تأمين اتصال JMX بين CVP OAMP ومكونات CVP باستخدام المصادقة المتبادلة

المقدمة

يوضح هذا المستند كيفية تأمين اتصال امتدادات إدارة Java (JMX) بين عملية بوابة الصوت ل Customer Voice (CVP) ووحدة تحكم الإدارة (OAMP) وخادم CVP وخادم تقارير CVP في حل Cisco Unified Contact Center Enterprise (UCCE) من خلال الشهادات الموقعة من هيئة الترخيص (CA).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• UCCE الإصدار 12.5(1)
• Customer Voice Portal (CVP)، الإصدار 12.5(1)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

• UCCE 12.5(1)
• CVP، الإصدار 12.5(1)

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يتصل OAMP ب CVP Call Server و CVP VXML Server و CVP Reporting Server من خلال بروتوكول JMX. يمنع الاتصال الآمن بين OAMP ومكونات CVP هذه نقاط ضعف أمان JMX. هذا الاتصال الآمن إختياري، وهو غير مطلوب للعملية المنتظمة بين OAMP ومكونات CVP.

يمكنك تأمين اتصال JMX عن طريق:

• إنشاء طلب توقيع الشهادة (CSR) لمدير خدمة الويب (WSM) في خادم CVP وخادم تقارير CVP.
• قم بإنشاء شهادة عميل CSR ل WSM في خادم CVP وخادم تقارير CVP.
• قم بإنشاء شهادة عميل CSR ل OAMP (ليتم ذلك على OAMP).
• توقيع الشهادات من قبل هيئة ترخيص.
• قم باستيراد الشهادات الموقعة من CA والشهادات الجذر والوسيط في خادم CVP وخادم تقارير CVP و OAMP.
• [إختياري] تسجيل دخول JConsole الآمن إلى OAMP.
• واجهة سطر الأوامر (CLI) الآمنة للنظام.

إنشاء شهادات CSR ل WSM

الخطوة 1. سجل الدخول إلى خادم CVP أو خادم التقارير. استرد كلمة مرور مخزن المفاتيح من الملف security.properties.

ملاحظة: في موجه الأمر، أدخل المزيد من ٪CVP_HOME٪\conf\security.properties. Security.keystorePW = <إرجاع كلمة مرور مخزن المفاتيح> أدخل كلمة مرور مخزن المفاتيح عند طلبها. 

الخطوة 2. انتقل إلى ٪CVP_HOME٪\conf\security واحذف شهادة WSM. أستخدم هذا الأمر.

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -keystore ٪CVP_HOME٪\conf\security\.keystore -delete -alias wsm_certificate.

أدخل كلمة مرور مخزن المفاتيح عند طلبها.

الخطوة 3. كرر الخطوة 2 لشهادات خادم الاتصال (callServer_certificate) وخادم VXML (vxml_certificate) على خادم CVP وشهادة خادم الاتصال (callServer_certificate) على خادم التقارير.

الخطوة 4. إنشاء شهادة موقعة من CA لخدمة WSM. استعملت هذا أمر:

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -keystore ٪CVP_HOME٪\conf\security\.keystore -genkeypair -alias wsm_certificate -v -keysize 2048 -keyalg RSA.

1. أدخل التفاصيل في المطالبات واكتب نعم للتأكيد.
2. أدخل كلمة مرور مخزن المفاتيح عند طلبها.

ملاحظة: لاحظ اسم CN للرجوع إليه في المستقبل.

الخطوة 5. إنشاء طلب الشهادة للاسم المستعار. قم بتشغيل هذا الأمر وحفظه في ملف. على سبيل المثال، wsm.csr.

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -keystore ٪CVP_HOME٪\conf\security\.keystore -certreq -alias wsm_certificate -file ٪CVP_HOME٪\conf\security\wsm.csr.

1. أدخل كلمة مرور مخزن المفاتيح عند طلبها.

