在UCCE 12.6解决方案中交换自签名证书

简介

本文档介绍如何在Unified Contact Center Enterprise(UCCE)解决方案中交换自签名证书。

先决条件

要求

Cisco 建议您了解以下主题：

• UCCE版本12.6(2)
• 客户语音门户(CVP)版本12.6(2)
• 思科虚拟化语音浏览器(VVB)

使用的组件

本文档中的信息基于以下软件版本：

• UCCE 12.6(2)
• CVP 12.6(2)
• 思科VVB 12.6(2)
• CVP操作控制台(OAMP)
• CVP新OAMP(NOAMP)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

在UCCE解决方案中，新功能的配置涉及核心应用，例如路由程序、外围设备网关(PG)、管理工作站(AW)/管理数据服务器(ADS)、Finesse、Cisco Unified Intelligence Center(CUIC)等，通过联系中心企业版(CCE)管理页面完成。对于CVP、Cisco VVB和网关等交互式语音应答(IVR)应用，NOAMP控制新功能的配置。从CCE 12.5(1)，由于安全管理合规性(SRC)，所有与CCE管理员和NOAMP的通信都严格通过安全HTTP协议完成。

要在自签名证书环境中实现这些应用程序之间的无缝安全通信，必须在服务器之间交换证书。下一节详细介绍在以下内容之间交换自签名证书所需的步骤：

• CCE AW服务器和CCE核心应用服务器
• CVP OAMP服务器和CVP组件服务器

注：本文档仅适用于CCE版本12.6。有关其他版本的链接，请参阅相关信息部分。

步骤

CCE AW服务器和CCE核心应用服务器

这些是导出自签名证书的组件，以及需要将自签名证书导入其中的组件。

CCE AW服务器：此服务器需要来自以下位置的证书：

• Windows平台：路由器和记录器（记录器）{A/B}、外围网关(PG){A/B}和所有AW/ADS。

注：需要IIS和诊断框架门户(DFP)。

• VOS平台：Finesse、CUIC、实时数据(LD)、身份服务器(IDS)、Cloud Connect和其他适用服务器，属于资产数据库的一部分。适用于解决方案中的其他AW服务器。

路由器\记录器服务器：此服务器需要来自以下位置的证书：

• Windows平台：所有AW服务器IIS证书。

有效交换CCE自签名证书所需的步骤分为以下部分。

第1部分：路由器\记录器、PG和AW服务器之间的证书交换
第2部分：VOS平台应用和AW服务器之间的证书交换

第1部分：路由器\记录器、PG和AW服务器之间的证书交换

成功完成此交换所需的步骤如下：

步骤1:从路由器\记录器、PG和所有AW服务器导出IIS证书。
第二步：从路由器\记录器、PG和所有AW服务器导出DFP证书。
第三步：将IIS和DFP证书从Router\Logger、PG和AW导入AW服务器。

第 4 步：从AW服务器将IIS证书导入到Router\Logger和PG。

注意：开始之前，您必须备份密钥库并以管理员身份打开命令提示符。

(i)了解Java主路径以确保Java密钥工具位于何处。可通过几种方法查找java home路径。

    选项1: CLI命令: echo %CCE_JAVA_HOME%

    

   选项2：通过高级系统设置手动设置，如图所示

   

(ii)从文件夹<ICM install directory>ssl\备份cacerts文件。 您可以将其复制到其他位置。

步骤1:从路由器\记录器、PG和所有AW服务器导出IIS证书。

(i)在浏览器的AW服务器上，导航到服务器（Rogers、PG、其他AW服务器）url:https://{servername}。

(ii)将证书保存到临时文件夹。例如c:\temp\certs，并将证书命名为ICM{svr}[ab].cer。

注：选择Base-64 encoded X.509(.CER)选项。

第二步：从路由器\记录器、PG和所有AW服务器导出DFP证书。

(i)在AW服务器上，打开浏览器，然后导航至服务器（路由器、记录器或记录器、PG）DFP url:https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion。

