Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment échanger des certificats auto-signés entre le serveur d'administration principal (ADS/AW) et d'autres serveurs d'applications dans la solution Cisco Packaged Contact Center Enterprise (PCCE).
Contribué par Anuj Bhatia, Robert Rogier et Ramiro Amaya, ingénieurs du TAC Cisco.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Dans la solution PCCE 12.x, tous les périphériques sont contrôlés via le volet unique de verre (SPOG) qui est hébergé sur le serveur principal AW. En raison de la conformité de la gestion de la sécurité (SRC) dans la version PCCE 12.5(1), toutes les communications entre SPOG et les autres serveurs de la solution sont strictement effectuées via le protocole HTTP sécurisé.
Les certificats sont utilisés pour assurer une communication transparente et sécurisée entre SPOG et les autres périphériques. Dans un environnement de certificat auto-signé, l'échange de certificat entre les serveurs devient une nécessité. Cet échange de certificats est également nécessaire pour activer de nouvelles fonctionnalités présentes dans la version 12.5(1), telles que Smart Licensing, Webex Experience Management (WXM) et Customer Virtual Assistant (CVA).
Il s'agit des composants à partir desquels les certificats auto-signés sont exportés et des composants dans lesquels les certificats auto-signés doivent être importés.
(i) Serveur principal AW : Ce serveur requiert un certificat de :
Il en va de même pour les autres serveurs ADS de la solution.
(ii) Router \ Logger Server : Ce serveur requiert un certificat de :
(iii) CUCM PG Server : Ce serveur requiert un certificat de :
(iv) Serveur CVP : Ce serveur requiert un certificat de
v) Serveur de rapports CVP : Ce serveur requiert un certificat de :
vi) Serveur VVB : Ce serveur requiert un certificat de :
Les étapes nécessaires pour échanger efficacement les certificats auto-signés dans la solution sont divisées en trois sections.
Section 1 : Échange de certificats entre les serveurs CVP et ADS.
Section 2 : Échange de certificats entre les applications de la plate-forme VOS et le serveur ADS.
Section 3 : Échange de certificats entre Roggers, PG et ADS Server.
Les étapes nécessaires pour réussir cet échange sont les suivantes :
Étape 1. Exporter les certificats WSM du serveur CVP.
Étape 2. Importer le certificat WSM du serveur CVP sur le serveur ADS.
Étape 3. Exporter le certificat du serveur ADS.
Étape 4. Importez ADS Server vers les serveurs CVP et CVP Reporting Server.
Avant d'exporter les certificats à partir des serveurs CVP, vous devez régénérer les certificats avec le nom de domaine complet du serveur. Sinon, peu de fonctionnalités telles que Smart Licensing, CVA et la synchronisation CVP avec SPOG peuvent rencontrer des problèmes.
Attention : Avant de commencer, procédez comme suit :
Note: Vous pouvez rationaliser les commandes utilisées dans ce document en utilisant le paramètre keytool -storepass. Pour tous les serveurs CVP, collez le mot de passe obtenu à partir du fichier security.properties spécifié. Pour les serveurs ADS, saisissez le mot de passe : modifier
Pour régénérer le certificat sur les serveurs CVP, procédez comme suit :
(i) Répertorier les certificats dans le serveur
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -list
Note: Les serveurs CVP possèdent les certificats auto-signés suivants : wsm_certificate, vxml_certificate, callserver_certificate. Si vous utilisez le paramètre -v de l'outil clé, vous pouvez voir des informations plus détaillées sur chaque certificat. En outre, vous pouvez ajouter le symbole ">" à la fin de la commande keytool.exe list pour envoyer le résultat à un fichier texte, par exemple : > test.txt
ii) Supprimer les anciens certificats autosignés
Serveurs CVP : commande permettant de supprimer les certificats auto-signés :
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias vxml_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
Serveurs de rapports CVP : commande permettant de supprimer les certificats auto-signés :
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
Note: Les serveurs de rapports CVP ont ces certificats auto-signés wsm_certificate, callserver_certificate.
