Introduzione
Questo documento descrive come scambiare certificati autofirmati nella soluzione Unified Contact Center Enterprise (UCCE).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- UCCE release 12.5 (1)
- Customer Voice Portal (CVP) versione 12.5 (1)
- Cisco Virtualized Voice Browser (VB)
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software:
- UCCE 12.5 (1)
- CVP 12.5 (1)
- Cisco VB 12.5
- CVP Operations Console (OAMP)
- CVP Nuovo OAMP (NOAMP)
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
In una soluzione UCCE, la configurazione di nuove funzionalità che coinvolgono le applicazioni principali, quali ROGGER, Gateway periferiche (PG), Workstation amministrative (AW)/Server dati di amministrazione (ADS), Finesse, Cisco Unified Intelligence Center (CUIC) e così via, viene eseguita tramite la pagina di amministrazione di Contact Center Enterprise (CCE). Per le applicazioni Interactive Voice Response (IVR) come CVP, Cisco VB e gateway, NOAMP controlla la configurazione delle nuove funzionalità. Dalla versione 12.5 (1) di CCE, tutte le comunicazioni con gli amministratori CCE e NOAMP avvengono esclusivamente tramite il protocollo HTTP protetto, a causa della conformità SRC (Security-Management-Compliance).
Per garantire una comunicazione sicura e senza problemi tra queste applicazioni in un ambiente con certificati autofirmati, lo scambio di certificati tra i server diventa indispensabile. Nella sezione successiva vengono illustrati in dettaglio i passaggi necessari per lo scambio di certificati autofirmati tra:
- Server AW CCE e server applicazioni di base CCE
- Server CVP OAMP e server dei componenti CVP
Procedura
Server AW CCE e server applicazioni di base CCE
Si tratta dei componenti da cui vengono esportati i certificati autofirmati e dei componenti in cui devono essere importati i certificati autofirmati.
Server AW CCE: il server richiede un certificato da:
- Piattaforma Windows: router e registratore (ROGGER) {A/B}, Peripheral Gateway (PG) {A/B} e tutti gli AW/ADS.
Nota: sono necessari i certificati IIS e DFP (Diagnostic Framework Portico).
- Piattaforma VOS: Finesse, CUIC, Live Data (LD), Identity Server (IDS), Cloud Connect e altri server applicabili fanno parte del database di inventario.
Lo stesso vale per gli altri server AW della soluzione.
Router\Server di registrazione: il server richiede un certificato da:
- Piattaforma Windows: certificato IIS di tutti i server AW.
I passaggi necessari per lo scambio efficace dei certificati autofirmati con CCE sono suddivisi nelle seguenti sezioni:
Sezione 1. Scambio di certificati tra router\Logger, PG e server AW.
Sezione 2. Scambio di certificati tra l'applicazione della piattaforma VOS e il server AW.
Sezione 1. Scambio di certificati tra router\Logger, PG e server AW
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1. Esporta certificati IIS da Router\Logger, PG e tutti i server AW.
Passaggio 2. Esporta certificati DFP da router\registratore, PG e tutti i server AW.
Passaggio 3. Importare i certificati IIS e DFP da Router\Logger, PG e AW ai server AW.
Passaggio 4. Importare i certificati IIS in Router\Logger e PG dai server AW.
Attenzione: prima di iniziare, è necessario eseguire il backup del keystore e aprire il prompt dei comandi come amministratore.
- Conoscere il percorso della home Java per verificare dove è ospitato lo strumento chiave Java. Esistono un paio di modi per trovare il percorso della home Java.
Opzione 1. CLI: echo %JAVA_HOME%
Opzione 2. Manualmente, tramite le impostazioni di sistema Avanzate, come mostrato nell'immagine.
Nota: in UCCE 12.5, il percorso di default èC:\Program Files (x86)\Java\jre1.8.0_221\bin
. Tuttavia, se è stato utilizzato il programma di installazione 12.5 (1a) o se è stato installato 12.5 ES55 (obbligatorio OpenJDK ES), utilizzare%CCE_JAVA_HOME%
anziché%JAVA_HOME%
poiché il percorso dell'archivio dati è stato modificato con OpenJDK. Per ulteriori informazioni sulla migrazione di OpenJDK in CCE e CVP, consultare i seguenti documenti: Install and Migrate to OpenJDK in CCE 12.5(1) e Install and Migrate to OpenJDK in CVP 12.5(1).
- Eseguire il backup del
cacerts
file dalla cartella{JAVA_HOME}\lib\security
. È possibile copiarlo in un'altra posizione.
