Échanger des certificats auto-signés dans une solution UCCE

Introduction

Ce document décrit comment échanger des certificats auto-signés dans la solution Unified Contact Center Enterprise (UCCE).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• UCCE version 12.5 (1)
• Customer Voice Portal (CVP) version 12.5 (1)
• Navigateur vocal virtualisé Cisco (VVB)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

• UCCE 12.5 (1)
• CVP 12.5 (1)
• Cisco VVB 12.5
• Console des opérations CVP (OAMP)
• CVP New OAMP (NOAMP)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Dans une solution UCCE, la configuration de nouvelles fonctionnalités impliquant des applications de base telles que ROGGER, les passerelles périphériques (PG), les stations de travail d'administration (AW)/les serveurs de données d'administration (ADS), Finesse, Cisco Unified Intelligence Center (CUIC), etc., s'effectue via la page d'administration de Contact Center Enterprise (CCE). Pour les applications de réponse vocale interactive (IVR) telles que CVP, Cisco VVB et les passerelles, NOAMP contrôle la configuration des nouvelles fonctionnalités. À partir de CCE 12.5 (1), en raison de la conformité à la gestion de la sécurité (SRC), toutes les communications vers CCE Admin et NOAMP sont strictement effectuées via le protocole HTTP sécurisé.

Afin d'assurer une communication sécurisée et transparente entre ces applications dans un environnement de certificats auto-signés, l'échange de certificats entre les serveurs devient indispensable. La section suivante explique en détail les étapes nécessaires pour échanger des certificats auto-signés entre :

• Serveurs CCE AW et serveurs d'applications de base CCE
• Serveur CVP OAMP et serveurs de composants CVP

Procédure

Serveurs CCE AW et serveurs d'applications de base CCE

Il s'agit des composants à partir desquels les certificats auto-signés sont exportés et des composants dans lesquels les certificats auto-signés doivent être importés.

Serveurs CCE AW : ce serveur requiert un certificat de :

• Plate-forme Windows : Router and Logger (ROGGER) {A/B}, Peripheral Gateway (PG) {A/B} et tous les AW/ADS.

Remarque : les certificats IIS et DFP (Diagnostic Framework Portico) sont nécessaires.

• Plate-forme VOS : Finesse, CUIC, Live Data (LD), Identity Server (IDS), Cloud Connect et d'autres serveurs applicables font partie de la base de données d'inventaire.

Il en va de même pour les autres serveurs AW de la solution.

Router\Logger Server : ce serveur requiert un certificat de :

• Plate-forme Windows : certificat IIS de tous les serveurs AW.

Les étapes nécessaires à l'échange efficace des certificats auto-signés pour CCE sont divisées en ces sections :

Section 1. Échange de certificats entre Router\Logger, PG et AW Server.
Section 2. Échange de certificats entre l'application de plate-forme VOS et le serveur AW.

Section 1. Échange de certificats entre Router\Logger, PG et AW Server

Les étapes nécessaires pour réussir cet échange sont les suivantes :

Étape 1. Exportez les certificats IIS depuis Router\Logger, PG et tous les serveurs AW.
Étape 2. Exportez les certificats DFP depuis Router\Logger, PG et tous les serveurs AW.
Étape 3. Importez des certificats IIS et DFP depuis Router\Logger, PG et AW vers des serveurs AW.
Étape 4. Importez des certificats IIS vers Router\Logger et PG à partir de serveurs AW.

Attention : avant de commencer, vous devez sauvegarder la banque de clés et ouvrir l'invite de commandes en tant qu'administrateur.

1. Connaître le chemin d'accès au répertoire d'origine Java afin de s'assurer de l'emplacement où l'outil de touches Java est hébergé. Il existe plusieurs façons de trouver le chemin d'accès Java Home.
   

   
   Option 1. Commande CLI : echo %JAVA_HOME%  

   

   Option 2. Manuellement via le paramètre système Avancé, comme illustré dans l'image.

   

   Remarque : sur UCCE 12.5, le chemin par défaut estC:\Program Files (x86)\Java\jre1.8.0_221\bin. Cependant, si vous avez utilisé le programme d'installation 12.5 (1a) ou si vous avez installé 12.5 ES55 (OpenJDK ES obligatoire), utilisez%CCE_JAVA_HOME%plutôt que%JAVA_HOME%puisque le chemin du data store a changé avec OpenJDK. Pour plus d'informations sur la migration OpenJDK dans CCE et CVP, consultez ces documents : Install and Migrate to OpenJDK in CCE 12.5(1) et Install and Migrate to OpenJDK in CVP 12.5(1).

2. Sauvegardez le fichiercacertsà partir du dossier{JAVA_HOME}\lib\security. Vous pouvez le copier à un autre emplacement.

Étape 1. Exportez les certificats IIS depuis Router\Logger, PG et tous les serveurs AW.

1. Sur le serveur AW à partir d'un navigateur, accédez aux serveurs (ROGGER, PG, autres serveurs AW) URL :https://{servername}.
   
   
   
   
2. Enregistrez le certificat dans un dossier temporaire, par exemple,c:\temp\certset nommez le certificatICM{svr}[ab].cer.
   