(ii)将证书保存到文件夹示例c:\temp\certs，并将证书命名为dfp{svr}[ab].cer

注：选择Base-64 encoded X.509(.CER)选项。

第三步：将IIS和DFP证书从Router\Logger、PG和AW导入AW服务器。

命令将IIS自签名证书导入AW服务器。运行密钥工具的路径： %CCE_JAVA_HOME%\bin:

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\IIS{svr}[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts
Example:%CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\IISAWA.cer -alias AWA_IIS -keystore C:\icm\ssl\cacerts

注意：导入导出到所有AW服务器的所有服务器证书。

用于将DFP自签名证书导入AW服务器的命令：

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\dfp{svr}[ab].cer -alias {fqdn_of_server}_DFP -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\dfpAWA.cer -alias AWA_DFP -keystore C:\icm\ssl\cacerts

注意：导入导出到所有AW服务器的所有服务器证书。

在AW服务器上重新启动Apache Tomcat服务。

第四步：从AW服务器将IIS证书导入到Router\Logger和PG。

用于将AW IIS自签名证书导入路由器\记录器和PG服务器的命令：

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\IIS{svr}[ab].cer -alias {fqdn_of_server}_IIS -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file c:\temp\certs\IISAWA.cer -alias AWA_IIS -keystore C:\icm\ssl\cacerts

注意：导入导出到A端和B端的Rogger和PG服务器的所有AW IIS服务器证书。

在Router\Logger和PG服务器上重新启动Apache Tomcat服务。

第2部分：VOS平台应用程序和AW服务器之间的证书交换

成功完成此交换所需的步骤如下：

步骤1:导出VOS平台应用服务器证书。
第二步：将VOS平台应用证书导入AW服务器。

此过程适用于VOS应用，例如：

• Finesse
• CUIC \ LD \ IDS
• 云连接

步骤1:导出VOS平台应用服务器证书。

(i)导航至Cisco Unified Communications Operating System Administration页面：https://FQDN:8443/cmplatform。

(ii)导航到Security > Certificate Management，并在tomcat-trust文件夹中查找应用程序主服务器证书。

(iii)选择证书，然后单击download .PEM文件，将其保存在AW服务器上的临时文件夹中。

注意：对用户执行相同的步骤。

第二步：将VOS平台应用导入AW服务器。

运行密钥工具的路径： %CCE_JAVA_HOME%\bin

用于导入自签名证书的命令：

%CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\vosapplicationX.pem -alias {fqdn_of_VOS} -keystore {ICM install directory}\ssl\cacerts
Example: %CCE_JAVA_HOME%\bin\keytool.exe -import -file C:\Temp\certs\CUICPub.pem -alias CUICPub -keystore C:\icm\ssl\cacerts

在AW服务器上重新启动Apache Tomcat服务。

注意：在其他AW服务器上执行相同的任务。

CVP OAMP服务器和CVP组件服务器

这些是导出自签名证书的组件和需要将自签名证书导入其中的组件。

(i)CVP OAMP服务器：此服务器需要来自

• Windows平台：来自CVP服务器和报告服务器的Web服务管理器(WSM)证书。
• VOS平台：Cisco VVB和云连接服务器。

(ii)CVP服务器：此服务器需要来自

• Windows平台：OAMP服务器的WSM证书。
• VOS平台：云连接服务器和Cisco VVB服务器。

(iii)CVP报告服务器：此服务器需要来自

• Windows平台：来自OAMP服务器的WSM证书

(iv)Cisco VVB服务器：此服务器需要

• Windows平台：CVP服务器的VXML证书和CVP服务器的Callserver证书
• VOS平台：云连接服务器

以下三部分说明了在CVP环境中有效交换自签名证书所需的步骤。

第1部分：CVP OAMP服务器与CVP服务器及报告服务器之间的证书交换
第2部分：CVP OAMP服务器和VOS平台应用之间的证书交换
第3部分：CVP服务器和VOS平台应用之间的证书交换