Passaggio 1. Esporta certificati IIS da Router\Logger, PG e tutti i server AW.
- Sul server AW da un browser, passare ai server (ROGGER, PG, altri server AW) URL:
https://{servername}
.
- Salvare il certificato in una cartella temporanea, ad esempio
c:\temp\certs
e denominare il certificato comeICM{svr}[ab].cer
.
Nota: scegliere l'opzione X.509 con codifica Base 64 (.CER).
Passaggio 2. Esporta certificati DFP da router\registratore, PG e tutti i server AW.
- Sul server AW, aprire un browser e passare ai server (Router, Logger o ROGGER, PG, AW) URL DFP:
https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion
.
- Salvare il certificato nell'esempio della cartella
c:\temp\certs
e denominare il certificato comedfp{svr}[ab].cer
.
Nota: scegliere l'opzione X.509 con codifica Base 64 (.CER).
Passaggio 3. Importare i certificati IIS e DFP da Router\Logger, PG e AW ai server AW.
Nota: i comandi di esempio utilizzano la password keystore predefinita dichangeit
. Se la password del sistema è stata modificata, è necessario modificarla.
Comando per importare i certificati autofirmati di IIS nel server AW. Il percorso per eseguire lo strumento chiave è:%JAVA_HOME%\bin
.
keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer
Nota: importare tutti i certificati server esportati in tutti i server AW.
Comando per importare i certificati autofirmati DFP nei server AW:
keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_DFP -file c:\temp\certs\ dfp{svr}[ab].cer
Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myrgra.domain.com_DFP -file c:\temp\certs\dfprgra.cer
Nota: importare tutti i certificati server esportati in tutti i server AW.
Riavviare il servizio Apache Tomcat sui server AW.
Passaggio 4. Importare i certificati IIS in Router\Logger e PG dai server AW.
Comando per importare i certificati autofirmati di IIS AW nei server Router\Logger e PG:
keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myawa.domain.com_IIS -file c:\temp\certs\ICMawa.cer
Nota: importare tutti i certificati del server IIS AW esportati nei server Router\Logger e PG sui lati A e B.
Riavviare il servizio Apache Tomcat sui server Router\Logger e PG.
Sezione 2. Scambio di certificati tra le applicazioni della piattaforma VOS e il server AW
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1. Esporta certificati server applicazioni piattaforma VOS.
Passaggio 2. Importazione dei certificati delle applicazioni della piattaforma VOS in un server AW.
Questo processo è applicabile a tutte le applicazioni VOS, quali:
- Finesse
- CUIC\LD\IDS
- Cloud Connect
Passaggio 1. Esporta certificati server applicazioni piattaforma VOS.
i. Passare alla pagina di amministrazione del sistema operativo Cisco Unified Communications: https://{FQDN}:8443/cmplatform.
ii. IndividuareSecurity > Certificate Management
i certificati server primari dell'applicazione nella cartella tomcat-trust.
iii. Scegliere il certificato e fare clic suDownload .PEM File
per salvarlo in una cartella temporanea sul server AW.
Nota: eseguire la stessa procedura per il sottoscrittore.
Passaggio 2. Importazione dell'applicazione della piattaforma VOS nel server AW.
Percorso per eseguire lo strumento Chiave: {JAVA_HOME}\bin
Comando per importare i certificati autofirmati:
keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_vos} -file c:\temp\certs\vosapplicationX.pem
Riavviare il servizio Apache Tomcat sui server AW.
Nota: eseguire la stessa operazione su altri server AW.
Server CVP OAMP e server dei componenti CVP
Si tratta dei componenti da cui vengono esportati i certificati autofirmati e dei componenti in cui devono essere importati i certificati autofirmati.
i. Server CVP OAMP: questo server richiede un certificato da:
- Piattaforma Windows: certificato di Web Services Manager (WSM) dal server CVP e dai server di report.
- Piattaforma VOS: Cisco VB per l'integrazione CVA (Customer Virtual Agent), server Cloud Connect per l'integrazione WXM (Webex Experience Management).
ii. Server CVP: questo server richiede un certificato da:
- Piattaforma Windows: certificato WSM dal server OAMP.
- Piattaforma VOS: server Cloud Connect per integrazione WXM e server Cisco VB.
iii. Server di reporting CVP: questo server richiede un certificato da:
- Piattaforma Windows: certificato WSM dal server OAMP.
iv. Server VB Cisco: questo server richiede un certificato da:
- Piattaforma Windows: certificato VXML dal server CVP e certificato del server di chiamata dal server CVP.
In queste tre sezioni vengono illustrati i passaggi necessari per scambiare in modo efficace i certificati autofirmati nell'ambiente CVP.
