简介
本文档介绍将SHA256与CVP配合使用的过程。
先决条件
要求
Cisco 建议您了解以下主题:
使用的组件
本文档中的信息基于CVP 10.5。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
从2016年1月开始,所有浏览器都拒绝了SHA1签名证书。除非您从SHA1移动到SHA256,否则无法正确提供请求的服务。
随着计算算法的发展以及爆炸计算能力的提高,SHA1逐渐变弱。这导致SHA1的基本性能退化碰撞抵抗并最终终止。
配置
CVP操作控制台(OAMP)之间的证书交换过程:
在OAMP上
步骤1.导出OAMP证书。
c:\Cisco\CVP\jre\bin\keytool.exe -export -v -keystore .keystore -storetype JCEKS -alias oamp_certificate -file oamp_security_76.cer
步骤2.将OAMP证书复制到Callserver并导入。
c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias orm_oamp_certificate -file oamp_security_76.cer
呼叫服务器
步骤1.导出CALLSERVER证书。
c:\Cisco\CVP\jre\bin\keytool.exe -export -v -keystore .ormkeystore -storetype JCEKS -alias orm_certificate -file orm_security_108.cer
步骤2.将CALLSERVER CERT复制到OAMP并导入。
c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias oamp_orm_certificate -file orm_security_108.cer
步骤3.导出呼叫服务器密钥库中的形式证书。
C:\Cisco\CVP\conf\security>c:\Cisco\CVP\jre\bin\keytool.exe -import -trustcacerts -keystore .keystore -storetype JCEKS -alias vxml_orm_certificate -file orm_security_108.cer
验证
您可以验证组件之间是否已建立安全通信。导航到OAMP页面>设备管理> <托管服务器> >统计信息
必须显示统计信息。
如果安全设置正确,您可以使用JConsole建立连接:
第1步:OAMP上的c:\Cisco\CVP\conf\orm_jmx.conf如下所示:
javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = false
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.ormkeystore
javax.net.ssl.keyStorePassword=<local security password>
步骤2.从命令打开jconsole。 使用下列命令:
C:\Cisco\CVP\jre\bin>jconsole.exe -J-Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore -J-Djavax.net.ssl.trustStorePassword=<oamp security password/jconsole client> -J-Djavax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore -J-Djavax.net.ssl.keyStorePassword=<oamp security password/jconsole client> -J-Djavax.net.ssl.keyStoreType=JCEKS -DEBUG -Type J-DJAVAX.NET.SSL.TRUSTStoreType=JCEKS
Remote Process字段中<managed server ip>:<secure jmx port eg:2099>中的密钥。
注意:JConsole必须在不提示的情况下进行连接,应用程序才能绕过安全方法。
步骤3.调用jconsole连接时执行Wireshark。通过捕获,您可以深入了解在安全握手时协商的详细信息。
JMX中的跟踪
JMX的实施使用java.util.logging来记录调试跟踪。这些跟踪中有许多涉及内部未暴露的类,但它们可帮助您了解应用程序的情况。
JMX实施包含两组记录器:
javax.management.\*:与JMX API相关的所有记录器javax.management.remote.\*:与JMX远程API具体相关的记录器
您可以在此处找到有关JMX记录器的更完整的描述。
您可以通过两种不同方式激活JMX跟踪:
- 使用logging.properties文件以静态方式进行
- 使用JMXTracing MBean动态执行。在Java SE 6中,即使命令行中未启用JMX连接器,也可以对应用程序执行此操作。
使用logging.properties文件
使用以下标志启动应用程序:
java -Djava.util.logging.config.file=<logging.properties> ....
其中logging.properties为JMX记录器激活跟踪:
handlers= java.util.logging.ConsoleHandler
.level=INFO
java.util.logging.FileHandler.pattern = %h/java%u.log
java.util.logging.FileHandler.limit = 50000
java.util.logging.FileHandler.count = 1
java.util.logging.FileHandler.formatter = java.util.logging.XMLFormatter
java.util.logging.ConsoleHandler.level = FINEST
java.util.logging.ConsoleHandler.formatter = java.util.logging.SimpleFormatter
// Use FINER or FINEST for javax.management.remote.level - FINEST is
// very verbose...
//
javax.management.level=FINEST
javax.management.remote.level=FINER
反馈