소개
이 문서에서는 Cisco CVP(Customer Voice Portal) 통화 서버 및 VXML(Voice Extensible Markup Language) TLS(Server Transport Layer Security) 지원을 HTTP(HyperText Transfer Protocol)에 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- CVP VXML 서버
- Cisco CVB(Virtual Voice Browser)
- VXML 게이트웨이
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.
배경 정보
현재 VXML Server는 이미지에 표시된 대로 서로 다른 구성 요소를 사용하는 세 가지 보안 인터페이스를 가질 수 있습니다.
VXML 서버의 TLS 인터페이스
인터페이스 1. VXML 게이트웨이, Cisco CVB(Virtualized Voice Browser) 및 VXML 서버 간의 HTTP(Hypertext Transfer Protocol) 인터페이스입니다. 여기서 VXML 서버는 서버 역할을 합니다.
인터페이스 2. VXML 서버가 HTTP/SOAP(Simple Object Access Protocol) 인터페이스를 사용하는 외부 웹 서버와 상호 작용하는 일반적인 HTTP 인터페이스입니다.이 인터페이스는 사용자 지정 요소 또는 WebService 요소 또는 SOAP 요소의 일부로 정의됩니다.
인터페이스 3. 내장 DB 요소 인터페이스 또는 사용자 지정 요소 인터페이스를 사용하는 외부 데이터베이스(DB)(Microsoft MSSQL(Structured Query Language) 서버 및 ORACLE DB)입니다.
이 시나리오에서 인터페이스 1.에서 VXML 서버는 서버 역할을 하며 인터페이스 2. 및 3.에서 VXML 서버는 보안 클라이언트 역할을 합니다.
문제/장애:CVP VXML 서버의 서로 다른 인터페이스에서 TLS 1.2를 활성화하는 방법
CVP VXML Server는 다양한 인터페이스의 도움을 받아 다양한 장치 및 서버와 통신합니다.원하는 보안 수준을 달성하려면 TLS 1.2를 모두 활성화해야 합니다.
솔루션
인터페이스 1에서 TLS 1.2를 활성화하는 절차
앞에서 설명한 대로 이 인터페이스에서 CVP VXML 서버는 서버 역할을 합니다.이 보안 구현은 Tomcat에서 수행됩니다. 이 구성은 Tomcat의 server.xml에 의해 제어됩니다.
일반 커넥터 구성:
<Connector SSLCertificateFile="C:\Cisco\CVP\conf\security\vxml.crt" SSLCertificateKeyFile="C:\Cisco\CVP\conf\security\vxml.key" SSLEnabled="true" acceptCount="1500"
ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256"
clientAuth="false" disableUploadTimeout="true" enableLookups="false" executor="tomcatThreadPool" keyAlias="vxml_certificate"
keystoreFile="C:\Cisco\CVP\conf\security\.keystore" keystorePass="3WJ~RH0WjKgyq3CKl$x?7f0?JU*7R3}WW0jE,I*_RC8w2Lf" keystoreType="JCEKS" maxHttpHeaderSize="8192" port="7443"
protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" sslProtocol="TLS"/>
이 예에는 TLS v1.2가 있으므로 구성해야 하는 매개변수(sslEnabledProtocols 및 certificate)에는 TLS 1.2를 지원하는 데 필요한 컨피그레이션이 있습니다.
TLS 1.2 인증서를 생성하려면 java keytool.exe를 사용합니다.이 도구는 Cisco\CVP\jre\bin\에서 찾을 수 있습니다.
Keytool 설명서
인터페이스 2에서 TLS 1.2를 활성화하는 절차
가장 일반적인 인터페이스입니다.여기서 VXML 서버는 클라이언트 역할을 하며 외부 WebServer와의 보안 통신을 열어야 합니다.
이를 처리하는 방법에는 두 가지가 있습니다.
- 사용자 지정 코드를 사용합니다.
- CVP 프레임워크를 사용합니다.
CVP 프레임워크 사용에 대해 설명합니다.
11.6에서는 기본적으로 활성화되어 있습니다. 이전 버전의 경우 다음 표를 확인하십시오.
CSCvc39129 VXML Server를 TLS 클라이언트로 설치하는 ES 릴리스가 설치되어 있는 경우, 이 수동 컨피그레이션을 적용해야 합니다.
1단계. 레지스트리 편집기를 열고 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\VXMLServer\Parameters\Java으로 이동합니다.
2단계. 옵션 키를 열고 끝에 -Dhttps.client.protocol=TLSv1.2를 추가합니다.
3단계. Cisco CVP VXMLServer 서비스를 다시 시작합니다.
다음은 여러 JAVA 버전에서 지원되는 기본 프로토콜 빠른 목록입니다.
-Djdk.tls.client.protocols=TLSv1.2.
이 컨피그레이션에서는 VXML 서버가 JDK(Java SE Development Kit) 7 및 JDK6의 TLS 1.2를 사용해야 합니다.
참고: SSL은 기본적으로 비활성화되어 있습니다.
인터페이스 3에서 TLS 1.2를 활성화하는 절차
앞에서 설명한 대로 이 인터페이스에서 CVP VXML 서버는 클라이언트 역할을 하고 서버 역할을 하는 서드파티 데이터베이스 서버 역할을 합니다.
서드파티 데이터베이스 서버에서 TLS 1.2 및 TLS 1.2를 지원하는지 확인합니다.
예를 들어, SQL Server 2014 SP(서비스 팩) 2를 사용하는 경우 TLS 1.2를 지원하고 TLS 1.2 프로토콜은 SQL Server에서 여기에 설명된 레지스트리 아래에서 활성화됩니다.
SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
CVP 측에서 인터페이스 3에 대해 TLS 1.2를 활성화하려면
1단계. 레지스트리 편집기를 열고 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\VXMLServer\Parameters\Java으로 이동합니다.
2단계. 옵션 키를 열고 끝에 -Djdk.tls.client.protocols=TLSv1.2를 추가합니다.
3단계. Cisco CVP VXMLServer 서비스를 다시 시작합니다.
참고:자세한 내용은 이 버그를 참조하십시오. CSCvg20831 JNDI 데이터베이스 연결이 CVP11.6 SQL 2014SP2와 실패합니다.
TLS 1.2 지원을 위한 JRE 업그레이드 절차
CVP는 JRE(Java Runtime Environment)를 최신 버전으로 업그레이드하여 버그 결함을 지원합니다.
이 표에서는 JAVA 버전을 보여 줍니다.
JAVA 버전
이 링크에 설명된 절차를 수행합니다.
주의:32비트에서 64비트로 업그레이드하거나 그 반대로 업그레이드할 수 없습니다.
Tomcat 업그레이드 절차
Tomcat Minor 업그레이드가 지원됩니다.그러나 업그레이드를 수행하기 전에 사용자 지정 항아리(AXIS, JDBC 등) 간의 호환성 문제를 확인해야 합니다.
자세한 내용은 여기에서 절차를 확인하십시오.