Sezione 1. Scambio di certificati tra il server CVP OAMP e il server CVP e i server di reporting.
Sezione 2. Scambio di certificati tra il server CVP OAMP e le applicazioni della piattaforma VOS.
Sezione 3. Scambio di certificati tra server CVP e server VB.
Sezione 1. Scambio di certificati tra il server CVP OAMP e il server CVP e i server di reporting
Per completare correttamente lo scambio, è necessario eseguire i seguenti passaggi:
Passaggio 1. Esportare il certificato WSM dal server CVP, dal server di report e dal server OAMP.
Passaggio 2. Importare i certificati WSM dal server CVP e dal server di report nel server OAMP.
Passaggio 3. Importare il certificato WSM del server CVP OAMP nel server CVP e nel server di report.
Attenzione: prima di iniziare, è necessario effettuare quanto segue:
1. Aprire una finestra di comando come amministratore.
2. Per identificare la password del keystore, eseguire il comandomore %CVP_HOME%\conf\security.properties
.
3. Questa password è necessaria per eseguire i comandi keytool.
4. Dalla%CVP_HOME%\conf\security\
directory, eseguire il comando, copy .keystore backup.keystore
.
Passaggio 1. Esportare il certificato WSM dal server CVP, dal server di report e dal server OAMP.
i. Esportare il certificato WSM da ogni server in una posizione temporanea e rinominare il certificato con il nome desiderato. È possibile rinominarlo comewsmX.crt
. Sostituire X con il nome host del server. Ad esempio,wsmcsa.crt
,wsmcsb.crt
,wsmrepa.crt
,wsmrepb.crt
,wsmoamp.crt
.
Comando per esportare i certificati autofirmati:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
ii. Copiare il certificato dal percorsoC:\Cisco\CVP\conf\security\wsm.crt
di ogni server e rinominarlo comewsmX.crt
in base al tipo di server.
Passaggio 2. Importare i certificati WSM dai server CVP e dai server di report nel server OAMP.
i. Copiare il certificato WSM da ogni server CVP e server di report (wsmX.crt
) nella%CVP_HOME%\conf\security
directory del server OAMP.
ii. Importare questi certificati con il comando:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmcsX.crt
iii. Riavviare il server.
Passaggio 3. Importare il certificato WSM dal server OAMP CVP ai server CVP e ai server di reporting.
i. Copiare il certificato WSM del server OAMP (wsmoampX.crt
) nella%CVP_HOME%\conf\security
directory di tutti i server CVP e dei server di reporting.
ii. Importare i certificati con il comando:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmoampX.crt
iii. Riavviare i server.
Sezione 2. Scambio di certificati tra il server CVP OAMP e le applicazioni della piattaforma VOS
Per completare correttamente lo scambio, è necessario eseguire i seguenti passaggi:
Passaggio 1. Esportare il certificato dell'applicazione dalla piattaforma VOS.
Passaggio 2. Importare il certificato applicazione VOS nel server OAMP.
Questo processo è applicabile ad applicazioni VOS quali:
Passaggio 1. Esportare il certificato dell'applicazione dalla piattaforma VOS.
i. Passare alla pagina di amministrazione del sistema operativo Cisco Unified Communications: https://{FQDN}:8443/cmplatform.
ii. IndividuareSecurity > Certificate Management
i certificati server primari dell'applicazione nella cartella tomcat-trust.
iii. Scegliere il certificato e fare clic suDownload .PEM File
per salvarlo in una cartella temporanea sul server OAMP.
Passaggio 2. Importare il certificato applicazione VOS nel server OAMP.
i. Copiare il certificato VOS nella%CVP_HOME%\conf\security
directory del server OAMP.
ii. Importare i certificati con il comando:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_vos} -file %CVP_HOME%\conf\security\VOS.pem
iii. Riavviare il server.
Sezione 3. Scambio di certificati tra server CVP e server VB
Questa procedura è facoltativa per proteggere la comunicazione SIP tra CVP e altri componenti del Contact Center. Ulteriori informazioni, fare riferimento alla Guida alla configurazione di CVP: Guida alla configurazione di CVP - Sicurezza.
Integrazione servizio Web CVP Call Studio
Per informazioni dettagliate su come stabilire una comunicazione protetta per gli elementi Web Services Element e Rest_Client, fare riferimento alla Guida per l'utente di Cisco Unified CVP VXML Server e Cisco Unified Call Studio release 12.5(1) - Web Service Integration [Cisco Unified Customer Voice Portal] - Cisco.
Informazioni correlate