Inleiding
Dit document beschrijft de procedure om SHA256 met CVP te gebruiken.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
Gebruikte componenten
De informatie in dit document is gebaseerd op CVP 10.5.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Vanaf januari 2016 hebben alle browsers SHA1-ondertekende certificaten geweigerd. Dit heeft de gevraagde diensten niet correct gemaakt, tenzij u van SHA1 naar SHA256 gaat.
Met de recente ontwikkeling in rekenalgoritmen en de explosieve rekencapaciteit, is SHA1 elke dag zwakker geworden. Dit leidde tot fundamentele degradatie botsingsweerstand van de SHA1 en uiteindelijke ondergang.
Configureren
Procedure voor de uitwisseling van certificaten tussen CVP Operations Console (OAMP):
Over het OAMP
Stap 1. Exporteer OAMP CERT.
c:\Cisco\CVP\jre\bin\keytool.exe -export -v -keystore .keystore -storetype JCEKS -alias oamp_certificate -file oamp_security_76.cer
Stap 2. Kopieer het OAMP-certificaat naar CallServer en importeer.
c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias orm_oamp_certificate -file_oamp_security_76.cer
On Call Server
Stap 1. Voer CALLSERVER CERT uit.
c:\Cisco\CVP\jre\bin\keytool.exe -export -v -keystore .ormkeystore -storetype JCEKS -alias orm_certificate -file_form_security_108.cer
Stap 2. Kopieer CALLSERVER CERT naar OAMP en importeer.
c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias oamp_orm_certificate -file_form_security_108.cer
Stap 3. Certificaat van formulier exporteren in Call Server keystore.
C:\Cisco\CVP\conf\security>c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias vxml_form_certificate -file_form_security_108.cer
Verifiëren
U kunt valideren of de beveiligde communicatie tussen de onderdelen tot stand is gebracht. Navigeren naar OAMP-pagina > Apparaatbeheer > <beheerde server> > Statistieken
Er moeten toestanden worden weergegeven.
U kunt JConsole gebruiken om een verbinding tot stand te brengen als de beveiliging correct is ingesteld:
Stap 1. c:\Cisco\CVP\conf\orm_jmx.conf ziet er op OAMP uit:
javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = false
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.ormkeystore
javax.net.ssl.keyStorePassword=<local security password>
Stap 2. Open jconsole vanaf opdracht. Gebruik de opdracht:
C:\Cisco\CVP\jre\bin>jconsole.exe -J-Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore -J-Djavax.net.ssl.trustStorePassword=<oamp security password/jconsole client> -J-Djavax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore -J-Djavax.net.ssl.keyStorePassword=<oamp security password/jconsole> -J-Djavax.net.sl.keyStoreEKSEKS debug -J-Djavax.net.sl.trustStoreType=JCEKS
Sleutel in <beheerde server ip>:<secure jmx port eg:2099> in veld Remote Process.
Opmerking: JConsole moet zonder prompt verbinding maken om de beveiligde methode te omzeilen.
Stap 3. Wireshark terwijl de consoleverbinding wordt aangehaald. De opname geeft u inzicht in de details die tijdens de beveiligingshanddruk worden onderhandeld.
Sporen in JMX
De implementatie van JMX maakt gebruik van java.util.logging om te loggen debug sporen. Veel van deze sporen hebben betrekking op interne onbelichte klassen, maar ze kunnen u helpen begrijpen wat er met uw toepassing gebeurt.
De JMX implementatie heeft twee sets loggers:
javax.management.\*: alle loggers met betrekking tot de JMX APIjavax.management.remote.\*: loggers die specifiek betrekking hebben op de JMX Remote API
Je kunt hier een uitgebreidere beschrijving van JMX Loggers vinden.
U kunt de JMX sporen op twee verschillende manieren activeren:
- Statisch, met het gebruik van een logging.Properties bestand
- Dynamisch, met het gebruik van een JMXTracing MBean. In Java SE 6, kunt u dit voor een toepassing doen, zelfs als de JMX-connector niet is ingeschakeld op de opdrachtregel.
Gebruik een logboekbestand.eigenschappen
Start uw toepassing met deze vlaggen:
java -Djava.util.logging.config.file=<logging.properties> ....
waar logging.Properties sporen activeert voor JMX loggers:
handlers= java.util.logging.ConsoleHandler
.level=INFO
java.util.logging.FileHandler.pattern = %h/java%u.log
java.util.logging.FileHandler.limit = 50000
java.util.logging.FileHandler.count = 1
java.util.logging.FileHandler.formatter = java.util.logging.XMLFormatter
java.util.logging.ConsoleHandler.level = FINEST
java.util.logging.ConsoleHandler.formatter = java.util.logging.SimpleFormatter
// Use FINER or FINEST for javax.management.remote.level - FINEST is
// very verbose...
//
javax.management.level=FINEST
javax.management.remote.level=FINER
Feedback