CVP OAMP和CVP元件之間採用相互身份驗證的安全JMX通訊
簡介
本文檔介紹如何透過證書頒發機構(CA)簽名證書在Cisco Unified Contact Center Enterprise (UCCE)解決方案中的Customer Voice Portal (CVP)操作和管理控制檯(OAMP)與CVP伺服器和CVP報告伺服器之間保護Java Management Extensions (JMX)通訊。
必要條件
需求
思科建議您瞭解以下主題:
- UCCE版本12.5(1)
- 客戶語音入口網站(CVP)版本12.5 (1)
採用元件
本檔案中的資訊是根據以下軟體版本:
- UCCE 12.5(1)
- CVP 12.5(1)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
背景資訊
OAMP透過JMX協定與CVP Call Server、CVP VXML Server和CVP Reporting Server通訊。OAMP和這些CVP元件之間的安全通訊可防止JMX安全漏洞。這種安全通訊是可選的,OAMP和CVP元件之間的正常操作不需要這種通訊。
您可以透過以下方式保護JMX通訊:
- 在CVP伺服器和CVP報表伺服器中產生Web服務管理員(WSM)的憑證簽署請求(CSR)。
- 在CVP伺服器和CVP報告伺服器中為WSM生成CSR客戶端證書。
- 為OAMP生成CSR客戶端證書(將在OAMP上完成)。
- 由憑證授權單位簽署憑證。
- 在CVP伺服器、CVP報告伺服器和OAMP中導入CA簽名證書、根證書和中級證書。
- [可選]保護JConsole登入OAMP。
- Secure System CLI。
為WSM生成CSR證書
步驟 1.登入到CVP伺服器或報告伺服器。從security.properties檔案檢索金鑰庫密碼。
步驟2.導航到%CVP_HOME%\conf\security並刪除WSM證書。使用此命令。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate。
出現提示時,輸入金鑰庫密碼。
步驟 3.對CVP伺服器上的呼叫伺服器(callserver_certificate)和VXML伺服器證書(vxml_certificate)以及報告伺服器上的呼叫伺服器證書(callserver_certificate)重複步驟2。
步驟 4.為WSM服務生成CA簽名的證書。使用以下命令:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -v -keysize 2048 -keyalg RSA。
- 在出現提示時輸入詳細資訊,並鍵入Yes進行確認。
- 出現提示時,輸入金鑰庫密碼。
步驟 5.產生別名的憑證要求。運行此命令並將其儲存到檔案。例如,wsm.csr。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.csr。
1. 出現提示時,輸入金鑰庫密碼。
步驟 6.獲取CA簽署的證書。請使用以下步驟建立具有CA頒發機構的CA簽名證書,並確保在CA生成簽名證書時使用客戶端-伺服器證書身份驗證模板。
步驟 7.下載已簽署的憑證、CA授權機構的根憑證和中間憑證。
步驟 8.將根、中間和CA簽名的WSM證書複製到%CVP_HOME%\conf\security\。
步驟 9.使用此命令導入根證書。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cer>。
- 出現提示時,輸入金鑰庫密碼。
- 在Trust this certificate提示符處,鍵入Yes。
步驟 10.使用此命令導入中間證書。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias intermediate -file %CVP_HOME%\conf\security\<filename_of_intermediate_cer>。
- 出現提示時,輸入金鑰庫密碼。
- 在Trust this certificate提示符處,鍵入Yes。
步驟 11.使用此命令導入CA簽名的WSM證書。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias wsm_certificate -file %CVP_HOME%\conf\security\<filename_of_your_signed_cert_from_CA>。
1. 出現提示時,輸入金鑰庫密碼。
步驟 12.對於CVP伺服器上的Call Server和VXML伺服器證書以及報告伺服器上的Call Server證書,重複步驟4到11(無需導入兩次根和中間證書)。
第13步在CVP伺服器和CVP報告伺服器中配置WSM。
1. 導航至c:\cisco\cvp\conf\jmx_wsm.conf。
新增或更新檔案(如圖所示)並儲存:
javax.net.debug = all
com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2099
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 3000
javax.net.ssl.keyStore=C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword=< keystore_password >
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.trustStorePassword=< keystore_password >
javax.net.ssl.trustStoreType=JCEKS2. 執行regedit指令。
Append this to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\WebServicesManager\Parameters\Java:
Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
Djavax.net.ssl.trustStoreType=JCEKS
步驟 14.在CVP伺服器和報表伺服器中配置CVP Callserver的JMX。
1. 導航至c:\cisco\cvp\conf\jmx_callserver.conf。
更新檔案並儲存:
com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 2098
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 2097
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword =
javax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore javax.net.ssl.trustStorePassword=< keystore_password > javax.net.ssl.trustStoreType=JCEKS
