La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive come scambiare certificati autofirmati in una soluzione Cisco Packaged Contact Center Enterprise (PCCE).
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Nella soluzione PCCE a partire dalla versione 12.x, tutti i dispositivi sono controllati tramite Single Pane of Glass (SPOG) che è ospitato nel server AW principale. A causa della conformità alla gestione della sicurezza (SRC) della versione PCCE 12.5(1), tutte le comunicazioni tra SPOG e gli altri server della soluzione avvengono esclusivamente tramite il protocollo HTTP protetto.
I certificati vengono utilizzati per garantire una comunicazione sicura e senza problemi tra SPOG e gli altri dispositivi. In un ambiente con certificati autofirmati, lo scambio di certificati tra i server è un requisito imprescindibile.
Si tratta dei componenti da cui vengono esportati i certificati autofirmati e dei componenti in cui è necessario importare i certificati autofirmati.
(i) Tutti i server AW/ADS: questi server richiedono un certificato da:
Nota: sono necessari IIS e Diagnostic Framework Portico (DFP).
Nota: è necessario un certificato WSM (Web Service Management) da tutti i server. I certificati devono essere con il nome di dominio completo (FQDN).
(ii) Router \ Server di registrazione: Questi server richiedono un certificato da:
(iii) Server PG: questi server richiedono un certificato da:
Nota: è necessario per scaricare il client JTAPI dal server CUCM.
(iv) Server CVP: questi server richiedono un certificato da
(v) Server di report CVP: questo server richiede un certificato da:
(vi) Server VB: questo server richiede un certificato da:
I passaggi necessari per lo scambio efficace dei certificati autofirmati nella soluzione sono suddivisi in tre sezioni.
Sezione 1: Scambio di certificati tra server CVP e server ADS.
Sezione 2: Scambio di certificati tra applicazioni della piattaforma VOS e server ADS.
Sezione 3: Scambio di certificati tra logger, PG e server ADS.
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1. Esporta certificati WSM di server CVP.
Passaggio 2. Importare il certificato WSM dei server CVP nei server ADS.
Passaggio 3. Esporta certificato server ADS.
Passaggio 4. Importa il server ADS nei server CVP e nel server di report CVP.
Prima di esportare i certificati dai server CVP, è necessario rigenerare i certificati con il nome di dominio completo (FQDN) del server. In caso contrario, è possibile che si verifichino problemi con alcune funzionalità, ad esempio Smart Licensing, Virtual Agent Voice (VAV) e la sincronizzazione CVP con SPOG.
Attenzione: prima di iniziare, eseguire questa operazione:
1. Aprire una finestra di comando come amministratore.
2. Per la versione 12.6.2, per identificare la password del keystore, passare alla cartella %CVP_HOME%\bin ed eseguire il file DecryptKeystoreUtil.bat.
3. Per la versione 12.6.1, per identificare la password del keystore, eseguire il comando more %CVP_HOME%\conf\security.properties.
4. Questa password è necessaria per eseguire i comandi keytool.
5. Dalla directory %CVP_HOME%\conf\security\, eseguire il comando copy .keystore backup.keystore.
Nota: è possibile semplificare i comandi utilizzati in questo documento utilizzando il parametro keytool -storepass. Per tutti i server CVP, fornire la password dello strumento chiave identificata. Per i server ADS la password predefinita è: changeit
Per rigenerare il certificato sui server CVP, eseguire i seguenti passaggi:
(i) Elencare i certificati nel server
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -list
Nota: i server CVP dispongono dei certificati autofirmati wsm_certificate, vxml_certificate, callserver_certificate. Se si utilizza il parametro -v dello strumento chiave, è possibile visualizzare informazioni più dettagliate su ogni certificato. È inoltre possibile aggiungere il simbolo ">" alla fine del comando keytool.exe list per inviare l'output a un file di testo, ad esempio: > test.txt
(ii) Eliminare i vecchi certificati autofirmati
Server CVP: comandi per eliminare i certificati autofirmati:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias vxml_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
Server di report CVP: comandi per eliminare i certificati autofirmati:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
Nota: i server di report CVP dispongono dei certificati autofirmati wsm_certificate, callserver_certificate.
