Inleiding
Dit document is bedoeld om in detail de stappen te verklaren die moeten worden uitgevoerd om een certificaat van de certificeringsinstantie (CA) te verkrijgen en te installeren dat is gegenereerd door een externe leverancier om een HTTPS-verbinding tot stand te brengen tussen Finesse, Cisco Unified Intelligence Center (CUIC) en Live Data (LD) servers.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Unified Contact Center Enterprise (UCS)
- Cisco Live Data (LD)
- Cisco Unified Intelligence Center (CUIC)
- Cisco Finesse
- CA-gecertificeerd
Gebruikte componenten
De in het document gebruikte informatie is gebaseerd op versie UCCE 11.0(1).
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, zorg er dan voor dat u de mogelijke impact van elke stap begrijpt.
Achtergrondinformatie
Om HTTPS te kunnen gebruiken voor beveiligde communicatie tussen Finesse, CUIC en Live Data servers, moeten beveiligingscertificaten worden ingesteld. Standaard bieden deze servers zelfondertekende certificaten die worden gebruikt of klanten kunnen door de certificeringsinstantie (CA) ondertekende certificaten aanschaffen en installeren. Deze CA certs kunnen worden verkregen van een externe leverancier zoals VeriSign, Thawte, GeoTrust of kunnen intern worden geproduceerd.
Configureren
Het instellen van een certificaat voor HTTPS-communicatie in Finesse, CUIC en Live Data servers vereist de volgende stappen:
- Genereren en downloaden van certificaatondertekeningsaanvraag (CSR).
- Root, tussenpersoon (indien van toepassing) en aanvraagcertificaat verkrijgen van de certificeringsinstantie die gebruik maakt van CSR.
- Upload certificaten naar de servers.
Stap 1. Genereren en downloaden van certificaatondertekeningsaanvraag (CSR).
- De hier beschreven stappen voor het genereren en downloaden van CSR zijn hetzelfde voor Finesse, CUIC en Live dataservers.
- Open de pagina Besturingssysteem voor Cisco Unified Communications met de vermelde URL en log in met de OS-beheerdersaccount die tijdens het installatieproces is gemaakt
https://FQDN:8443/cmplatform
- Genereer de aanvraag voor certificaatondertekening (CSR) zoals in de afbeelding:
Stap 1. Navigeren naar Beveiliging > Certificaatbeheer > MVO genereren.
Stap 2. Selecteer tomcat in de vervolgkeuzelijst Certificaatdoelnaam.
Stap 3. Selecteer Hashalgoritme en sleutellengte afhankelijk van de bedrijfsbehoeften.
- Sleutellengte: 2048 \ Hashalgoritme: SHA256 wordt aanbevolen
Stap 4. Klik op Generate CSR.
Opmerking: Als het voor bedrijven nodig is dat het veld voor het hoofddomein van Onderwerp Alternatieve Namen (SAN’s) wordt ingevuld met de domeinnaam, let dan op de probleemadressen in het document "SANs issue with a Third Party Signed Certificate in Finesse".
- Download de aanvraag voor het ondertekenen van het certificaat (CSR) zoals weergegeven in de afbeelding:
Stap 1. Navigeren naar Beveiliging > Certificaatbeheer > CSR downloaden.
Stap 2. Selecteer tomcat in de vervolgkeuzelijst Certificaatnaam.
Stap 3. Klik op CSR downloaden.
Opmerking:
Opmerking: Voer de bovenstaande stappen uit op de secundaire server met behulp van de url https://FQDN:8443/cmplatform om CSR’s te verkrijgen voor certificaatautoriteit
Stap 2. Verkrijg Wortel, Tussenpersoon (indien van toepassing Stap 5. en Toepassingscertificaat van de Certificaatautoriteit.
- Verstrek de primaire en secundaire servers Certificaat Ondertekeningsaanvraag (CSR) informatie aan derde partij Certificaat autoriteit zoals VeriSign, Thawte, GeoTrust enz.
- Van de certificeringsinstantie moet men de volgende certificeringsketen ontvangen voor de primaire en secundaire servers.
- Finesse-servers: Root, Intermediate (optioneel) en Application Certificate
- CUIC-servers: Root, Intermediate (optioneel) en Application Certificate
- Live data servers: Root, Intermediate (optioneel) en Application Certificate
Stap 3. Upload certificaten naar de servers.
In dit gedeelte wordt beschreven hoe u de certificaatketen correct kunt uploaden op Finesse-, CUIC- en Live-gegevensservers.
Finesse-servers
- Upload het basiscertificaat op de primaire finesse-server met behulp van deze stappen:
Stap 1. Ga op de pagina Besturingssysteem voor primaire server naar Cisco Unified Communications Beveiliging > Certificaatbeheer > Uploadcertificaat.
Stap 2. Selecteer tomcat-trust in de vervolgkeuzelijst certificaatnaam.
Stap 3. Klik in het veld Upload File op bladeren en blader naar het basiscertificaatbestand.
Stap 4. Klik op Uploadbestand.
- Upload het tussenliggende certificaat op de primaire Fineese server met behulp van deze stappen:
Stap 1. De stappen bij het uploaden van het tussenliggende certificaat zijn hetzelfde als het basiscertificaat zoals weergegeven in stap 1.
Stap 2. Op de primaire server van Cisco Unified Communications Operating System Administration pagina, navigeer naar Security > Certificate Management > Upload Certificate.
Stap 3. Selecteer tomcat-trust in de vervolgkeuzelijst certificaatnaam.
Stap 4. Klik in het veld Uploadbestand op Bladeren en blader naar het tussenliggende certificaatbestand.