步驟 15.在CVP伺服器中配置VXML伺服器的JMX。
1. 導航至c:\cisco\cvp\conf\jmx_vxml.conf。
按所示編輯檔案並儲存:
com.sun.management.jmxremote.ssl.need.client.auth = true
com.sun.management.jmxremote.authenticate = false
com.sun.management.jmxremote.port = 9696
com.sun.management.jmxremote.ssl = true
com.sun.management.jmxremote.rmi.port = 9697
javax.net.ssl.keyStore = C:\Cisco\CVP\conf\security\.keystore
javax.net.ssl.keyStorePassword =
2. 執行regedit指令。
Append theese to the file at HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\VXMLServer\Parameters\Java: Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore Djavax.net.ssl.trustStorePassword=Djavax.net.ssl.trustStoreType=JCEKS
3. 重新啟動CVP伺服器上的WSM服務、呼叫伺服器和VXML伺服器服務,以及報表伺服器上的WSM服務和呼叫伺服器服務。
為WSM生成CA簽名的客戶端證書
步驟 1.登入到CVP伺服器或報告伺服器。從security.properties檔案檢索金鑰庫密碼。
步驟 2.導航到%CVP_HOME%\conf\security並使用此命令為callserver的客戶端身份驗證生成CA簽名的證書。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CVP伺服器或報告伺服器WSM證書的CN> -v -keysize 2048 -keyalg RSA
1. 在出現提示時輸入詳細資訊,然後鍵入Yes進行確認。
2. 出現提示時,輸入金鑰庫密碼。
步驟 3.使用此命令生成別名的證書請求並將其儲存到檔案(例如,jmx_client.csr)。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN of CVP Server or Reporting Server WSM certificate> -file %CVP_HOME%\conf\security\jmx_client.csr
1. 出現提示時,輸入金鑰庫密碼。
2. 使用命令dir jmx_client.csr驗證是否成功生成CSR。
步驟 4.在CA上簽署JMX客戶端證書。
1. 出現提示時,輸入金鑰庫密碼。
2. 在「信任此憑證」提示字元中,輸入「是」。
步驟 5.將CA簽名的JMX客戶端證書複製到%CVP_HOME%\conf\security\。
步驟 6.使用此命令導入CA簽名的JMX客戶端證書。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CVP伺服器或報告伺服器WSM證書的CN> -file %CVP_HOME%\conf\security\<CA簽名的JMX客戶端證書的檔名>
1. 出現提示時,輸入金鑰庫密碼。
步驟 7.重新啟動Cisco CVP呼叫伺服器、VXML伺服器和WSM服務。
步驟 8.若已實作,請對「報表伺服器」重複相同程式。
為OAMP生成CA簽名的客戶端證書(將在OAMP上完成)
步驟 1.登入OAMP伺服器。從security.properties檔案檢索金鑰庫密碼。
步驟 2.導航到%CVP_HOME%\conf\security,然後使用CVP伺服器或CVP報告伺服器WSM為客戶端身份驗證生成CA簽名證書。使用此命令。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias <CVP伺服器或CVP報告伺服器WSM證書的CN> -v -keysize 2048 -keyalg RSA。
1. 在提示時輸入明細,並鍵入「是」進行確認。
2. 出現提示時,輸入金鑰庫密碼。
步驟 3.使用此命令生成別名的證書請求並將其儲存到檔案(例如,jmx.csr)。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -certreq -alias <CN of CVP Server或CVP Reporting Server WSM certificate> -file %CVP_HOME%\conf\security\jmx.csr。
1. 出現提示時,輸入金鑰庫密碼。
步驟 4.在CA上簽署憑證。
步驟 5.將根證書和CA簽名的JMX客戶端證書複製到%CVP_HOME%\conf\security\。
步驟 6.導入CA的根證書。使用此命令。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\<filename_of_root_cert>。
1. 出現提示時,輸入金鑰庫密碼。
2. 在「信任此憑證」提示字元中,輸入「是」。
步驟 7.導入CVP伺服器和CVP報告伺服器的CA簽名的JMX客戶端證書。使用此命令。
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias <CN of CVP Server或CVP Reporting Server WSM certificate> -file %CVP_HOME%\conf\security\<filename_of_your_signed_cert_from_CA>。
1. 出現提示時,輸入金鑰庫密碼。
步驟 8.重新啟動OAMP服務。
步驟 9.登入OAMP。以啟用OAMP與呼叫伺服器、VXML伺服器或報表伺服器之間的安全通訊。 導航到裝置管理>呼叫伺服器。選中Enable secure communication with the Ops console覈取方塊。儲存並部署呼叫伺服器和VXML伺服器。
步驟 10.運行regedit命令。
導航至HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2.0\OPSConsoleServer\Parameters\Java。
將此檔案附加到檔案並儲存。
Djavax.net.ssl.trustStore=C:\Cisco\CVP\conf\security\.keystore
Djavax.net.ssl.trustStorePassword=
Djavax.net.ssl.trustStoreType=JCEKS
步驟 11.重新啟動OAMP服務。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
21-Dec-2020 |
初始版本 |
意見