الخطوة 6. الحصول على الشهادة الموقعة من قبل مرجع مصدق. أستخدم الإجراء لإنشاء شهادة موقعة من المرجع المصدق مع المرجع المصدق وضمان إستخدام قالب مصادقة شهادة خادم العميل عندما يقوم المرجع المصدق بإنشاء الشهادة الموقعة.

الخطوة 7. تنزيل الشهادة الموقعة والشهادة الجذر والشهادة الوسيطة لهيئة المرجع المصدق.

الخطوة 8. انسخ شهادة WSM الموقعة من قبل CA إلى ٪CVP_HOME٪\conf\security\.

الخطوة 9. إستيراد الشهادة الجذر بهذا الأمر.

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -keystore ٪CVP_HOME٪\conf\security\.keystore -import -v -trustAcerts -alias root -file ٪CVP_HOME٪\conf\security\<filename_of_root_cer>.

1. أدخل كلمة مرور مخزن المفاتيح عند طلبها.
2. اكتب نعم عند الثقة بمطالبة الشهادة هذه.

الخطوة 10. إستيراد الشهادة الوسيطة باستخدام هذا الأمر.

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -keystore ٪CVP_HOME٪\conf\security\.keystore -import -v -trustAcerts -alias-intermediate -file ٪CVP_HOME٪\conf\security\<filename_of_intermediate_cer>.

1. أدخل كلمة مرور مخزن المفاتيح عند طلبها.
2. اكتب نعم عند الثقة بمطالبة الشهادة هذه.

الخطوة 11. إستيراد شهادة WSM الموقعة من قبل CA باستخدام هذا الأمر.

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -keystore ٪CVP_HOME٪\conf\security\.keystore -import -v -trustAcerts -alias wsm_certificate -file ٪CVP_HOME٪\conf\security\<filename_of_your_signed_cert_from_CA>.

1. أدخل كلمة مرور مخزن المفاتيح عند طلبها.

الخطوة 12. كرر الخطوة 4 إلى 11 (لا يلزم إستيراد الشهادات الجذرية والوسيطة مرتين)، لشهادات خادم الاتصال وخادم VXML على خادم CVP وشهادة خادم الاتصال على خادم التقارير.

الخطوة 13 قم بتكوين WSM في خادم CVP وخادم تقارير CVP.

1. انتقل إلى C:\cisco\cvp\conf\jmx_wsm.conf.

قم بإضافة الملف كما هو موضح أو تحديثه واحفظه:

javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 3000
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword=< keystore_password >
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore 
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS

2. قم بتشغيل الأمر regedit.

Append this to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\WebServicesManager\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
    
    
      Djavax.net.ssl.trustStoreType=JCEKS 
    

الخطوة 14. قم بتكوين JMX الخاص ب CVP CallServer في خادم CVP وخادم التقارير.

1. انتقل إلى C:\cisco\cvp\conf\jmx_callserver.conf.

قم بتحديث الملف كما هو موضح واحفظه:

com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2098
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 2097
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword = 
    
    
      javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore javax.net.ssl.trustStorePassword=< keystore_password > javax.net.ssl.trustStoreType=JCEKS 
    

الخطوة 15. قم بتكوين JMX لخادم VXML في خادم CVP.

1. انتقل إلى C:\cisco\cvp\conf\jmx_vxml.conf.

قم بتحرير الملف كما هو موضح واحفظه:

com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 9696
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 9697
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword = 
    
     
    

2. قم بتشغيل الأمر regedit.

• Append theese to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\VXMLServer\Parameters\Java:
  
  
  
  Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
  Djavax.net.ssl.trustStorePassword=
        
        
          Djavax.net.ssl.trustStoreType=JCEKS 
        

3. قم بإعادة تشغيل خدمة WSM، وخدمات Call Server و VXML Server على خادم CVP وخدمة WSM وخدمة Call Server على Reporting Server.

