Einleitung
In diesem Dokument wird beschrieben, wie Sie ein von der Certificate Authority (CA) signiertes Zertifikat auf dem OAMP-Server (Operations Administration and Management Portal) des Cisco Voice Portal (CVP) konfigurieren und überprüfen.
Voraussetzungen
Der auf Microsoft Windows basierende Zertifizierungsstellen-Server ist bereits vorkonfiguriert.
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse der PKI-Infrastruktur verfügen.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
CVP Version 11.0
Windows 2012 R2 Server
Windows 2012 R2-Zertifizierungsstelle
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Konfigurieren
Befehlsreferenzliste
more c:\Cisco\CVP\conf\security.properties
cd c:\Cisco\CVP\conf\security
%kt% -list
%kt% -list | findstr Priv
%kt% -list -v -alias oamp_certificate
%kt% -genkeypair -alias oamp_certificate -v -keysize 2048 -keyalg RSA
%kt% -import -v -trustcacerts -alias oamp_certificate -file oamp.p7b
Sicherung durchführen
Navigieren Sie zum Ordner c:\Cisco\CVP\conf\security, und archivieren Sie alle Dateien. Wenn der OAMP-Webzugriff nicht funktioniert, ersetzen Sie neu erstellte Dateien durch die Dateien aus der Sicherung.
CSR erstellen
Überprüfen Sie Ihr Sicherheitskennwort.
more c:\Cisco\CVP\conf\security.properties
Security.keystorePW = fc]@2zfe*Ufe2J,.0uM$fF
Navigieren Sie zum Ordner c:\Cisco\CVP\conf\security.
cd c:\Cisco\CVP\conf\security
Anmerkung: In diesem Artikel wird die Windows-Umgebungsvariable verwendet, um Keytool-Befehle viel kürzer und besser lesbar zu machen. Bevor Sie einen Keytool-Befehl hinzufügen, stellen Sie sicher, dass die Variable initialisiert ist.
1. Erstellen Sie eine temporäre Variable.
set kt=c:\Cisco\CVP\jre\bin\keytool.exe -storepass fc]@2zfe*Ufe2J,.0uM$fF -storetype JCEKS -keystore .keystore
Geben Sie den Befehl ein, um sicherzustellen, dass die Variable initialisiert ist. Geben Sie das richtige Kennwort ein.
echo %kt%
c:\Cisco\CVP\jre\bin\keytool.exe -storepass fc]@2zfe*Ufe2J,.0uM$fF -storetype JCEKS -keystore .keystore
Zertifikate auflisten
Listen Sie die aktuell installierten Zertifikate im Schlüsselspeicher auf.
%kt% -list
Tipp: Wenn Sie die Liste verfeinern möchten, können Sie den Befehl so ändern, dass nur selbstsignierte Zertifikate angezeigt werden.
%kt% -list | findstr Priv
vxml_certificate, May 27, 2016, PrivateKeyEntry,
oamp_certificate, May 27, 2016, PrivateKeyEntry,
wsm_certificate, May 27, 2016, PrivateKeyEntry,
callserver_certificate, May 27, 2016, PrivateKeyEntry,
Selbstsignierte OAMP-Zertifizierungsinformationen überprüfen
%kt% -printcert -file oamp.crt
Owner: CN=CVP11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
Issuer: CN=CVP11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
Serial number: 3f44f086
Valid from: Fri May 27 08:13:38 CEST 2016 until: Mon May 25 08:13:38 CEST 2026
Certificate fingerprints:
MD5: 58:F5:D3:18:46:FE:9A:8C:14:EA:73:0F:5F:12:E7:43
SHA1: 51:7F:E7:FF:25:B6:B8:02:CD:18:84:E7:50:9E:F2:ED:B1:9E:78:40
Signature algorithm name: SHA1withRSA
Version: 3
Entfernen des vorhandenen OAMP-Zertifikats
Um ein neues Schlüsselpaar zu generieren, entfernen Sie das bereits vorhandene Zertifikat.
%kt% -delete -alias oamp_certificate
Schlüsselpaar generieren
Führen Sie diesen Befehl aus, um ein neues Schlüsselpaar für den Alias mit der ausgewählten Schlüsselgröße zu generieren.
%kt% -genkeypair -alias oamp_certificate -v -keysize 2048 -keyalg RSA
What is your first and last name?
[Unknown]: cvp11.allevich.local
What is the name of your organizational unit?
[Unknown]: TAC
What is the name of your organization?
[Unknown]: Cisco
What is the name of your City or Locality?
[Unknown]: Krakow
What is the name of your State or Province?
[Unknown]: Malopolskie
What is the two-letter country code for this unit?
[Unknown]: PL
Is CN=cvp11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL correct?
[no]: yes
Generating 2,048 bit RSA key pair and self-signed certificate (SHA256withRSA)
with a validity of 90 days for: CN=cvp11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
(RETURN if same as keystore password):
[Storing .keystore]
Überprüfen Sie, ob das Schlüsselpaar generiert wurde.
c:\Cisco\CVP\conf\security>dir | findstr oamp.key
05/27/2016 08:13 AM 1,724 oamp.key
Geben Sie den Vor- und Nachnamen des OAMP-Servers ein. Der Name muss in eine IP-Adresse auflösbar sein. Dieser Name wird im CN-Feld des Zertifikats angezeigt.
Neuen CSR erstellen
Führen Sie diesen Befehl aus, um die Zertifikatanforderung für den Alias zu generieren und in einer Datei (z. B. oamp.csr) zu speichern.