(iii) Générer les nouveaux certificats auto-signés avec le nom de domaine complet du serveur
Serveurs CVP
Commande permettant de générer le certificat auto-signé pour WSM :
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
Spécifiez le nom de domaine complet du serveur, à la question de savoir quel est votre premier nom et votre nom ?
Répondez aux autres questions suivantes :
Quel est le nom de votre unité organisationnelle ?
[Inconnu] : <préciser OU>
Quel est le nom de votre organisation ?
[Inconnu] : <indiquez le nom de l'organisation>
Quel est le nom de votre ville ou de votre localité ?
[Inconnu] : <indiquez le nom de la ville/localité>
Quel est le nom de votre État ou de votre province ?
[Inconnu] : <indiquez le nom de l'état/de la province>
Quel est le code pays à deux lettres pour cette unité ?
[Inconnu] : <indiquez le code pays à deux lettres>
Spécifiez yes pour les deux entrées suivantes.
Exécutez les mêmes étapes pour vxml_certificate et callserver_certificate :
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
Redémarrez le serveur d'appels CVP.
Serveurs de rapports CVP
Commande permettant de générer les certificats auto-signés pour WSM :
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
Spécifiez le nom de domaine complet du serveur pour la requête quel est votre premier et votre nom ? et suivez les mêmes étapes que pour les serveurs CVP.
Exécutez les mêmes étapes pour callserver_certificate :
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
Redémarrez les serveurs Reporting.
Note: Par défaut, les certificats auto-signés sont générés pendant deux ans. Utilisez -value XXXX pour définir la date d'expiration lorsque les certificats sont régénérés, sinon les certificats sont valides pendant 90 jours. Pour la plupart de ces certificats, un délai de validation de 3 à 5 ans doit être raisonnable.
Voici quelques entrées de validité standard :
Un an |
365 |
Deux ans |
730 |
Trois ans |
1095 |
Quatre ans |
1460 |
Cinq ans |
1895 |
Dix ans |
3650 |
Attention : Dans 12.5, les certificats doivent être SHA 256, Key Size 2048 et encryption Algorithm RSA, utilisez ces paramètres pour définir ces valeurs : -keyalg RSA et -keysize 2048. Il est important que les commandes CVP keystore incluent le paramètre -storetype JCEKS. Si cela n'est pas fait, le certificat, la clé ou pire le keystore peut être corrompu.
iv) Exporter wsm_Certificate à partir de serveurs CVP et Reporting
a) Exporter le certificat WSM de chaque serveur CVP vers un emplacement temporaire et renommer le certificat avec le nom souhaité. Vous pouvez le renommer en tant que wsmcsX.crt. Remplacer « X » par un numéro ou une lettre unique. c'est wsmcsa.crt, wsmcsb.crt.
Commande d'exportation des certificats auto-signés :
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
b) Copiez le certificat à partir du chemin C:\Cisco\CVP\conf\security\wsm.crt, renommez-le en wsmcsX.crt et déplacez-le vers un dossier temporaire sur le serveur ADS.
Pour importer le certificat dans le serveur ADS, vous devez utiliser le keytool qui fait partie de l'ensemble d'outils java. Il existe plusieurs façons de trouver le chemin d'accès de la maison java où cet outil est hébergé.
(i) Commande CLI > écho %JAVA_HOME%
(ii) Manuellement par réglage avancé du système, comme le montre l'image.
Sur PCCE 12.5, le chemin par défaut est C:\Program Files (x86)\Java\jre1.8.0_221\bin
Commande d'importation des certificats auto-signés :
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_cvp} -file c:\temp\certs\wsmcsX.crt
Note: Répétez les commandes de chaque CVP dans le déploiement et effectuez la même tâche sur les autres serveurs ADS
d) Redémarrez le service Apache Tomcat sur les serveurs ADS.
