소개
이 문서에서는 CVP(Cisco Voice Portal) OAMP(Operation Administration and Management Portal) 서버에서 CA(Certificate Authority) 서명 인증서를 구성하고 확인하는 방법에 대해 설명합니다.
사전 요구 사항
Microsoft Windows 기반 Certificate Authority 서버는 이미 사전 구성되어 있습니다.
요구 사항
PKI 인프라에 대한 지식이 있는 것이 좋습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
CVP 버전 11.0
Windows 2012 R2 서버
Windows 2012 R2 인증 기관
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
명령 참조 목록
more c:\Cisco\CVP\conf\security.properties
cd c:\Cisco\CVP\conf\security
%kt% -list
%kt% -list | findstr Priv
%kt% -list -v -alias oamp_certificate
%kt% -genkeypair -alias oamp_certificate -v -keysize 2048 -keyalg RSA
%kt% -import -v -trustcacerts -alias oamp_certificate -file oamp.p7b
백업 만들기
c:\Cisco\CVP\conf\security 폴더로 이동하여 모든 파일을 보관합니다. OAMP 웹 액세스가 작동하지 않을 경우 새로 만든 파일을 백업에서 가져온 파일로 바꿉니다.
CSR 생성
보안 암호를 확인하십시오.
more c:\Cisco\CVP\conf\security.properties
Security.keystorePW = fc]@2zfe*Ufe2J,.0uM$fF
c:\Cisco\CVP\conf\security 폴더로 이동합니다.
cd c:\Cisco\CVP\conf\security
참고: 이 문서에서는 Windows 환경 변수를 사용하여 Keytool 명령을 훨씬 더 짧고 읽기 쉽게 만들 수 있습니다. keytool 명령을 추가하기 전에 변수가 초기화되었는지 확인합니다.
1. 임시 변수를 생성합니다.
set kt=c:\Cisco\CVP\jre\bin\keytool.exe -storepass fc]@2zfe*Ufe2J,.0uM$fF -storetype JCEKS -keystore .keystore
변수를 초기화하려면 명령을 입력합니다. 올바른 비밀번호를 입력합니다.
echo %kt%
c:\Cisco\CVP\jre\bin\keytool.exe -storepass fc]@2zfe*Ufe2J,.0uM$fF -storetype JCEKS -keystore .keystore
인증서 나열
키 저장소에 현재 설치된 인증서를 나열합니다.
%kt% -list
팁: 목록을 구체화하려면 명령을 수정하여 자체 서명 인증서만 표시할 수 있습니다.
%kt% -list | findstr Priv
vxml_certificate, May 27, 2016, PrivateKeyEntry,
oamp_certificate, May 27, 2016, PrivateKeyEntry,
wsm_certificate, May 27, 2016, PrivateKeyEntry,
callserver_certificate, May 27, 2016, PrivateKeyEntry,
자체 서명 OAMP 인증 정보를 확인합니다.
%kt% -printcert -file oamp.crt
Owner: CN=CVP11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
Issuer: CN=CVP11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
Serial number: 3f44f086
Valid from: Fri May 27 08:13:38 CEST 2016 until: Mon May 25 08:13:38 CEST 2026
Certificate fingerprints:
MD5: 58:F5:D3:18:46:FE:9A:8C:14:EA:73:0F:5F:12:E7:43
SHA1: 51:7F:E7:FF:25:B6:B8:02:CD:18:84:E7:50:9E:F2:ED:B1:9E:78:40
Signature algorithm name: SHA1withRSA
Version: 3
기존 OAMP 인증서 제거
새 키 쌍을 생성하려면 이미 있는 인증서를 제거하십시오.
%kt% -delete -alias oamp_certificate
키 쌍 생성
이 명령을 실행하여 선택한 키 크기의 별칭에 대해 새 키 쌍을 생성합니다.
%kt% -genkeypair -alias oamp_certificate -v -keysize 2048 -keyalg RSA
What is your first and last name?
[Unknown]: cvp11.allevich.local
What is the name of your organizational unit?
[Unknown]: TAC
What is the name of your organization?
[Unknown]: Cisco
What is the name of your City or Locality?
[Unknown]: Krakow
What is the name of your State or Province?
[Unknown]: Malopolskie
What is the two-letter country code for this unit?
[Unknown]: PL
Is CN=cvp11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL correct?
[no]: yes
Generating 2,048 bit RSA key pair and self-signed certificate (SHA256withRSA)
with a validity of 90 days for: CN=cvp11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
(RETURN if same as keystore password):
[Storing .keystore]
키 쌍이 생성되었는지 확인합니다.
c:\Cisco\CVP\conf\security>dir | findstr oamp.key
05/27/2016 08:13 AM 1,724 oamp.key
OAMP 서버로 성과 이름을 입력해야 합니다. 이름은 IP 주소로 확인 가능해야 합니다. 이 이름은 인증서의 CN 필드에 나타납니다.
새 CSR 생성
이 명령을 실행하여 별칭에 대한 인증서 요청을 생성하고 파일(예: oamp.csr)에 저장합니다.