ملاحظة: عند تمكين الاتصال الآمن مع JMX، فإنه يفرض أن يكون مخزن المفاتيح ٪CVP_HOME٪\conf\security\.keystore، بدلا من ٪CVP_HOME٪\jre\lib\security\cacerts.
لذلك، يجب إستيراد الشهادات من ٪CVP_HOME٪\jre\lib\security\cacerts إلى ٪CVP_HOME٪\conf\security\.keystore.

إنشاء شهادة عميل موقعة من CA ل WSM

الخطوة 1. سجل الدخول إلى خادم CVP أو خادم التقارير. استرد كلمة مرور مخزن المفاتيح من الملف security.properties.

ملاحظة: في موجه الأمر، أدخل المزيد من ٪CVP_HOME٪\conf\security.properties. Security.keystorePW = <إرجاع كلمة مرور مخزن المفاتيح> أدخل كلمة مرور مخزن المفاتيح عند طلبها. 

الخطوة 2. انتقل إلى ٪CVP_HOME٪\conf\security وقم بإنشاء شهادة موقعة من CA لمصادقة العميل باستخدام CallServer باستخدام هذا الأمر.

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -KeyStore ٪CVP_HOME٪\conf\security\.keystore -genkeypair -alias <CN of CVP Server أو Reporting Server WSM Certificate> -v -keysize 2048 -keyalg RSA

1. أدخل التفاصيل في المطالبات واكتب نعم للتأكيد.
2. أدخل كلمة مرور مخزن المفاتيح عند طلبها.

ملاحظة: الاسم المستعار هو نفسه الاسم المستعار المستخدم لإنشاء شهادة خادم WSM.

الخطوة 3. قم بإنشاء طلب الشهادة للاسم المستعار باستخدام هذا الأمر وحفظه في ملف (على سبيل المثال، jmx_client.csr).

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -keystore ٪CVP_HOME٪\conf\security\.keystore -certreq -alias <CN الخاص ب CVP Server أو Reporting Server WSM Certificate> -الملف ٪CVP_HOME٪\conf\security\jmx_client.csr

1. أدخل كلمة مرور مخزن المفاتيح عند طلبها.
2. تأكد من إنشاء CSR بنجاح باستخدام الأمر الخاص به: dir jmx_client.csr.

الخطوة 4. توقيع شهادة عميل JMX على مرجع مصدق.

ملاحظة: أستخدم الإجراء لإنشاء شهادة موقعة من المرجع المصدق مع المرجع المصدق. قم بتنزيل شهادة عميل JMX الموقعة من CA (لا يلزم وجود الشهادات الجذر والشهادات الوسيطة نظرا لأنها تم تنزيلها واستيرادها مسبقا).

1. أدخل كلمة مرور مخزن المفاتيح عند طلبها.
2. عند الثقة، اكتب "نعم".

الخطوة 5. انسخ شهادة عميل JMX الموقعة من CA إلى ٪CVP_HOME٪\conf\security\.

الخطوة 6. إستيراد شهادة عميل JMX الموقعة من CA باستخدام هذا الأمر.

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -KeyStore ٪CVP_HOME٪\conf\security\.keystore -import -v -trustAcerts -alias <CN of CVP Server أو Reporting Server WSM Certificate> -file ٪CVP_HOME٪\conf\security\<اسم ملف شهادة عميل JMX الموقعة من CA>

1. أدخل كلمة مرور مخزن المفاتيح عند طلبها.

الخطوة 7. قم بإعادة تشغيل Cisco CVP Call Server، و VXML Server، وخدمات WSM.

الخطوة 8. كرر الإجراء نفسه لخادم التقارير، في حالة تنفيذه.

إنشاء شهادة عميل موقعة من CA ل OAMP (سيتم تنفيذها على OAMP)

الخطوة 1. قم بتسجيل الدخول إلى خادم OAMP. استرد كلمة مرور مخزن المفاتيح من الملف security.properties.