   

Remarque : choisissez l'option X.509 codé en base 64 (.CER).

Étape 2. Exportez les certificats DFP depuis Router\Logger, PG et tous les serveurs AW.

1. Sur le serveur AW, ouvrez un navigateur et accédez aux serveurs (routeur, enregistreur ou ROGGER, PG, AW) DFP URL :https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion.
   
   
   
   
2. Enregistrez le certificat dans l'exemple de dossierc:\temp\certset nommez le certificatdfp{svr}[ab].cer.

Remarque : choisissez l'option X.509 codé en base 64 (.CER).

Étape 3. Importez des certificats IIS et DFP depuis Router\Logger, PG et AW vers des serveurs AW.

Remarque : les exemples de commandes utilisent le mot de passe keystore par défautchangeit. Vous devez le modifier si vous avez modifié le mot de passe sur votre système.

Commande permettant d'importer les certificats auto-signés IIS dans le serveur AW. Le chemin d'exécution de l'outil de touches est le suivant :%JAVA_HOME%\bin.

keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer

Remarque : importez tous les certificats de serveur exportés vers tous les serveurs AW.

Commande pour importer les certificats autosignés DFP dans les serveurs AW :

keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_DFP -file c:\temp\certs\ dfp{svr}[ab].cer
Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myrgra.domain.com_DFP -file c:\temp\certs\dfprgra.cer

Remarque : importez tous les certificats de serveur exportés vers tous les serveurs AW.

Redémarrez le service Apache Tomcat sur les serveurs AW.

Étape 4. Importez des certificats IIS vers Router\Logger et PG à partir de serveurs AW.

Commande pour importer les certificats auto-signés IIS AW dans les serveurs Router\Logger et PG :

keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias myawa.domain.com_IIS -file c:\temp\certs\ICMawa.cer

Remarque : importez tous les certificats de serveur IIS AW exportés vers les serveurs Router\Logger et PG côté A et côté B.

Redémarrez le service Apache Tomcat sur les serveurs Router\Logger et PG.

Section 2. Échange de certificats entre les applications de la plate-forme VOS et le serveur AW

Les étapes nécessaires pour réussir cet échange sont les suivantes :

Étape 1. Exporter les certificats du serveur d'applications de la plate-forme VOS.
Étape 2. Importez les certificats d'application de la plate-forme VOS sur le serveur AW.

Ce processus s'applique à toutes les applications VOS telles que :

• Finesse
• CUIC\LD\IDS
• Connexion au cloud

Étape 1. Exporter les certificats du serveur d'applications de la plate-forme VOS.

i. Accédez à la page Cisco Unified Communications Operating System Administration : https://{FQDN}:8443/cmplatform.

ii. Accédez au dossier tomcat-trust et recherchezSecurity > Certificate Managementles certificats du serveur principal de l'application.

iii. Choisissez le certificat et cliquez surDownload .PEM Fileafin de l'enregistrer dans un dossier temporaire sur le serveur AW.

Remarque : effectuez les mêmes étapes pour l'abonné.

Étape 2. Importez l'application de plate-forme VOS sur le serveur AW.

Chemin d'exécution de l'outil Clé : {JAVA_HOME}\bin

Commande pour importer les certificats auto-signés :

keytool -keystore ..\lib\security\cacerts -import -storepass changeit -alias {fqdn_of_vos} -file c:\temp\certs\vosapplicationX.pem

Redémarrez le service Apache Tomcat sur les serveurs AW.

Remarque : effectuez la même tâche sur d'autres serveurs AW.

Serveur CVP OAMP et serveurs de composants CVP

Il s'agit des composants à partir desquels les certificats auto-signés sont exportés et des composants dans lesquels les certificats auto-signés doivent être importés.

i. Serveur CVP OAMP : ce serveur requiert un certificat de :

• Plate-forme Windows : certificat WSM (Web Services Manager) du serveur CVP et des serveurs de rapports.
• Plate-forme VOS : Cisco VVB pour l'intégration Customer Virtual Agent (CVA), serveur Cloud Connect pour l'intégration Webex Experience Management (WXM).

ii. Serveurs CVP : ce serveur nécessite un certificat provenant de :

• Plate-forme Windows : certificat WSM du serveur OAMP.
• Plate-forme VOS : serveur Cloud Connect pour intégration WXM et serveur Cisco VVB.

iii. Serveurs CVP Reporting : ce serveur nécessite un certificat provenant de :

• Plate-forme Windows : certificat WSM du serveur OAMP.

iv. Serveurs Cisco VVB : ce serveur nécessite un certificat provenant de :

• Plate-forme Windows : certificat VXML du serveur CVP et certificat Callserver du serveur CVP.

Les étapes requises pour échanger efficacement les certificats auto-signés dans l'environnement CVP sont expliquées dans ces trois sections.

Section 1. Échange de certificats entre le serveur CVP OAMP et le serveur CVP et les serveurs de rapports.
Section 2. Échange de certificats entre le serveur CVP OAMP et les applications de la plate-forme VOS.
Section 3. Échange de certificats entre les serveurs CVP et VVB.