%kt% -certreq -alias oamp_certificate -file oamp.csr
CSR이 성공적으로 생성되었는지 확인합니다.
dir oamp.csr
08/25/2016 08:13 AM 1,136 oamp.csr
CA에서 인증서 발급
인증서를 가져오려면 Certificate Authority가 이미 구성되어 있어야 합니다.
브라우저에서 지정된 URL 입력
http://<CA ip address>/certsrv
그런 다음 Request certificate and Advanced certificate request를 선택합니다.
more oamp.csr
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
CSR의 전체 내용을 복사하여 해당 메뉴에 붙여넣습니다. Web Server를 인증서 템플릿으로 선택하고 Base 64를 인코딩합니다. 그런 다음 Download certificate chain을 클릭합니다.
CA 및 웹 서버에서 생성된 인증서를 개별적으로 내보내거나 전체 체인을 다운로드할 수 있습니다. 이 예제에서는 전체 체인 옵션을 사용합니다.
CA 생성 인증서 가져오기
파일에서 인증서를 설치합니다.
%kt% -import -v -trustcacerts -alias oamp_certificate -file oamp.p7b
새 인증서를 적용하려면 World Wide Web Publishing 서비스 및 Cisco CVP OPSConsoleServer 서비스를 재시작해야 합니다.
다음을 확인합니다.
구성이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.
가장 쉽게 확인할 수 있는 방법은 CVP OAMP 웹 서버에 로그인하는 것입니다. 신뢰할 수 없는 인증서 경고 메시지를 받으면 안 됩니다.
또 다른 방법은 이 명령과 함께 사용된 OAMP 인증서를 확인하는 것입니다.
%kt% -list -v -alias oamp_certificate
Alias name: oamp_certificate
Creation date: Oct 20, 2016
Entry type: PrivateKeyEntry
Certificate chain length: 2
Certificate[1]:
Owner: CN=cvp11.allevich.local, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
Issuer: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac
Serial number: 130c0db6000000000017
Valid from: Thu Oct 20 12:48:08 CEST 2016 until: Sat Oct 20 12:48:08 CEST 2018
Certificate fingerprints:
MD5: BA:E8:FA:05:45:07:D0:3C:C8:81:1C:34:3D:21:AF:AC
SHA1: 30:04:F2:EE:37:22:9D:8D:27:8F:54:D2:BA:D4:0F:33:74:34:87:D8
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
#1: ObjectId: 1.3.6.1.4.1.311.20.2 Criticality=false
0000: 1E 12 00 57 00 65 00 62 00 53 00 65 00 72 00 76 ...W.e.b.S.e.r.v
0010: 00 65 00 72 .e.r
#2: ObjectId: 1.3.6.1.5.5.7.1.1 Criticality=false
AuthorityInfoAccess [
[
accessMethod: caIssuers
accessLocation: URIName: ldap:///CN=pod1-POD1AD-CA,CN=AIA,
]
]
#3: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 9B 33 47 9E 76 DB F3 92 B2 F8 F9 86 3A 59 BA DE .3G.v.......:Y..
0010: C5 0B E5 E4 ....
]
]
#4: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
[DistributionPoint:
[URIName: ldap:///CN=pod1-POD1AD-CA,CN=POD1AD,CN=CDP]
]]
#5: ObjectId: 2.5.29.37 Criticality=false
ExtendedKeyUsages [
serverAuth
]
#6: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
DigitalSignature
Key_Encipherment
]
#7: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: CD FC 95 D1 60 44 9A 34 A9 EE 0E 3F C7 F5 5D 3C ....`D.4...?..]<
0010: 46 DF 47 D9 F.G.
]
]
Certificate[2]:
Owner: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac
Issuer: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac
Serial number: 305dba13e0def8b474fefeb92f54acd
Valid from: Thu Sep 08 18:06:37 CEST 2016 until: Wed Sep 08 18:16:36 CEST 2021
Certificate fingerprints:
MD5: 50:04:5F:89:CA:7C:D6:71:82:10:C3:04:57:78:AB:AE
SHA1: A6:3B:07:29:AF:3A:07:73:9D:9B:4F:88:B5:A8:17:AC:0A:6D:C3:0D
Signature algorithm name: SHA1withRSA
Version: 3
Extensions:
#1: ObjectId: 1.3.6.1.4.1.311.21.1 Criticality=false
0000: 02 01 00 ...
#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]
#3: ObjectId: 2.5.29.15 Criticality=false
KeyUsage [
DigitalSignature
Key_CertSign
Crl_Sign
]
#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 9B 33 47 9E 76 DB F3 92 B2 F8 F9 86 3A 59 BA DE .3G.v.......:Y..
0010: C5 0B E5 E4 ....
]
]
문제 해결
이 섹션에서는 설정 문제 해결을 위해 사용할 수 있는 정보를 제공합니다.
명령 구문을 확인해야 하는 경우 CVP용 컨피그레이션 및 관리 가이드를 참조하십시오.
http://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/customer_voice_portal/cvp8_5/configuration/guide/ConfigAdminGuide_8-5.pdf
관련 정보
Cisco VOS(Voice Operating System)에서 CLI를 통해 CA 서명 인증서 구성
Windows Server 자체 서명 또는 CA(인증 기관)를 가져오고 업로드하는 절차...
기술 지원 및 문서 − Cisco Systems
피드백