ملاحظة: في موجه الأمر، أدخل المزيد ٪CVP_HOME٪\conf\security.properties. Security.keystorePW = <إرجاع كلمة مرور مخزن المفاتيح> أدخل كلمة مرور مخزن المفاتيح عند طلبها. 

الخطوة 2. انتقل إلى ٪CVP_HOME٪\conf\security وقم بإنشاء شهادة موقعة من CA لمصادقة العميل باستخدام CVP Server أو CVP Reporting Server WSM. أستخدم هذا الأمر.

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -keystore ٪CVP_HOME٪\conf\security\.keystore -genkeypair -alias <CN of CVP Server أو CVP ReportingG Server WSM Certificate> -v -keysize 2048 -keyalg RSA.

1. أدخل التفاصيل في المطالبات واكتب نعم للتأكيد.
2. أدخل كلمة مرور مخزن المفاتيح عند طلبها.

الخطوة 3. قم بإنشاء طلب الشهادة للاسم المستعار باستخدام هذا الأمر وحفظه في ملف (على سبيل المثال، jmx.csr).

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -keystore ٪CVP_HOME٪\conf\security\.keystore -certreq -alias <CN of CVP Server أو CVP ReportingG Server WSM Certificate> -file ٪CVP_HOME٪\conf\security\jmx.csr.

1. أدخل كلمة مرور مخزن المفاتيح عند طلبها.

الخطوة 4. توقيع الشهادة على مرجع مصدق.

ملاحظة: أستخدم الإجراء لإنشاء شهادة موقعة من المرجع المصدق باستخدام المرجع المصدق. تنزيل الشهادة والشهادة الجذر لهيئة المرجع المصدق.

الخطوة 5. انسخ الشهادة الجذر وشهادة عميل JMX الموقعة من CA إلى ٪CVP_HOME٪\conf\security\.

الخطوة 6. إستيراد الشهادة الجذر للمرجع المصدق. أستخدم هذا الأمر.

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -keystore ٪CVP_HOME٪\conf\security\.keystore -import -v -trustAcerts -alias root -file ٪CVP_HOME٪\conf\security\<filename_of_root_cert>.

1. أدخل كلمة مرور مخزن المفاتيح عند طلبها.
2. عند الثقة، اكتب "نعم".

الخطوة 7. قم باستيراد شهادة عميل JMX الموقعة من CA الخاصة بخادم CVP وخادم تقارير CVP. أستخدم هذا الأمر.

٪CVP_HOME٪\jre\bin\keytool.exe -StoreType JCEKS -KeyStore ٪CVP_HOME٪\conf\security\.keystore -import -v -trustAcerts -alias <CN of CVP Server أو CVP ReportingG Server WSM Certificate> -file ٪CVP_HOME٪\conf\security\<filename_of_your_signed_cert_from_CA>.

1. أدخل كلمة مرور مخزن المفاتيح عند طلبها.

الخطوة 8. قم بإعادة تشغيل خدمة OAMP.

الخطوة 9. سجل الدخول إلى OAMP. لتمكين الاتصال الآمن بين OAMP وخادم الاتصال، VXML Server أو Reporting Server.  انتقل إلى إدارة الأجهزة > الاتصال بالخادم. حدد خانة الاختيار تمكين الاتصال الآمن باستخدام وحدة تحكم OPS. قم بحفظ كل من Call Server و VXML Server ونشرهما.

الخطوة 10. قم بتشغيل الأمر regedit.

انتقل إلى HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\OPSConsoleServer\Parameters\Java.

إلحاق هذا بالملف وحفظه.

Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
    
    
      Djavax.net.ssl.trustStoreType=JCEKS 
    

ملاحظة: بعد تأمين المنافذ ل JMX، يمكن الوصول إلى JConsingle فقط بعد تنفيذ الخطوات المحددة ل JConsingle المدرجة في مستندات Oracle.

الخطوة 11. قم بإعادة تشغيل خدمة OAMP.

معلومات ذات صلة

• دليل التكوين الآمن ل CVP
• الدعم التقني والمستندات - Cisco Systems