Comunicación JMX segura entre CVP OAMP y los componentes de CVP con autenticación mutua

Opciones de descarga

  • PDF     (303.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (129.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (105.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:4 de octubre de 2024
ID del documento:216522

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo proteger la comunicación de Java Management Extensions (JMX) entre la consola de operaciones y administración (OAMP) de Customer Voice Portal (CVP) y el servidor de CVP y el servidor de informes de CVP en la solución Cisco Unified Contact Center Enterprise (UCCE) a través de certificados firmados por la autoridad certificadora (CA).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • UCCE versión 12.5(1)
    • Customer Voice Portal (CVP) versión 12.5 (1)

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • UCCE 12.5(1)
    • CVP 12.5(1)

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

    Antecedentes

    OAMP se comunica con CVP Call Server, CVP VXML Server y CVP Reporting Server mediante el protocolo JMX. La comunicación segura entre OAMP y estos componentes de CVP evita las vulnerabilidades de seguridad de JMX. Esta comunicación segura es opcional, no es necesaria para el funcionamiento regular entre OAMP y los componentes CVP.

    Puede proteger la comunicación de JMX:

    • Genere la solicitud de firma de certificado (CSR) para Web Service Manager (WSM) en el servidor CVP y el servidor de informes CVP.
    • Generar certificado de cliente CSR para WSM en servidor CVP y servidor de informes CVP.
    • Generar certificado de cliente CSR para OAMP (que se realizará en OAMP).
    • Firme los certificados por una autoridad certificadora.
    • Importe los certificados firmados por la CA, raíz e intermedio en el servidor de CVP, servidor de informes de CVP y OAMP.
    • [Opcional] Inicio de sesión de Secure JConsole en OAMP.
    • CLI de sistema seguro.

    Generar certificados CSR para WSM

    Paso 1. Inicie sesión en el servidor CVP o en el servidor de informes. Recupere la contraseña del almacén de claves del archivo security.properties.

    Nota: en el símbolo del sistema, introduzca más %CVP_HOME%\conf\security.properties. Security.keystorePW = <Devuelve la contraseña del almacén de claves> Introduzca la contraseña del almacén de claves cuando se le solicite. 

    Paso 2. Vaya a %CVP_HOME%\conf\security y elimine el certificado WSM. Utilice este comando.


    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate.

    Introduzca la contraseña del almacén de claves cuando se le solicite.


    Paso 3. Repita el paso 2 para los certificados del servidor de llamadas (callserver_certificate) y del servidor VXML (vxml_certificate) en el servidor CVP y el certificado del servidor de llamadas (callserver_certificate) en el servidor de informes.

    Paso 4. Genere un certificado firmado por CA para el servicio WSM. Utilice este comando:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -v -keysize 2048 -keylog RSA.

    1. Introduzca los detalles en las indicaciones y escriba Yes para confirmar.
    2. Introduzca la contraseña del almacén de claves cuando se le solicite.

    Nota: Anote el nombre CN para futuras referencias.

    Paso 5. Genere la solicitud de certificado para el alias. Ejecute este comando y guárdelo en un archivo. Por ejemplo, wsm.csr.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.csr.

    1. Introduzca la contraseña del almacén de claves cuando se le solicite.

    Paso 6. Obtenga el certificado firmado por una CA. Utilice el procedimiento para crear un certificado firmado por CA con la autoridad de CA y asegúrese de utilizar una plantilla de autenticación de certificado cliente-servidor cuando la CA genere el certificado firmado.

    image

    Paso 7. Descargue el certificado firmado, el certificado raíz y el certificado intermedio de la autoridad de la CA.

    Paso 8. Copie el certificado WSM raíz, intermedio y firmado por la CA en %CVP_HOME%\conf\security\.

    Paso 9. Importe el certificado raíz con este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cer>.

    1. Introduzca la contraseña del almacén de claves cuando se le solicite.
    2. En el mensaje Confiar en este certificado, escriba .

    Paso 10. Importe el certificado intermedio con este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias intermediate -file %CVP_HOME%\conf\security\<filename_of_intermediate_cer>.