(iii) Generare i nuovi certificati autofirmati con il nome FQDN del server
Server CVP
Comando per generare il certificato autofirmato per WSM:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
Nota: per impostazione predefinita, i certificati vengono generati per due anni. Utilizzare -valid XXXX per impostare la data di scadenza per la rigenerazione dei certificati. In caso contrario, i certificati saranno validi per 90 giorni e dovranno essere firmati da una CA prima di questo periodo. Per la maggior parte di questi certificati, 3-5 anni devono essere un periodo di convalida ragionevole.
Di seguito sono riportati alcuni input di validità standard:
Un anno |
365 |
Due anni |
730 |
Tre anni |
1095 |
Quattro anni |
1460 |
Cinque anni |
1895 |
Dieci anni |
3650 |
Attenzione: da 12.5 i certificati devono essere SHA 256, Key Size 2048 e encryption Algorithm RSA, utilizzare questi parametri per impostare i seguenti valori: -keyalg RSA e -keysize 2048. È importante che i comandi del keystore CVP includano il parametro -storetype JCEKS. In caso contrario, il certificato, la chiave o, peggio, il keystore potrebbe danneggiarsi.
Specificare il nome di dominio completo (FQDN) del server, alla domanda qual è il nome e il cognome?
Rispondere alle seguenti domande:
Qual è il nome dell'unità organizzativa?
[Sconosciuto]: <specificare OU>
Qual è il nome dell'organizzazione?
[Sconosciuto]: <specificare il nome dell'organizzazione>
Indicare il nome della città o della località.
[Sconosciuto]: <specificare il nome della città/località>
Qual è il nome della provincia?
[Sconosciuto]: <specificare il nome della provincia>
Qual è il codice paese di due lettere per questo apparecchio?
[Sconosciuto]: <specifica il codice paese a due lettere>
Specificare yes per i due input successivi.
Eseguire la stessa procedura per vxml_certificate e callserver_certificate:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
Riavviare il server di chiamata CVP.
Server di reporting CVP
Comando per generare i certificati autofirmati per WSM:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
Specificare il nome di dominio completo (FQDN) del server per la query che cos'è il nome e il cognome e continuare con gli stessi passaggi eseguiti con i server CVP.
Eseguire la stessa procedura per callserver_certificate:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
Riavviare i server di report.
(iv) Esportare wsm_Certificate da CVP e server di report
a) Esportare il certificato WSM da ciascun server CVP in una posizione temporanea e rinominare il certificato con il nome desiderato. È possibile rinominarlo come wsmcsX.crt. Sostituire "X" con il nome host del server. Ad esempio, wsmcsa.crt, wsmcsb.crt, wsmrepa.crt, wsmrepb.crt.
Comando per esportare i certificati autofirmati:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
b) Copiare il certificato dal percorso %CVP_HOME%\conf\security\wsm.crt, rinominarlo in wsmcsX.crt e spostarlo in una cartella temporanea sul server ADS.
Per importare il certificato nel server ADS è necessario utilizzare lo strumento chiave che fa parte del set di strumenti java. Ci sono due modi per trovare il percorso della java home in cui è ospitato questo strumento.
(i) Comando CLI > echo %CCE_JAVA_HOME%
(ii) Manualmente tramite Impostazioni di sistema avanzate, come mostrato nell'immagine.
In PCCE 12.6 il percorso predefinito di OpenJDK è C:\Program Files (x86)\OpenJDK\jre-8.0.272.10-hotspot\bin
Comandi per importare i certificati autofirmati:
cd %CCE_JAVA_HOME%\bin
keytool.exe -import -file C:\Temp\certs\wsmcsX.crt -alias {fqdn_of_CVP} -keystore {ICM install directory}\ssl\cacerts
Nota: ripetere i comandi per ogni CVP nella distribuzione ed eseguire la stessa operazione su altri server ADS
iii) Riavviare il servizio Apache Tomcat sui server ADS.
Di seguito sono riportati i passaggi per esportare il certificato ADS:
(i) Su un server ADS da un browser, passare all'URL del server: https://<servername>.
(ii) Salvare il certificato in una cartella temporanea, ad esempio: c:\temp\certs e denominare il certificato ADS<svr>[ab].cer.
Nota: selezionare l'opzione X.509 con codifica Base 64 (.CER).
(i) Copiare il certificato nei server CVP e nel server di report CVP nella directory %CVP_HOME%\conf\security.
