB F3 92 B2 F8 F9 86 3A 59 BA DE .3G.v.......:Y.. 0010: C5 0B E5 E4 .... ] ]
Troubleshoot
En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.
Si necesita verificar la sintaxis del comando, consulte la Guía de configuración y administración de CVP.
Información Relacionada
Soporte Técnico y Documentación - Cisco Systems
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
28-Oct-2016 |
Versión inicial |
Con la colaboración de ingenieros de Cisco
- Ricardo ManceraCisco TAC Engineer
- Konstantin VaksinCisco TAC Engineer
- Alexander LevichevCisco TAC Engineer
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)