Section 1. Échange de certificats entre CVP OAMP Server et CVP Server et Reporting Servers

Les étapes requises pour réussir cet échange sont les suivantes :

Étape 1. Exportez le certificat WSM à partir du serveur CVP, du serveur Reporting et du serveur OAMP.
Étape 2. Importez les certificats WSM du serveur CVP et du serveur Reporting sur le serveur OAMP.
Étape 3. Importez le certificat WSM du serveur CVP OAMP dans le serveur CVP et le serveur Reporting.

Attention : avant de commencer, vous devez accomplir ceci :
1. Ouvrez une fenêtre de commande en tant qu'administrateur.
2. Afin d'identifier le mot de passe keystore, exécutez la commande,more %CVP_HOME%\conf\security.properties. 
3. Vous avez besoin de ce mot de passe lorsque vous exécutez les commandes keytool.
4. À partir du répertoire,%CVP_HOME%\conf\security\exécutez la commande, copy .keystore backup.keystore.

Étape 1. Exportez le certificat WSM à partir du serveur CVP, du serveur Reporting et du serveur OAMP.

i. Exportez le certificat WSM de chaque serveur vers un emplacement temporaire et renommez le certificat avec le nom souhaité. Vous pouvez le renommer enwsmX.crt. Remplacez X par le nom d'hôte du serveur. Par exemple,wsmcsa.crt,wsmcsb.crt,wsmrepa.crt,wsmrepb.crt,wsmoamp.crt.

Commande pour exporter les certificats auto-signés :

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt

ii. Copiez le certificat à partir du chemin d'accèsC:\Cisco\CVP\conf\security\wsm.crtde chaque serveur et renommez-le en fonctionwsmX.crtdu type de serveur.

Étape 2. Importez les certificats WSM des serveurs CVP et des serveurs de rapports dans le serveur OAMP.

i. Copiez le certificat WSM de chaque serveur CVP et serveur Reporting (wsmX.crt) dans le répertoire du serveur%CVP_HOME%\conf\securityOAMP.

ii. Importez ces certificats avec la commande suivante :

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmcsX.crt

iii. Redémarrez le serveur.

Étape 3. Importez le certificat WSM du serveur CVP OAMP dans les serveurs CVP et les serveurs Reporting.

i. Copiez le certificat WSM (certificatwsmoampX.crt) du serveur OAMP dans le répertoire%CVP_HOME%\conf\securityde tous les serveurs CVP et de tous les serveurs Reporting.

ii. Importez les certificats avec la commande suivante :

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmoampX.crt

iii. Redémarrez les serveurs.

Section 2. Échange de certificats entre le serveur CVP OAMP et les applications de la plate-forme VOS

Les étapes requises pour réussir cet échange sont les suivantes :

Étape 1. Exportez le certificat d'application depuis la plate-forme VOS.

Étape 2. Importez le certificat d'application VOS dans le serveur OAMP.

Ce processus s'applique aux applications VOS telles que :

• CUCM
• VVB
• Connexion au cloud

Étape 1. Exportez le certificat d'application depuis la plate-forme VOS.

i. Accédez à la page Cisco Unified Communications Operating System Administration : https://{FQDN}:8443/cmplatform.

ii. Accédez au dossier tomcat-trust et recherchezSecurity > Certificate Managementles certificats du serveur principal de l'application.

iii. Choisissez le certificat et cliquez surDownload .PEM Fileafin de l'enregistrer dans un dossier temporaire sur le serveur OAMP.

Étape 2. Importez le certificat d'application VOS dans le serveur OAMP.

i. Copiez le certificat VOS dans le répertoire%CVP_HOME%\conf\securitydu serveur OAMP.

ii. Importez les certificats avec la commande suivante :

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_vos} -file %CVP_HOME%\conf\security\VOS.pem

iii. Redémarrez le serveur.

Section 3. Échange de certificats entre les serveurs CVP et VVB

Il s'agit d'une étape facultative permettant de sécuriser la communication SIP entre CVP et d'autres composants du centre de contact. Pour plus d'informations, reportez-vous à la section : Guide de configuration CVP : Guide de configuration CVP - Sécurité.

Intégration du service Web CVP Call Studio

Pour plus d'informations sur l'établissement d'une communication sécurisée pour l'élément Web Services et l'élément Rest_Client, reportez-vous au Guide de l'utilisateur de Cisco Unified CVP VXML Server et de Cisco Unified Call Studio version 12.5(1) - Web Service Integration [Cisco Unified Customer Voice Portal] - Cisco.

Informations connexes

• Guide de configuration CVP - Sécurité
• Guide de sécurité UCCE
• Guide d'administration de PCCE - Sécurité
• Certificats autosignés PCCE Exchange - PCCE 12.5
• Certificats auto-signés UCCE Exchange - UCCE 12.5
• Certificats autosignés PCCE Exchange - PCCE 12.6
• Implémenter des certificats signés par une autorité de certification - CCE 12.6
• Migration CCE OpenJDK
• Migration CVP OpenJDK
• Utilitaire d'échange de certificats
• Assistance et documentation techniques - Cisco Systems