HTTPS 웹 액세스를 위해 CVP 서버에서 CA 서명 인증서 구성

소개

이 문서에서는 CVP(Cisco Voice Portal) OAMP(Operation Administration and Management Portal) 서버에서 CA(Certificate Authority) 서명 인증서를 구성하고 확인하는 방법에 대해 설명합니다.

사전 요구 사항

Microsoft Windows 기반 Certificate Authority 서버가 이미 미리 구성되어 있습니다.

요구 사항

Cisco는 PKI 인프라에 대해 알고 있는 것을 권장합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

CVP 버전 11.0

Windows 2012 R2 서버

Windows 2012 R2 인증 기관

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

명령 참조 목록

more c:\Cisco\CVP\conf\security.properties
cd c:\Cisco\CVP\conf\security

%kt% -list
%kt% -list | findstr Priv
%kt% -list -v -alias oamp_certificate

%kt% -genkeypair -alias oamp_certificate -v -keysize 2048 -keyalg RSA
%kt% -import -v -trustcacerts -alias oamp_certificate -file oamp.p7b 

백업 만들기

c:\Cisco\CVP\conf\security 폴더로 이동하여 모든 파일을 보관합니다.OAMP 웹 액세스가 작동하지 않으면 새로 생성된 파일을 백업의 파일로 교체합니다.

CSR 생성

보안 비밀번호를 확인합니다.

more c:\Cisco\CVP\conf\security.properties
Security.keystorePW = fc]@2zfe*Ufe2J,.0uM$fF

c:\Cisco\CVP\conf\security 폴더로 이동합니다.

cd c:\Cisco\CVP\conf\security

참고:이 문서에서는 Windows 환경 변수를 사용하여 Keytool 명령을 훨씬 더 짧게, 더 쉽게 읽을 수 있도록 합니다.keytool 명령을 추가하기 전에 변수가 초기화되었는지 확인합니다.

1. 임시 변수를 생성합니다.

set kt=c:\Cisco\CVP\jre\bin\keytool.exe -storepass fc]@2zfe*Ufe2J,.0uM$fF -storetype JCEKS -keystore .keystore

변수를 초기화하려면 명령을 입력합니다.올바른 비밀번호를 입력합니다.

echo %kt%
c:\Cisco\CVP\jre\bin\keytool.exe -storepass fc]@2zfe*Ufe2J,.0uM$fF -storetype JCEKS -keystore .keystore

인증서 나열

키 저장소에 현재 설치된 인증서를 나열합니다.

%kt% -list

팁:목록을 구체화하려면 자체 서명 인증서만 표시하도록 명령을 수정할 수 있습니다.

%kt% -list | findstr Priv
vxml_certificate, May 27, 2016, PrivateKeyEntry,
oamp_certificate, May 27, 2016, PrivateKeyEntry,
wsm_certificate, May 27, 2016, PrivateKeyEntry,
callserver_certificate, May 27, 2016, PrivateKeyEntry,

자체 서명 OAMP 인증 정보를 확인합니다.

%kt% -printcert -file oamp.crt

Owner: CN=CVP11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
Issuer: CN=CVP11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
Serial number: 3f44f086
Valid from: Fri May 27 08:13:38 CEST 2016 until: Mon May 25 08:13:38 CEST 2026
Certificate fingerprints:
         MD5:  58:F5:D3:18:46:FE:9A:8C:14:EA:73:0F:5F:12:E7:43
         SHA1: 51:7F:E7:FF:25:B6:B8:02:CD:18:84:E7:50:9E:F2:ED:B1:9E:78:40
         Signature algorithm name: SHA1withRSA
         Version: 3

기존 OAMP 인증서 제거

새 키 쌍을 생성하려면 이미 있는 인증서를 제거합니다.

%kt% -delete -alias oamp_certificate

키 쌍 생성

이 명령을 실행하여 선택한 키 크기의 별칭에 대한 새 키 쌍을 생성합니다.

%kt% -genkeypair -alias oamp_certificate -v -keysize 2048 -keyalg RSA

What is your first and last name?
 [Unknown]: cvp11.allevich.local
What is the name of your organizational unit?
 [Unknown]: TAC
What is the name of your organization?
 [Unknown]: Cisco
What is the name of your City or Locality?
 [Unknown]: Krakow
What is the name of your State or Province?
 [Unknown]: Malopolskie
What is the two-letter country code for this unit?
 [Unknown]: PL
Is CN=cvp11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL correct?
 [no]: yes

Generating 2,048 bit RSA key pair and self-signed certificate (SHA256withRSA) 
with a validity of 90 days for: CN=cvp11, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
 (RETURN if same as keystore password):
[Storing .keystore]

키 쌍이 생성되었는지 확인합니다.

c:\Cisco\CVP\conf\security>dir | findstr oamp.key
05/27/2016  08:13 AM             1,724 oamp.key

이름과 성을 OAMP 서버로 입력해야 합니다.이름을 IP 주소로 확인할 수 있어야 합니다.이 이름은 인증서의 CN 필드에 표시됩니다.

새 CSR 생성

별칭에 대한 인증서 요청을 생성하고 파일(예: oamp.csr)에 저장하려면 이 명령을 실행합니다.