Pour le serveur de rapports CVP, vous devez exporter le certificat ADS et l'importer dans le serveur de rapports. Voici les étapes :
(i) Sur le serveur ADS à partir d'un navigateur, accédez à l'URL du serveur : https://{servername}
(ii) Enregistrez le certificat dans un dossier temporaire, par exemple : c:\temp\certs et nommez le certificat ADS{svr}[ab].cer
Note: Sélectionnez l'option Base-64 encoded X.509 (.CER).
(i) Copiez le certificat sur les serveurs CVP et le serveur de rapports CVP dans le répertoire C:\Cisco\CVP\conf\security.
(ii) Importez le certificat sur les serveurs CVP et CVP Reporting.
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias {fqdn_of_ads} -file %CVP_HOME%\conf\security\ICM{svr}[ab].cer
Effectuez les mêmes étapes pour les autres serveurs ADS.
(iii) Redémarrer le serveur CVP Server and Reporting
Les étapes nécessaires pour réussir cet échange sont les suivantes :
Étape 1. Exporter les certificats du serveur d'applications de la plate-forme VOS.
Étape 2. Importer des certificats d'application de plate-forme VOS vers le serveur ADS.
Ce processus s'applique à toutes les applications VOS telles que :
(i) Accédez à la page Cisco Unified Communications Operating System Administration : https://FQDN:8443/cmplatform
(ii) Accédez à Security > Certificate Management et recherchez les certificats du serveur principal de l'application dans le dossier tomcat-trust.
(iii) Sélectionnez le certificat et cliquez sur télécharger le fichier .PEM pour l'enregistrer dans un dossier temporaire sur le serveur ADS.
Note: Effectuez les mêmes étapes pour l'abonné.
Chemin d'accès à l'outil Clé : C:\Program Fichiers (x86)\Java\jre1.8.0_221\bin
Commande d'importation des certificats auto-signés :
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_vos} -file c:\temp\certs\vosapplicationX.cer
Redémarrez le service Apache Tomcat sur les serveurs ADS.
Note: Effectuer la même tâche sur les autres serveurs ADS
Les étapes nécessaires pour réussir cet échange sont les suivantes :
Étape 1 : Exporter le certificat IIS des serveurs Rogger et PG
Étape 2 : Exporter le certificat DFP (Diagnostic Framework Portico) des serveurs Rogger et PG
Étape 3 : Importer des certificats dans des serveurs ADS
(i) Sur le serveur ADS à partir d'un navigateur, accédez à l'URL des serveurs (Roggers, PG) : https://{servername}
(ii)Enregistrez le certificat dans un dossier temporaire, par exemple c:\temp\certs et nommez le certificat en ICM{svr}[ab].cer
Note: Sélectionnez l'option Base-64 encoded X.509 (.CER).
(i) Sur le serveur ADS à partir d'un navigateur, accédez à l'URL DFP des serveurs (Roggers, PG) : https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion
(ii) Enregistrez le certificat dans l'exemple de dossier c:\temp\certs et nommez le certificat en dfp{svr}[ab].cer
Note: Sélectionnez l'option Base-64 encoded X.509 (.CER).
Commande pour importer les certificats auto-signés IIS dans le serveur ADS. Chemin d'accès à l'outil Clé : C:\Program Fichiers (x86)\Java\jre1.8.0_221\bin.
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer
Remarque : Importez tous les certificats de serveur exportés vers tous les serveurs ADS.
Commande pour importer les certificats autosignés de diagnostic dans le serveur ADS
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_DFP -file c:\temp\certs\ dfp{svr}[ab].cer Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_DFP -file c:\temp\certs\dfprgra.cer
Note: Importez tous les certificats de serveur exportés vers tous les serveurs ADS.
Redémarrez le service Apache Tomcat sur les serveurs ADS.
Pour plus d'informations sur la façon d'établir une communication sécurisée pour l'élément Web Services et l'élément Rest_Client
Révision | Date de publication | Commentaires |
---|---|---|
2.0 |
14-Jul-2022 |
Version 1.0 |
1.0 |
01-Apr-2020 |
Première publication |