    1. Introduzca la contraseña del almacén de claves cuando se le solicite.
    2. En el mensaje Confiar en este certificado, escriba .

    Paso 11. Importe el certificado WSM firmado por la CA con este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias wsm_certificate -file %CVP_HOME%\conf\security\<filename_of_your_signed_cert_from_CA>.

    1. Introduzca la contraseña del almacén de claves cuando se le solicite.

    Paso 12. Repita los pasos del 4 al 11 (no es necesario importar dos veces los certificados raíz e intermedios) para los certificados del servidor de llamadas y del servidor XML en el servidor CVP y el certificado del servidor de llamadas en el servidor de informes.

    Paso 13 Configuración de WSM en el servidor CVP y el servidor de informes CVP.

    1. Vaya a c:\cisco\cvp\conf\jmx_wsm.conf.

    Agregue o actualice el archivo como se muestra y guárdelo:

    javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 3000
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword=< keystore_password >
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore 
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS

    2. Ejecute el comando regedit.

    Append this to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\WebServicesManager\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
    
    
      Djavax.net.ssl.trustStoreType=JCEKS

    Paso 14. Configure JMX de CVP Callserver en CVP Server y Reporting Server.

    1. Vaya a c:\cisco\cvp\conf\jmx_callserver.conf.

    Actualice el archivo como se muestra y guárdelo:

    com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2098
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 2097
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword = 
    
    
      javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore javax.net.ssl.trustStorePassword=< keystore_password > javax.net.ssl.trustStoreType=JCEKS

    Paso 15. Configure JMX del servidor VXML en el servidor CVP.

    1. Vaya a c:\cisco\cvp\conf\jmx_vxml.conf.

    Edite el archivo como se muestra y guárdelo:

    com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 9696
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 9697
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword =

    2. Ejecute el comando regedit.

    • Append theese to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\VXMLServer\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
      
      
        Djavax.net.ssl.trustStoreType=JCEKS

    3. Reinicie el servicio WSM, los servicios Call Server y VXML Server en el servidor CVP y el servicio WSM y el servicio Call Server en Reporting Server.

    Nota: Cuando se habilita la comunicación segura con JMX, se fuerza que el almacén de claves sea %CVP_HOME%\conf\security\.keystore, en lugar de %CVP_HOME%\jre\lib\security\cacerts.
    Por lo tanto, los certificados de %CVP_HOME%\jre\lib\security\cacerts deben importarse a %CVP_HOME%\conf\security\.keystore.

    Generar certificado de cliente firmado por CA para WSM

    Paso 1. Inicie sesión en el servidor CVP o en el servidor de informes. Recupere la contraseña del almacén de claves del archivo security.properties.

    Nota: en el símbolo del sistema, introduzca más %CVP_HOME%\conf\security.properties. Security.keystorePW = <Devuelve la contraseña del almacén de claves> Introduzca la contraseña del almacén de claves cuando se le solicite. 

    Paso 2. Desplácese hasta %CVP_HOME%\conf\security y genere un certificado firmado por CA para la autenticación de cliente con callserver con este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN del certificado WSM del servidor CVP o del servidor de informes> -v -keysize 2048 -keylog RSA

    1. Introduzca los detalles en las peticiones de datos y escriba para confirmar.
    2. Introduzca la contraseña del almacén de claves cuando se le solicite.

    Nota: El alias es el mismo que el CN utilizado para generar el certificado de servidor WSM.

    Paso 3. Genere la solicitud de certificado para el alias con este comando y guárdela en un archivo (por ejemplo, jmx_client.csr).

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN del certificado WSM del servidor CVP o del servidor de informes> -file %CVP_HOME%\conf\security\jmx_client.csr

    1. Introduzca la contraseña del almacén de claves cuando se le solicite.
    2. Verifique que el CSR se haya generado correctamente con este comando: dir jmx_client.csr.

    Paso 4. Firmar el certificado de cliente JMX en una CA.

    Nota: Utilice el procedimiento para crear un certificado firmado por la CA con la autoridad de la CA. Descargue el certificado de cliente JMX firmado por CA (no se necesitan certificados raíz ni intermedios, ya que se descargaron e importaron anteriormente).

