CVP OAMP和CVP组件之间采用相互身份验证的安全JMX通信

下载选项

  • PDF     (395.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (121.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (96.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 10 月 4 日
文档 ID:216522

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何通过证书颁发机构(CA)签名证书保护Cisco Unified Contact Center Enterprise (UCCE)解决方案中客户语音门户(CVP)操作和管理控制台(OAMP)与CVP服务器和CVP报告服务器之间的Java管理扩展(JMX)通信。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • UCCE版本12.5(1)
    • 客户语音门户(CVP)版本12.5 (1)

    使用的组件

    本文档中的信息基于以下软件版本:

    • UCCE 12.5(1)
    • CVP 12.5(1)

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

    背景信息

    OAMP通过JMX协议与CVP呼叫服务器、CVP VXML服务器和CVP报告服务器通信。OAMP和这些CVP组件之间的安全通信可防止JMX安全漏洞。此安全通信是可选的,OAMP和CVP组件之间的常规操作不需要此通信。

    您可以通过以下方式保护JMX通信:

    • 在CVP服务器和CVP报告服务器中为Web服务管理器(WSM)生成证书签名请求(CSR)。
    • 在CVP服务器和CVP报告服务器中为WSM生成CSR客户端证书。
    • 为OAMP生成CSR客户端证书(将在OAMP上完成)。
    • 由证书颁发机构对证书签名。
    • 导入CVP服务器、CVP报告服务器和OAMP中的CA签名证书、根证书和中间证书。
    • [可选]保护JConsole登录OAMP。
    • Secure System CLI。

    为WSM生成CSR证书

    步骤1:登录到CVP服务器或报告服务器。从security.properties文件检索密钥库口令。

    注意:在命令提示符下,输入more %CVP_HOME%\conf\security.properties。Security.keystorePW = <返回密钥库密码>出现提示时输入密钥库密码。 

    第2步:导航到%CVP_HOME%\conf\security并删除WSM证书。使用此命令。


    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

    出现提示时,输入密钥库密码。


    第三步:对CVP服务器上的呼叫服务器(callserver_certificate)和VXML服务器证书(vxml_certificate)以及报告服务器上的呼叫服务器证书(callserver_certificate)重复步骤2。

    第四步:为WSM服务生成CA签名证书。使用以下命令:

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -v -keysize 2048 -keyalg RSA。

    1. 出现提示时输入详细信息,并键入Yes进行确认。
    2. 出现提示时,输入密钥库密码。

    注意:注意CN名称以供将来参考。

    第五步:为别名生成证书请求。运行此命令并将其保存到文件。例如,wsm.csr。

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.csr。

    1. 根据提示输入密钥库密码。

    第六步:获取CA签名的证书。按照以下步骤创建具有CA颁发机构的CA签名证书,并确保在CA生成签名证书时使用客户端-服务器证书身份验证模板。

    image

    步骤 7.下载签名证书、CA机构的根证书和中间证书。

    步骤 8将根、中间和CA签名的WSM证书复制到%CVP_HOME%\conf\security\

    步骤 9使用此命令导入根证书。

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cer>。

    1. 出现提示时,输入密钥库密码。
    2. 在Trust this certificate提示符下,键入Yes

    步骤 10使用此命令导入中间证书。

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias intermediate -file %CVP_HOME%\conf\security\<filename_of_intermediate_cer>。

    1. 出现提示时,输入密钥库密码。
    2. 在Trust this certificate提示符下,键入Yes

    步骤 11使用此命令导入CA签名的WSM证书。

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias wsm_certificate -file %CVP_HOME%\conf\security\<filename_of_your_signed_cert_from_CA>。

    1. 根据提示输入密钥库密码。

    步骤 12对于CVP服务器上的Call Server和VXML服务器证书以及报告服务器上的Call Server证书,重复步骤4至11(无需导入两次根证书和中间证书)。

    第13步在CVP服务器和CVP报告服务器中配置WSM。

    1. 导航至c:\cisco\cvp\conf\jmx_wsm.conf

    添加或更新文件(如图所示)并保存:

    javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 3000
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword=< keystore_password >
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore 
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS

    2. 运行regedit命令。

    Append this to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\WebServicesManager\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
    
    
      Djavax.net.ssl.trustStoreType=JCEKS

    步骤 14在CVP服务器和报告服务器中配置CVP Callserver的JMX。

    1. 导航至c:\cisco\cvp\conf\jmx_callserver.conf

    按如下所示更新文件并保存:

    com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2098
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 2097
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword = 
    
    
      javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore javax.net.ssl.trustStorePassword=< keystore_password > javax.net.ssl.trustStoreType=JCEKS

    步骤 15在CVP服务器中配置VXML服务器的JMX。

    1. 导航至c:\cisco\cvp\conf\jmx_vxml.conf

    按如下所示编辑并保存文件:

    com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 9696
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 9697
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword =

    2. 运行regedit命令。

    • Append theese to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\VXMLServer\Parameters\Java:



Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
      
      
        Djavax.net.ssl.trustStoreType=JCEKS

    3. 重新启动CVP服务器上的WSM服务、呼叫服务器和VXML服务器服务以及报告服务器上的WSM服务和呼叫服务器服务。

    注意:当通过JMX启用安全通信时,它会强制密钥库为%CVP_HOME%\conf\security\.keystore,而不是%CVP_HOME%\jre\lib\security\cacerts
    因此,必须将%CVP_HOME%\jre\lib\security\cacerts中的证书导入到%CVP_HOME%\conf\security\.keystore

    为WSM生成CA签名的客户端证书

    步骤1:登录到CVP服务器或报告服务器。从security.properties文件检索密钥库口令。

    注意:在命令提示符下,输入more %CVP_HOME%\conf\security.properties。Security.keystorePW = <返回密钥库密码>出现提示时输入密钥库密码。 

    第二步:导航到%CVP_HOME%\conf\security,然后使用此命令生成用于使用callserver进行客户端身份验证的CA签名证书。

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN of CVP Server or Reporting Server WSM certificate> -v -keysize 2048 -keyalg RSA

    1. 在提示符处输入详细信息,然后键入Yes进行确认。
    2. 根据提示输入密钥库密码。

    注意:别名与用于生成WSM服务器证书的CN相同。

    第三步:使用此命令生成别名的证书请求并将其保存到文件(例如,jmx_client.csr)。

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN of CVP Server or Reporting Server WSM certificate> -file %CVP_HOME%\conf\security\jmx_client.csr

    1. 根据提示输入密钥库密码。
    2. 使用以下命令验证是否成功生成CSR:dir jmx_client.csr

    第四步:在CA上签署JMX客户端证书。

    注意:请使用以下过程创建具有CA颁发机构的CA签名证书。下载CA签名的JMX客户端证书(不需要根证书和中间证书,因为它们之前已下载和导入)。

    1. 根据提示输入密钥库密码。
    2. 在“信任此证书”提示符下,键入Yes。

    第五步:将CA签名的JMX客户端证书复制到%CVP_HOME%\conf\security\

    第六步:使用此命令导入CA签名的JMX客户端证书。

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN of CVP Server or Reporting Server WSM certificate> -file %CVP_HOME%\conf\security\<CA签名的JMX客户端证书的文件名>

    1. 根据提示输入密钥库密码。

    步骤 7.重新启动Cisco CVP呼叫服务器、VXML服务器和WSM服务。

    步骤 8对报告服务器重复相同的步骤(如果已实施)。

    为OAMP生成CA签名的客户端证书(将在OAMP上完成)

    步骤1:登录到OAMP服务器。从security.properties文件检索密钥库口令。

    注意:在命令提示符下,输入more %CVP_HOME%\conf\security.properties。Security.keystorePW = <返回密钥库密码>出现提示时输入密钥库密码。 

    第二步:导航到%CVP_HOME%\conf\security,然后使用CVP服务器或CVP报告服务器WSM为客户端身份验证生成CA签名证书。使用此命令。

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CN of CVP Server or CVP Reporting Server WSM certificate> -v -keysize 2048 -keyalg RSA。

    1. 在提示符后输入详细信息,然后键入“是”进行确认。
    2. 根据提示输入密钥库密码。

    第三步:使用此命令生成别名的证书请求并将其保存到文件(例如,jmx.csr)。

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN of CVP Server or CVP Reporting Server WSM certificate> -file %CVP_HOME%\conf\security\jmx.csr。

    1. 根据提示输入密钥库密码。

    第四步:在CA上签署证书。

    注意:按照以下步骤使用CA机构创建CA签发的证书。下载CA颁发机构的证书和根证书。

    第五步:将根证书和CA签名的JMX客户端证书复制到%CVP_HOME%\conf\security\

    第六步:导入CA的根证书。使用此命令。

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cert>。

    1. 根据提示输入密钥库密码。
    2. 在“信任此证书”提示符下,键入Yes。

    步骤 7.导入CVP服务器和CVP报告服务器的CA签名JMX客户端证书。使用此命令。

    %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN of CVP Server or CVP Reporting Server WSM certificate> -file %CVP_HOME%\conf\security\<filename_of_your_signed_cert_from_CA>。

    1. 根据提示输入密钥库密码。

    步骤 8重新启动OAMP服务。

    步骤 9登录到OAMP。以启用OAMP与呼叫服务器、VXML服务器或报告服务器之间的安全通信。  导航到设备管理>呼叫服务器。选中Enable secure communication with the Ops console复选框。保存并部署呼叫服务器和VXML服务器。

    步骤 10运行regedit命令。

    导航到HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\OPSConsoleServer\Parameters\Java

    将此内容追加到文件中并保存。

    Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
    
    
      Djavax.net.ssl.trustStoreType=JCEKS

    :保护JMX的端口后,只有执行Oracle文档中列出的JConsole定义步骤后,才能访问JConsole。

    步骤 11重新启动OAMP服务。

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    21-Dec-2020
    初始版本
    TAC Authored

    由思科工程师提供

    • 拉米罗·阿马亚
      思科TAC工程师
    • 罗伯特·罗吉尔
      思科TAC工程师
    • 阿迪亚·乌杜帕
      思科工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品