Stap 5. Klik op Upload.
Opmerking: omdat Tomcat-trust store wordt gerepliceerd tussen de primaire en secundaire servers is het niet nodig om de root of tussenliggend certificaat te uploaden naar de secundaire finesse server.
- Upload het toepassingscertificaat van de Primaire Finesse-server zoals in de afbeelding wordt getoond:
Stap 1. Selecteer tomcat in de vervolgkeuzelijst Certificaatnaam.
Stap 2. Klik in het veld Upload File op Bladeren en blader naar het toepassingscertificaatbestand.
Stap 3. Klik op Upload om het bestand te uploaden.
- Upload het aanvraagcertificaat voor de secundaire fineese server.
In deze stap fVolg hetzelfde proces als in Stap 3 op de secundaire server voor het eigen toepassingscertificaat.
- U kunt de servers nu opnieuw opstarten.
Open de CLI op de primaire en secundaire Finesse-servers en voer het opnieuw opstarten van het commando hulpprogramma in om de servers opnieuw te starten.
CUIC-servers (ervan uitgaande dat er geen tussentijdse certificaten aanwezig zijn in de certificaatketen)
- Upload Root-certificaat op primaire CUIC-server.
Stap 1. Op de primaire server van Cisco Unified Communications Operating System Administration pagina, navigeer naar Security > Certificate Management > Upload Certificate/Certificate chain.
Stap 2. Selecteer tomcat-trust in de vervolgkeuzelijst certificaatnaam.
Stap 3. Klik in het veld Upload File op bladeren en blader naar het basiscertificaatbestand.
Stap 4. Klik op Uploadbestand.
Opmerking: aangezien tomcat-trust store wordt gerepliceerd tussen de primaire en secundaire servers is het niet nodig om het basiscertificaat te uploaden naar de Secundaire CUIC-server.
- Certificaat voor primaire CUC-servertoepassing uploaden.
Stap 1. Selecteer tomcat in de vervolgkeuzelijst Certificaatnaam.
Stap 2. Klik in het veld Upload File op Bladeren en blader naar het toepassingscertificaatbestand.
Stap 3. Klik op Uploadbestand.
- Certificaat van secundaire CUIC-servertoepassing uploaden.
Volg hetzelfde proces als in stap 2 op de secundaire server voor het eigen toepassingscertificaat is aangegeven
- Servers opnieuw starten
Open de CLI op de primaire en secundaire CUIC-servers en voer de opdracht "Herstart van het besturingssysteem" in om de servers opnieuw te starten.
Opmerking: als de CA-autoriteit de certificatieketen met tussencertificaten verstrekt, zijn de stappen die in het gedeelte Finesse Servers worden genoemd ook van toepassing op CUIC-services.
Live-gegevensservers
- Stappen die betrokken zijn bij Live-Data servers om de certificaten te uploaden zijn identiek aan Finesse- of CUIC-servers afhankelijk van de certificaatketen.
- Upload Root-certificaat op primaire Live-Data-server.
Stap 1. Op de primaire server van Cisco Unified Communications Operating System Administration pagina, navigeer naar Security > Certificate Management > Upload Certificate.
Stap 2. Selecteer tomcat-trust in de vervolgkeuzelijst certificaatnaam.
Stap 3. Klik in het veld Upload File op bladeren en blader naar het hoofdcertificaatbestand.
Stap 4. Klik op Upload.
- Upload tussenliggend certificaat op Primaire Live-Data server.
Stap 1. De stappen bij het uploaden van het tussenliggende certificaat zijn hetzelfde als het basiscertificaat zoals weergegeven in stap 1.
Stap 2. Op de primaire server van Cisco Unified Communications Operating System Administration pagina, navigeer naar Security > Certificate Management > Upload Certificate.
Stap 3. Selecteer tomcat-trust in de vervolgkeuzelijst certificaatnaam.
Stap 4. Klik in het veld Upload File op bladeren en blader naar het tussenliggende certificaatbestand.
Stap 5. Klik op Upload.
Opmerking: omdat Tomcat-trust store wordt gerepliceerd tussen de primaire en secundaire servers is het niet nodig om de root of tussenliggend certificaat te uploaden naar de Secundaire Live-Data server.
- Toepassingscertificaat voor primaire Live-Data-server uploaden.
Stap 1. Selecteer tomcat in de vervolgkeuzelijst Certificaatnaam.
Stap 2. Klik in het veld Upload File op Bladeren en blader naar het toepassingscertificaatbestand.
Stap 3. Klik op Upload.
- Toepassingscertificaat voor de secundaire Live-Data-server uploaden.
Volg dezelfde stappen als hierboven vermeld in (4) op de secundaire server voor zijn eigen aanvraagcertificaat.
- Servers opnieuw starten
Open de CLI op de primaire en secundaire Finesse-servers en voer de opdracht "Herstart van het besturingssysteem van hulpprogramma's" in om de servers opnieuw te starten.
Certificaatafhankelijkheden voor Live-gegevensservers
Aangezien de levende gegevensservers met servers CUIC en Finesse in wisselwerking staan, zijn er certificaatgebiedsdelen tussen deze servers zoals die in het beeld worden getoond:
Met betrekking tot de derde CA certificatieketen zijn de Root- en Intermediate-certificaten hetzelfde voor alle servers in de organisatie. Als gevolg hiervan voor Live data server om goed te werken, moet u ervoor zorgen dat de Finesse en CUIC servers de Root en tussenliggende certificaten correct geladen in de Tomcat-Trust containers.
Verifiëren
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.