    1. Introduzca la contraseña del almacén de claves cuando se le solicite.
    2. En Confiar en este mensaje de certificado, escriba Sí.

    Paso 5. Copie el certificado de cliente JMX firmado por CA en %CVP_HOME%\conf\security\.

    Paso 6. Importe el certificado de cliente JMX firmado por CA con este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN del servidor CVP o certificado WSM del servidor de informes> -file %CVP_HOME%\conf\security\<filename of CA-signed JMX Client certificate>

    1. Introduzca la contraseña del almacén de claves cuando se le solicite.

    Paso 7. Reinicie los servicios Cisco CVP Call Server, VXML Server y WSM.

    Paso 8. Repita el mismo procedimiento para Reporting Server, si está implementado.

    Generar certificado de cliente firmado por CA para OAMP (para realizar en OAMP)

    Paso 1. Inicie sesión en el servidor OAMP. Recupere la contraseña del almacén de claves del archivo security.properties.

    Nota: En el símbolo del sistema, introduzca más %CVP_HOME%\conf\security.properties. Security.keystorePW = <Devuelve la contraseña del almacén de claves> Introduzca la contraseña del almacén de claves cuando se le solicite. 

    Paso 2. Navegue hasta %CVP_HOME%\conf\security y genere un certificado firmado por CA para la autenticación del cliente con el servidor CVP o el servidor de informes CVP WSM. Utilice este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN del servidor CVP o certificado WSM del servidor de informes CVP> -v -keysize 2048 -keylog RSA.

    1. Introduzca los detalles en las peticiones de datos y pulse Sí para confirmar.
    2. Introduzca la contraseña del almacén de claves cuando se le solicite.

    Paso 3. Genere la solicitud de certificado para el alias con este comando y guárdela en un archivo (por ejemplo, jmx.csr).

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN de servidor CVP o certificado WSM de servidor de informes CVP> -file %CVP_HOME%\conf\security\jmx.csr.

    1. Introduzca la contraseña del almacén de claves cuando se le solicite.

    Paso 4. Firmar el certificado en una CA.

    Nota: Utilice el procedimiento para crear un certificado firmado por la CA mediante la autoridad de la CA. Descargue el certificado y el certificado raíz de la autoridad de la CA.

    Paso 5. Copie el certificado raíz y el certificado de cliente JMX firmado por CA en %CVP_HOME%\conf\security\.

    Paso 6. Importe el certificado raíz de la CA. Utilice este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cert>.

    1. Introduzca la contraseña del almacén de claves cuando se le solicite.
    2. En Confiar en este mensaje de certificado, escriba Sí.

    Paso 7. Importe el certificado de cliente JMX firmado por CA del servidor CVP y el servidor de informes CVP. Utilice este comando.

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN del servidor CVP o certificado WSM del servidor de informes CVP> -file %CVP_HOME%\conf\security\<filename_of_your_signed_cert_from_CA>.

    1. Introduzca la contraseña del almacén de claves cuando se le solicite.

    Paso 8. Reinicie el servicio OAMP.

    Paso 9. Inicie sesión en OAMP para habilitar la comunicación segura entre OAMP y Call Server, VXML Server o Reporting Server.  Vaya a Device Management > Call Server. Marque la casilla de verificación Habilitar comunicación segura con la consola de operaciones. Guarde e implemente Call Server y VXML Server.

    Paso 10. Ejecute el comando regedit.

    Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\OPSConsoleServer\Parameters\Java.

    Añada esto al archivo y guárdelo.

    Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
    
    
      Djavax.net.ssl.trustStoreType=JCEKS

    Nota: Después de proteger los puertos para JMX, sólo se puede acceder a JConsole después de realizar los pasos definidos para JConsole que se enumeran en los documentos de Oracle.

    Paso 11. Reinicie el servicio OAMP.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    21-Dec-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Ramiro Amaya
      Cisco TAC Engineer
    • Robert Rogier
      Cisco TAC Engineer
    • Adithya Udupa
      Cisco Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos