Comunicazione JMX sicura tra i componenti CVP OAMP e CVP con autenticazione reciproca

Opzioni per il download

PDF (303.3 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (128.6 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (104.6 KB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:4 ottobre 2024

ID documento:216522

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Introduzione

Prerequisiti

Requisiti

Componenti usati

Premesse

Genera certificati CSR per WSM

Genera certificato client firmato dall'autorità di certificazione per WSM

Genera certificato client con firma CA per OAMP (da eseguire su OAMP)

Informazioni correlate

Introduzione

In questo documento viene descritto come proteggere le comunicazioni JMX (Java Management Extensions) tra OAMP (Customer Voice Portal) e OAMP (Management Console) e CVP Server e CVP Reporting Server in una soluzione Cisco Unified Contact Center Enterprise (UCCE) tramite certificati firmati da CA (Certification Authority).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

UCCE release 12.5(1)
Customer Voice Portal (CVP) versione 12.5 (1)

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software:

UCCE 12.5(1)
CVP 12.5(1)

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

OAMP comunica con CVP Call Server, CVP VXML Server e CVP Reporting Server tramite il protocollo JMX. La comunicazione sicura tra OAMP e questi componenti CVP previene le vulnerabilità della sicurezza JMX. Questa comunicazione sicura è facoltativa e non è necessaria per il normale funzionamento tra OAMP e i componenti CVP.

È possibile proteggere le comunicazioni JMX nei modi seguenti:

Generare la richiesta di firma del certificato (CSR) per Web Service Manager (WSM) in CVP Server e CVP Reporting Server.
Genera certificato client CSR per WSM in CVP Server e CVP Reporting Server.
Generare un certificato client CSR per OAMP (da eseguire su OAMP).
Firmare i certificati da un'Autorità di certificazione.
Importare i certificati firmati dall'autorità di certificazione, radice e intermedio in CVP Server, CVP Reporting Server e OAMP.
[Facoltativo] Accesso sicuro di JConsole a OAMP.
Secure System CLI.

Genera certificati CSR per WSM

Passaggio 1. Accedere al server CVP o al server di report. Recuperare la password del keystore dal file security.properties.

Nota: al prompt dei comandi, immettere altre %CVP_HOME%\conf\security.properties. Security.keystorePW = <Restituisce la password del keystore> Quando richiesto, immettere la password del keystore.

Passaggio 2. Passare a %CVP_HOME%\conf\security ed eliminare il certificato WSM. Utilizzare questo comando.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate.

Quando richiesto, immettere la password del keystore.

Passaggio 3. Ripetere il passaggio 2 per i certificati server di chiamata (callserver_certificate) e server VXML (vxml_certificate) sul server CVP e per il certificato server di chiamata (callserver_certificate) sul server di report.

Passaggio 4. Genera un certificato firmato dalla CA per il servizio WSM. Utilizzare questo comando:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -v -keysize 2048 -keyalg RSA.

Immettere i dettagli nei prompt e digitare Sì per confermare.
Quando richiesto, immettere la password del keystore.

Nota: annotare il nome CN per riferimento futuro.

Passaggio 5. Generare la richiesta di certificato per l'alias. Eseguire questo comando e salvarlo in un file. Ad esempio, wsm.csr.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.csr.

1. Quando richiesto, immettere la password del keystore.

Passaggio 6. Ottenere il certificato firmato da una CA. Utilizzare la procedura per creare un certificato firmato dalla CA con l'autorità CA e assicurarsi di utilizzare un modello di autenticazione del certificato client-server quando la CA genera il certificato firmato.

Passaggio 7. Scaricare il certificato firmato, il certificato radice e intermedio dell'autorità CA.

Passaggio 8. Copiare il certificato WSM radice, intermedio e firmato dalla CA in %CVP_HOME%\conf\security\.

Passaggio 9. Importare il certificato radice con questo comando.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<nomefile_di_root_cer>.

Quando richiesto, immettere la password del keystore.
Al prompt Considera attendibile il certificato digitare Sì.

Passaggio 10. Importare il certificato intermedio con questo comando.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias intermediate -file %CVP_HOME%\conf\security\<nomefile_di_intermediate_cer>.

Quando richiesto, immettere la password del keystore.
Al prompt Considera attendibile il certificato digitare Sì.

Passaggio 11. Importare il certificato WSM firmato dalla CA con questo comando.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias wsm_certificate -file %CVP_HOME%\conf\security\<nomefile_del_certificato_firmato_da_CA>.

1. Quando richiesto, immettere la password del keystore.

Passaggio 12. Ripetere i passaggi da 4 a 11 (non è necessario importare due volte i certificati radice e intermedi) per i certificati di server di chiamata e server VXML sul server CVP e per i certificati di server di chiamata sul server di report.

Passaggio 13 Configurare WSM in CVP Server e CVP Reporting Server.

1. Passare a c:\cisco\cvp\conf\jmx_wsm.conf.

Aggiungere o aggiornare il file come mostrato e salvarlo:

javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 3000
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword=< keystore_password >
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore 
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS

2. Eseguire il comando regedit.

Append this to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\WebServicesManager\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
    
    
      Djavax.net.ssl.trustStoreType=JCEKS

Passaggio 14. Configurare JMX di CVP Callserver in CVP Server e Reporting Server.

1. Passare a c:\cisco\cvp\conf\jmx_callserver.conf.

Aggiornare il file come mostrato e salvarlo:

com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2098
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 2097
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword = 
    
    
      javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore javax.net.ssl.trustStorePassword=< keystore_password > javax.net.ssl.trustStoreType=JCEKS

Passaggio 15. Configurare JMX di VXML Server in CVP Server.

