Introducción
Este documento describe el procedimiento para utilizar SHA256 con CVP.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
Componentes Utilizados
La información de este documento se basa en CVP 10.5.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
A partir de enero de 2016, todos los navegadores rechazaron los certificados firmados SHA1. Esto no representó correctamente los servicios solicitados, a menos que se mueva de SHA1 a SHA256.
Con el reciente desarrollo de algoritmos computacionales, así como la explosiva capacidad computacional, SHA1 se ha debilitado día a día. Esto condujo a la resistencia a la colisión por degradación fundamental del SHA1 y a la desaparición final.
Configurar
Procedimiento de intercambio de certificados entre la consola de operaciones de CVP (OAMP):
En OAMP
Paso 1. Exportar CERT. OAMP.
c:\Cisco\CVP\jre\bin\keytool.exe -export -v -keystore .keystore -storetype JCEKS -alias oamp_certificate -file oamp_security_76.cer
Paso 2. Copie el certificado OAMP en Callserver e impórtelo.
c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias orm_oamp_certificate -file oamp_security_76.cer
En servidor de llamadas
Paso 1. Exportar CERT. DE CALLSERVER.
c:\Cisco\CVP\jre\bin\keytool.exe -export -v -keystore .ormkeystore -storetype JCEKS -alias orm_certificate -file orm_security_108.cer
Paso 2. Copie CALLSERVER CERT en OAMP e importe.
c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias oamp_orm_certificate -file orm_security_108.cer
Paso 3. Exportar certificado de formulario en el almacén de claves del servidor de llamadas.
C:\Cisco\CVP\conf\security>c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias vxml_orm_certificate -file_orm_security_108.cer
Verificación
Puede validar si se ha establecido la comunicación segura entre los componentes. Vaya a Página de OAMP > Administración de dispositivos > <servidor administrado> > Estadísticas
Se deben mostrar las estadísticas.
Puede utilizar JConsole para establecer una conexión si la seguridad está configurada correctamente:
Paso 1. c:\Cisco\CVP\conf\orm_jmx.conf en OAMP tiene el siguiente aspecto:
javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = false
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.ormkeystore
javax.net.ssl.keyStorePassword=<local security password>
Paso 2. Abra jconsole desde el comando. Use el comando:
C:\Cisco\CVP\jre\bin>jconsole.exe -J-Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore -J-Djavax.net.ssl.trustStorePassword=<oamp security password/jconsole client> -J-Djavax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore -J-Djavax.net.ssl.keyStorePassword=<oamp security password/jconsole client> -J-Djavax.net.ssl.keyStore=JCEKS -debug -J-Djavax.net.ssl.trustStoreType=JCEKS
Introduzca <managed server ip>:<secure jmx port eg:2099> en el campo Remote Process.
Nota: JConsole debe conectarse sin que se le pida a la aplicación que omita el método seguro.
Paso 3. Wireshark mientras se invoca la conexión jconsole. La captura le ofrece una perspectiva de los detalles negociados durante el intercambio de señales de seguridad.
Seguimientos en JMX
La implementación de JMX utiliza java.util.logging para registrar los seguimientos de depuración. Muchos de estos seguimientos se refieren a clases internas no expuestas, pero pueden ayudarle a comprender lo que sucede con la aplicación.
La implementación de JMX tiene dos conjuntos de registradores:
javax.management.\*: todos los registradores relacionados con la API JMXjavax.management.remote.\*: Registradores relacionados específicamente con la API remota de JMX
Puede encontrar una descripción más completa de JMX Loggers aquí.
Puede activar los seguimientos de JMX de dos formas diferentes:
- Estáticamente, con el uso de un archivo logging.properties
- Dinámicamente, con el uso de un MBean JMXTracing. En Java SE 6, puede hacer esto para una aplicación, incluso si el conector JMX no está habilitado en la línea de comandos.
Utilizar un archivo logging.properties
Inicie la aplicación con estos indicadores:
java -Djava.util.logging.config.file=<logging.properties> ....
donde logging.properties activa seguimientos para los registradores JMX:
handlers= java.util.logging.ConsoleHandler
.level=INFO
java.util.logging.FileHandler.pattern = %h/java%u.log
java.util.logging.FileHandler.limit = 50000
java.util.logging.FileHandler.count = 1
java.util.logging.FileHandler.formatter = java.util.logging.XMLFormatter
java.util.logging.ConsoleHandler.level = FINEST
java.util.logging.ConsoleHandler.formatter = java.util.logging.SimpleFormatter
// Use FINER or FINEST for javax.management.remote.level - FINEST is
// very verbose...
//
javax.management.level=FINEST
javax.management.remote.level=FINER
Comentarios