%kt% -certreq -alias oamp_certificate -file oamp.csr

CSR이 성공적으로 생성되었는지 확인합니다.

dir oamp.csr
08/25/2016 08:13 AM 1,136 oamp.csr

CA에서 인증서 발급

인증서를 가져오려면 인증 기관이 이미 구성되어 있어야 합니다.

브라우저에 지정된 URL을 입력합니다.

http://<CA ip address>/certsrv

그런 다음 인증서 요청 및 고급 인증서 요청을 선택합니다.

more oamp.csr
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

CSR의 전체 내용을 복사하여 적절한 메뉴에 붙여넣습니다.Web Server를 인증서 템플릿으로 선택하고 Base 64 인코딩.그런 다음 Download certificate chain(인증서 체인 다운로드)을 클릭합니다.

CA 및 웹 서버에서 생성한 인증서를 개별적으로 내보내거나 전체 체인을 다운로드할 수 있습니다.이 예에서는 전체 체인 옵션이 사용됩니다.

CA 생성 인증서 가져오기

파일에서 인증서를 설치합니다.

%kt% -import -v -trustcacerts -alias oamp_certificate -file oamp.p7b

새 인증서를 다시 시작하려면 World Wide Web Publishing 서비스 및 Cisco CVP OPSConsoleServer 서비스를 사용합니다.

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

가장 쉽게 확인할 수 있는 방법은 CVP OAMP 웹 서버에 로그인하는 것입니다.신뢰할 수 없는 인증서 경고 메시지를 수신해서는 안 됩니다.

또 다른 방법은 이 명령과 함께 사용되는 OAMP 인증서를 확인하는 것입니다.

%kt% -list -v -alias oamp_certificate
Alias name: oamp_certificate
Creation date: Oct 20, 2016
Entry type: PrivateKeyEntry
Certificate chain length: 2
Certificate[1]:
Owner: CN=cvp11.allevich.local, OU=TAC, O=Cisco, L=Krakow, ST=Malopolskie, C=PL
Issuer: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac
Serial number: 130c0db6000000000017
Valid from: Thu Oct 20 12:48:08 CEST 2016 until: Sat Oct 20 12:48:08 CEST 2018
Certificate fingerprints:
MD5: BA:E8:FA:05:45:07:D0:3C:C8:81:1C:34:3D:21:AF:AC
SHA1: 30:04:F2:EE:37:22:9D:8D:27:8F:54:D2:BA:D4:0F:33:74:34:87:D8
Signature algorithm name: SHA1withRSA
Version: 3

Extensions:

#1: ObjectId: 1.3.6.1.4.1.311.20.2 Criticality=false
0000: 1E 12 00 57 00 65 00 62 00 53 00 65 00 72 00 76 ...W.e.b.S.e.r.v
0010: 00 65 00 72 .e.r


#2: ObjectId: 1.3.6.1.5.5.7.1.1 Criticality=false
AuthorityInfoAccess [
[
accessMethod: caIssuers
accessLocation: URIName: ldap:///CN=pod1-POD1AD-CA,CN=AIA,
]
]

#3: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 9B 33 47 9E 76 DB F3 92 B2 F8 F9 86 3A 59 BA DE .3G.v.......:Y..
0010: C5 0B E5 E4 ....
]
]

#4: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
[DistributionPoint:
[URIName: ldap:///CN=pod1-POD1AD-CA,CN=POD1AD,CN=CDP]
]]

#5: ObjectId: 2.5.29.37 Criticality=false
ExtendedKeyUsages [
serverAuth
]

#6: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
DigitalSignature
Key_Encipherment
]

#7: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: CD FC 95 D1 60 44 9A 34 A9 EE 0E 3F C7 F5 5D 3C ....`D.4...?..]<
0010: 46 DF 47 D9 F.G.
]
]

Certificate[2]:
Owner: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac
Issuer: CN=pod1-POD1AD-CA, DC=pod1, DC=ccemea, DC=tac
Serial number: 305dba13e0def8b474fefeb92f54acd
Valid from: Thu Sep 08 18:06:37 CEST 2016 until: Wed Sep 08 18:16:36 CEST 2021
Certificate fingerprints:
MD5: 50:04:5F:89:CA:7C:D6:71:82:10:C3:04:57:78:AB:AE
SHA1: A6:3B:07:29:AF:3A:07:73:9D:9B:4F:88:B5:A8:17:AC:0A:6D:C3:0D
Signature algorithm name: SHA1withRSA
Version: 3

Extensions:

#1: ObjectId: 1.3.6.1.4.1.311.21.1 Criticality=false
0000: 02 01 00 ...


#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]

#3: ObjectId: 2.5.29.15 Criticality=false
KeyUsage [
DigitalSignature
Key_CertSign
Crl_Sign
]

#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 9B 33 47 9E 76 DB F3 92 B2 F8 F9 86 3A 59 BA DE .3G.v.......:Y..
0010: C5 0B E5 E4 ....
]
]

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

명령 구문을 확인해야 하는 경우 CVP용 구성 및 관리 가이드를 참조하십시오.

http://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/customer_voice_portal/cvp8_5/configuration/guide/ConfigAdminGuide_8-5.pdf

관련 정보

Cisco VOS(Voice Operating System)의 CLI를 통해 CA 서명 인증서 구성

Windows Server 자체 서명 또는 CA(Certificate Authority)를 가져오고 업로드하는 절차..

기술 지원 및 문서 − Cisco Systems