(ii) Importare il certificato nei server CVP e nel server di report CVP.
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias {fqdn_of_ads} -file %CVP_HOME%\conf\security\ADS{svr}[ab].cer
Eseguire la stessa procedura per gli altri certificati dei server ADS.
(iii) Riavviare i server CVP e il server di report
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1. Esporta certificati server applicazioni piattaforma VOS.
Passaggio 2. Importare i certificati dell'applicazione piattaforma VOS nel server ADS.
Passaggio 3. Importare i certificati dell'applicazione piattaforma CUCM nei server PG CUCM.
Questo processo è applicabile a tutte le applicazioni VOS, quali:
(i) Passare alla pagina di amministrazione del sistema operativo Cisco Unified Communications: https://FQDN:8443/cmplatform.
(ii) Passare a Protezione > Gestione certificati e individuare i certificati del server principale dell'applicazione nella cartella tomcat-trust.
(iii) Selezionare il certificato e fare clic su Scarica file .PEM per salvarlo in una cartella temporanea sul server ADS.
Nota: eseguire la stessa procedura per il sottoscrittore.
Percorso per eseguire lo strumento Chiave: %CCE_JAVA_HOME%\bin
Comandi per importare i certificati autofirmati:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\vosapplicationX.cer -alias {fqdn_of_VOS>} -keystore {ICM install directory}\ssl\cacerts
Riavviare il servizio Apache Tomcat sui server ADS.
Nota: eseguire la stessa operazione su altri server ADS
Percorso per eseguire lo strumento Chiave: %CCE_JAVA_HOME%\bin
Comandi per importare i certificati autofirmati:
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\cucmapplicationX.cer -alias {fqdn_of_cucm>} -keystore {ICM install directory}\ssl\cacerts
Riavviare il servizio Apache Tomcat sui server PG.
Nota: eseguire la stessa operazione su altri server PG CUCM
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1. Esporta certificato IIS da server Rogger e PG
Passaggio 2. Esporta certificato DFP da server Rogger e PG
Passaggio 3. Importa certificati in server ADS
Passaggio 4. Importa certificato ADS in server Rogger e PG
(i) Su un server ADS da un browser, passare ai server (Roggers , PG) URL: https://{servername}
(ii)Salvare il certificato in una cartella temporanea, ad esempio c:\temp\certs e denominare il certificato ICM<svr>[ab].cer
Nota: selezionare l'opzione X.509 con codifica Base 64 (.CER).
(i) Su un server ADS da un browser, passare ai server (Roggers, PG) URL DFP: https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion
(ii) Salvare il certificato nella cartella example c:\temp\certs e denominare il certificato dfp{svr}[ab].cer
Nota: selezionare l'opzione X.509 con codifica Base 64 (.CER).
Comando per importare i certificati autofirmati di IIS nel server ADS. Percorso per l'esecuzione dello strumento Chiave: %CCE_JAVA_HOME%\bin
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\temp\certs\ICM<svr>[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts
Nota: importare tutti i certificati server esportati in tutti i server ADS.
Comando per importare i certificati autofirmati di diagnostica nel server ADS
%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\dfp<svr>[ab].cer -alias {fqdn_of_server}_DFP -keystore {ICM install directory}\ssl\cacerts
Nota: importare tutti i certificati server esportati in tutti i server ADS.
Riavviare il servizio Apache Tomcat sui server ADS.
Comando per importare i certificati autofirmati di IIS nei server Rogger e PG. Percorso per l'esecuzione dello strumento Chiave: %CCE_JAVA_HOME%\bin.
%CCE_JAVA_HOME%\bin\keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ICM{svr}[ab].cer
Nota: importare tutti i certificati IIS del server ADS esportati in tutti i server Rogger e PG.
Riavviare il servizio Apache Tomcat sui server Rogger e PG.
Per informazioni dettagliate su come stabilire una comunicazione protetta per gli elementi Web Services Element e Rest_Client
Per ulteriori informazioni, fare riferimento al Manuale dell'utente per Cisco Unified CVP VXML Server e Cisco Unified Call Studio versione 12.6(2) - Integrazione dei servizi Web [Cisco Unified Customer Voice Portal] - Cisco
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
31-Jul-2023 |
Versione iniziale |