第1部分：CVP OAMP服务器与CVP服务器及报告服务器之间的证书交换

成功完成此交换所需的步骤如下：

步骤1:从CVP服务器、报告和OAMP服务器导出WSM证书。
第二步：将WSM证书从CVP服务器和报告服务器导入OAMP服务器。
第三步：将CVP OAMP服务器WSM证书导入CVP服务器和报告服务器。

注意：开始之前，必须执行以下操作：
1.以管理员身份打开命令窗口。
2.对于12.6.2，要标识密钥库密码，请转到%CVP_HOME%\bin文件夹并运行DecryptKeystoreUtil.bat文件。
3.对于12.6.1，要标识密钥库密码，请运行命令，more %CVP_HOME%\conf\security.properties。
4.运行keytool命令时需要此密码。
5.从%CVP_HOME%\conf\security\目录运行命令copy .keystore backup.keystore。

步骤1:从CVP服务器、报告和OAMP服务器导出WSM证书。

(i)将WSM证书从每个CVP服务器导出到临时位置，并使用所需的名称重命名证书。您可以将其重命名为wsmX.crt。将X替换为服务器的主机名。例如，wsmcsa.crt、wsmcsb.crt、wsmrepa.crt、wsmrepb.crt、wsmoamp.crt。

用于导出自签名证书的命令：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt

(ii)从每台服务器的路径%CVP_HOME%\conf\security\wsm.crt复制证书，并根据服务器类型将其重命名为wsmX.crt。

第二步：将WSM证书从CVP服务器和报告服务器导入OAMP服务器。

(i)将每个CVP服务器和报告服务器WSM证书(wsmX.crt)复制到OAMP服务器上的%CVP_HOME%\conf\security目录。

(ii)使用以下命令导入这些证书：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmcsX.crt

(iii)重新启动服务器。

第三步：将CVP OAMP服务器WSM证书导入CVP服务器和报告服务器。

(i)将OAMP服务器WSM证书(wsmoampX.crt)复制到所有CVP服务器和报告服务器上的%CVP_HOME%\conf\security目录。

(ii)使用以下命令导入证书：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_cvp}_wsm -file %CVP_HOME%\conf\security\wsmoampX.crt

(iii)重新启动服务器。

第2部分：CVP OAMP服务器和VOS平台应用之间的证书交换

成功完成此交换所需的步骤如下：

步骤1:从VOS平台导出应用证书。

第二步：将VOS应用证书导入OAMP服务器。

此过程适用于VOS应用，例如：

• CUCM
• VVB
• 云连接

步骤1:从VOS平台导出应用证书。

(i)导航至Cisco Unified Communications Operating System Administration页面：https://FQDN:8443/cmplatform。

(ii)导航到Security > Certificate Management，并在tomcat-trust文件夹中查找应用程序主服务器证书。

(iii)选择证书，然后单击download .PEM文件，将其保存在OAMP服务器上的临时文件夹中。

第二步：将VOS应用证书导入OAMP服务器。

(i)将VOS证书复制到OAMP服务器上的%CVP_HOME%\conf\security目录。

(ii)使用以下命令导入证书：

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -alias {fqdn_of_VOS} -file %CVP_HOME%\conf\security\VOS.pem

(ii)重新启动服务器。

第3部分：CVP服务器和VOS平台应用之间的证书交换

这是确保CVP与其他联系中心组件之间进行SIP通信的安全的可选步骤。有关详细信息，请参阅《CVP配置指南：CVP配置指南 — 安全》。

CVP CallStudio Web服务集成

有关如何为Web服务元素和Rest_Client元素建立安全通信的详细信息

请参阅Cisco Unified CVP VXML服务器和Cisco Unified Call Studio版本12.6(2)- Web服务集成[Cisco Unified Customer Voice Portal] - Cisco

相关信息

• CVP配置指南 — 安全
• UCCE安全指南
• PCCE管理指南
• 交换PCCE自签名证书 — PCCE 12.5
• Exchange UCCE自签名证书 — UCCE 12.5
• 交换PCCE自签名证书 — PCCE 12.6
• 实施CA签名证书 — CCE 12.6
• 使用联系中心上传工具交换证书
• 技术支持和文档 - Cisco Systems