%kt% -certreq -alias oamp_certificate -file oamp.csr
Überprüfen Sie, ob der CSR erfolgreich generiert wurde.
dir oamp.csr
08/25/2016 08:13 AM 1,136 oamp.csr
Zertifikat für die Zertifizierungsstelle ausstellen
Um das Zertifikat zu erhalten, benötigen Sie eine bereits konfigurierte Zertifizierungsstelle.
Geben Sie die angegebene URL in einen Browser ein
http://<CA-IP-Adresse>/certsrv
Wählen Sie dann Zertifikat anfordern und Erweiterte Zertifikatanforderung aus.
more oamp.csr
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
Kopieren Sie den gesamten Inhalt des CSR, und fügen Sie ihn in das entsprechende Menü ein. Wählen Sie Webserver als Zertifikatvorlage und Base 64-codiert aus. Klicken Sie dann auf Zertifikatskette herunterladen.
Sie können ein von einer Zertifizierungsstelle und einem Webserver generiertes Zertifikat einzeln exportieren oder eine vollständige Kette herunterladen. In diesem Beispiel wird die Option "full chain" verwendet.
Von der Zertifizierungsstelle generiertes Zertifikat importieren
Installieren Sie das Zertifikat aus der Datei.
%kt% -import -v -trustcacerts -alias oamp_certificate -file oamp.p7b
Starten Sie den World Wide Web Publishing Service und die Cisco CVP OPSConsoleServer-Dienste neu, um das Zertifikat anzuwenden.
Überprüfung
Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Die einfachste Methode zur Verifizierung ist die Anmeldung beim CVP OAMP-Webserver. Sie sollten keine Warnmeldung für ein nicht vertrauenswürdiges Zertifikat erhalten.
Eine andere Möglichkeit besteht darin, das mit diesem Befehl verwendete OAMP-Zertifikat zu überprüfen.
%kt% -list -v -alias oamp_certificate
Alias name: oamp_certificate
Creation date: Oct 20, 2016
Entry type: PrivateKeyEntry
Certificate chain length: 2
Certificate[1]:
Owner: CN=cvp11.allevich.local, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
Issuer: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac
Serial number: 130c0db6000000000017
Valid from: Thu Oct 20 12:48:08 CEST 2016 until: Sat Oct 20 12:48:08 CEST 2018
Certificate fingerprints:
MD5: BA:E8:FA:05:45:07:D0:3C:C8:81:1C:34:3D:21:AF:AC
SHA1: 30:04:F2:EE:37:22:9D:8D:27:8F:54:D2:BA:D4:0F:33:74:34:87:D8
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
#1: ObjectId: 1.3.6.1.4.1.311.20.2 Criticality=false
0000: 1E 12 00 57 00 65 00 62 00 53 00 65 00 72 00 76 ...W.e.b.S.e.r.v
0010: 00 65 00 72 .e.r
#2: ObjectId: 1.3.6.1.5.5.7.1.1 Criticality=false
AuthorityInfoAccess [
[
accessMethod: caIssuers
accessLocation: URIName: ldap:///CN=pod1-POD1AD-CA,CN=AIA,
]
]
#3: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 9B 33 47 9E 76 DB F3 92 B2 F8 F9 86 3A 59 BA DE .3G.v.......:Y..
0010: C5 0B E5 E4 ....
]
]
#4: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
[DistributionPoint:
[URIName: ldap:///CN=pod1-POD1AD-CA,CN=POD1AD,CN=CDP]
]]
#5: ObjectId: 2.5.29.37 Criticality=false
ExtendedKeyUsages [
serverAuth
]
#6: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
DigitalSignature
Key_Encipherment
]
#7: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: CD FC 95 D1 60 44 9A 34 A9 EE 0E 3F C7 F5 5D 3C ....`D.4...?..]<
0010: 46 DF 47 D9 F.G.
]
]
Certificate[2]:
Owner: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac
Issuer: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac
Serial number: 305dba13e0def8b474fefeb92f54acd
Valid from: Thu Sep 08 18:06:37 CEST 2016 until: Wed Sep 08 18:16:36 CEST 2021
Certificate fingerprints:
MD5: 50:04:5F:89:CA:7C:D6:71:82:10:C3:04:57:78:AB:AE
SHA1: A6:3B:07:29:AF:3A:07:73:9D:9B:4F:88:B5:A8:17:AC:0A:6D:C3:0D
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
#1: ObjectId: 1.3.6.1.4.1.311.21.1 Criticality=false
0000: 02 01 00 ...
#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]
#3: ObjectId: 2.5.29.15 Criticality=false
KeyUsage [
DigitalSignature
Key_CertSign
Crl_Sign
]
#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 9B 33 47 9E 76 DB F3 92 B2 F8 F9 86 3A 59 BA DE .3G.v.......:Y..
0010: C5 0B E5 E4 ....
]
]
Fehlerbehebung
In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.
Weitere Informationen zur Überprüfung der Befehlssyntax finden Sie im Konfigurations- und Administrationshandbuch für CVP.
http://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/customer_voice_portal/cvp8_5/configuration/guide/ConfigAdminGuide_8-5.pdf
Zugehörige Informationen
Konfigurieren eines von einer Zertifizierungsstelle signierten Zertifikats über die CLI im Cisco Voice Operating System (VOS)
Verfahren zum Abrufen und Hochladen von selbstsignierten Windows-Servern oder der Zertifizierungsstelle (Certificate Authority, CA) ...
Technischer Support und Dokumentation für Cisco Systeme