1. Passare a c:\cisco\cvp\conf\jmx_vxml.conf.

Modificare il file come mostrato e salvarlo:

com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 9696
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 9697
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword =

2. Eseguire il comando regedit.

Append theese to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\VXMLServer\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
      
      
        Djavax.net.ssl.trustStoreType=JCEKS

3. Riavviare i servizi WSM, Call Server e VXML Server sul server CVP e i servizi WSM e Call Server sul server di report.

Nota: quando la comunicazione protetta è abilitata con JMX, il keystore viene forzato in modo che sia %CVP_HOME%\conf\security\.keystore, anziché %CVP_HOME%\jre\lib\security\cacerts.
È pertanto necessario importare i certificati da %CVP_HOME%\jre\lib\security\cacerts in %CVP_HOME%\conf\security\.keystore.

Genera certificato client firmato dall'autorità di certificazione per WSM

Passaggio 1. Accedere al server CVP o al server di report. Recuperare la password del keystore dal file security.properties.

Passaggio 2. Passare a %CVP_HOME%\conf\security e generare un certificato firmato dalla CA per l'autenticazione client con il server di chiamata con questo comando.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN del certificato WSM di CVP Server o Reporting Server> -v -keysize 2048 -keyalg RSA

1. Inserire i dettagli nei prompt e digitare Sì per confermare.
2. Quando richiesto, immettere la password del keystore.

Nota: l'alias è lo stesso utilizzato per generare il certificato del server WSM.

Passaggio 3. Generare la richiesta di certificato per l'alias con questo comando e salvarla in un file (ad esempio, jmx_client.csr).

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN del certificato WSM di CVP Server o Reporting Server> -file %CVP_HOME%\conf\security\jmx_client.csr

1. Quando richiesto, immettere la password del keystore.
2. Verificare che il CSR sia stato generato correttamente con il comando dir jmx_client.csr.

Passaggio 4. Firmare il certificato client JMX su una CA.

Nota: utilizzare la procedura per creare un certificato firmato dalla CA con l'autorità CA. Scaricare il certificato client JMX firmato dalla CA (i certificati radice e intermedi non sono necessari poiché sono stati scaricati e importati in precedenza).

1. Quando richiesto, immettere la password del keystore.
2. Al prompt Considera attendibile il certificato, digitare Sì.

Passaggio 5. Copiare il certificato client JMX firmato dalla CA in %CVP_HOME%\conf\security\.

Passaggio 6. Importare il certificato client JMX firmato dalla CA con questo comando.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN del certificato WSM di CVP Server o di Reporting Server> -file %CVP_HOME%\conf\security\<nome file del certificato client JMX firmato da CA>

1. Quando richiesto, immettere la password del keystore.

Passaggio 7. Riavviare Cisco CVP Call Server, VXML Server e i servizi WSM.

Passaggio 8. Ripetere la stessa procedura per il server di report, se implementata.

Genera certificato client con firma CA per OAMP (da eseguire su OAMP)

Passaggio 1. Accedere al server OAMP. Recuperare la password del keystore dal file security.properties.

Nota: al prompt dei comandi, immettere altro %CVP_HOME%\conf\security.properties. Security.keystorePW = <Restituisce la password del keystore> Quando richiesto, immettere la password del keystore.

Passaggio 2. Passare a %CVP_HOME%\conf\security e generare un certificato firmato dalla CA per l'autenticazione client con CVP Server o CVP Reporting Server WSM. Utilizzare questo comando.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN di CVP Server o certificato WSM di CVP Reporting Server> -v -keysize 2048 -keyalg RSA.

1. Inserire i dettagli nei prompt e digitare Sì per confermare.
2. Quando richiesto, immettere la password del keystore.

Passaggio 3. Generare la richiesta di certificato per l'alias con questo comando e salvarla in un file (ad esempio, jmx.csr).

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN di CVP Server o certificato WSM di CVP Reporting Server> -file %CVP_HOME%\conf\security\jmx.csr.

1. Quando richiesto, immettere la password del keystore.

Passaggio 4. Firmare il certificato su una CA.

Nota: utilizzare la procedura per creare un certificato firmato dalla CA utilizzando l'autorità CA. Scaricare il certificato e il certificato radice dell'autorità CA.

Passaggio 5. Copiare il certificato radice e il certificato client JMX firmato dalla CA in %CVP_HOME%\conf\security\.

Passaggio 6. Importare il certificato radice della CA. Utilizzare questo comando.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<nomefile_di_root_cert>.

1. Quando richiesto, immettere la password del keystore.
2. Al prompt Considera attendibile il certificato, digitare Sì.

Passaggio 7. Importare il certificato client JMX firmato dalla CA di CVP Server e CVP Reporting Server. Utilizzare questo comando.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN di CVP Server o certificato WSM del server di report CVP> -file %CVP_HOME%\conf\security\<nomefile_del_certificato_firmato_da_CA>.

1. Quando richiesto, immettere la password del keystore.

Passaggio 8. Riavviare il servizio OAMP.

Passaggio 9. Accedere a OAMP. per abilitare la comunicazione protetta tra OAMP e il server di chiamata, il server VXML o il server di report. Selezionare Gestione dispositivi > Call Server. Selezionare la casella di controllo Attiva comunicazione protetta con la console Operazioni. Salvare e distribuire sia Call Server che VXML Server.

Passaggio 10. Eseguire il comando regedit.

Passare a HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\OPSConsoleServer\Parameters\Java.

Aggiungete questo al file e salvatelo.

Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
    
    
      Djavax.net.ssl.trustStoreType=JCEKS

Nota: dopo aver protetto le porte per JMX, è possibile accedere a JConsole solo dopo aver eseguito i passi definiti per JConsole elencati nei documenti Oracle.

Passaggio 11. Riavviare il servizio OAMP.