تبادل الشهادات الموقعة ذاتيا في حل PCCE

المقدمة

يوضح هذا المستند كيفية تبادل الشهادات الموقعة ذاتيا بين خادم الإدارة الرئيسي (ADS/AW) وخادم التطبيق الآخر في حل Cisco Packaged Contact Center Enterprise (PCCE).

تمت المساهمة من قبل أنوج بهاتيا، وروبرت روجير و راميرو أمايا، مهندسي TAC من Cisco.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• PCCE الإصدار 12.5(1)
• Customer Voice Portal (CVP)، الإصدار 12.5(1)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

• PCCE، الإصدار 12.5(1)
• CVP، الإصدار 12.5(1)

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الخلفية

في حل PCCE من 12.x يتم التحكم في جميع الأجهزة عبر جزء زجاجي واحد (SPOG) تتم إستضافته في خادم AW الرئيسي. نظرا للتوافق مع إدارة الأمان (SRC) في الإصدار 12.5(1) من PCCE، يتم إجراء جميع الاتصالات بين SPOG والخوادم الأخرى في الحل بشكل صارم عبر بروتوكول HTTP الآمن.

تستخدم الشهادات للحصول على اتصال آمن وسلس بين SPOG والأجهزة الأخرى. في بيئة الشهادة الموقعة ذاتيا، يصبح تبادل الشهادات بين الخوادم أمرا حتميا. يعد تبادل الشهادات هذا ضروريا أيضا لتمكين الميزات الجديدة الموجودة في إصدار 12.5(1) مثل الترخيص الذكي وإدارة تجربة WebEx (WXM) والمساعد الظاهري للعملاء (CVA).

الإجراء

تلك هي المكونات التي منها يتم تصدير التراخيص ذاتية التوقيع والمكونات التي يجب أن يتم إستيراد التراخيص ذاتية التوقيع إليها.

(i) خادم AW الرئيسي: يحتاج هذا الخادم إلى شهادة من:

• النظام الأساسي ل Windows:
  • ICM: الموجه والمسجل (المسجل){a/b}، عبارة الأجهزة الطرفية (PG){a/b}، جميع الإعلانات وخوادم البريد الإلكتروني والدردشة (ECE).
    • ملاحظة: يلزم الحصول على شهادات IIS وشهادات إطار العمل التشخيصي.
  • CVP: خوادم CVP، خادم تقارير CVP.
    • ملاحظة 1: يلزم الحصول على شهادة إدارة خدمة الويب (WSM) من الخوادم.
    • ملاحظة 2: يجب أن تحتوي الشهادات على اسم مجال مؤهل بالكامل (FQDN).
• النظام الأساسي vos: Cloud Connect، Cisco Virtual Voice Browser (VVB)، Cisco Unified Call Manager (CUCM)، Finesse، Cisco Unified Intelligent Center (CUIC)، Live Data (LD)، Identity Server (IDS) وخوادم قابلة للتطبيق أخرى.  

وينطبق نفس الشيء على خوادم AD الأخرى في الحل.

'2' الموجه \ Logger Server: يتطلب هذا الخادم شهادة من: 

• النظام الأساسي ل Windows: شهادة IIS لجميع خوادم AD.

(iii) CUCM PG Server: يتطلب هذا الخادم شهادة من: 

• النظام الأساسي VOS: برنامج ناشر ل CUCM.
  • ملاحظة: يلزم هذا لتنزيل عميل JTAPI من خادم CUCM.

'4' خادم CVP: يتطلب هذا الخادم شهادة من 

• النظام الأساسي ل Windows: شهادة IIS لجميع خوادم AD
• النظام الأساسي VOS: خادم Cloud Connect لتكامل WXM وخادم VVB لتأمين اتصال SIP و HTTP. 

(v) خادم تقارير CVP: يتطلب هذا الخادم شهادة من: 

• النظام الأساسي ل Windows: شهادة IIS لجميع خوادم AD

'6' خادم VB: يتطلب هذا الخادم شهادة من: 

• النظام الأساسي ل Windows: CVP VXML Server (Secure HTTP)، CVP Call Server (Secure SIP)

تنقسم الخطوات اللازمة لتبادل الشهادات الموقعة ذاتيا بشكل فعال في الحل إلى ثلاثة أقسام.

القسم 1: تبادل الشهادات بين خوادم CVP وخوادم ADS.

القسم 2: تبادل الشهادات بين تطبيقات النظام الأساسي VOS وخادم ADS.

القسم 3: تبادل الشهادات بين المشغلات، وخادم PG و ADS.

القسم 1: تبادل الشهادات بين خوادم CVP و ADS

الخطوات اللازمة لإكمال هذا التبادل بنجاح هي:

الخطوة 1. تصدير شهادات CVP Server WSM.

الخطوة 2. إستيراد شهادة CVP Server WSM إلى خادم ADS.

الخطوة 3. تصدير شهادة خادم الإعلانات.

الخطوة 4. إستيراد خادم AD إلى خوادم CVP وخادم تقارير CVP.

الخطوة 1. تصدير شهادات خادم CVP

قبل تصدير الشهادات من خوادم CVP، تحتاج إلى إعادة إنشاء الشهادات باستخدام FQDN الخاص بالخادم، وإلا، فإن الميزات القليلة مثل الترخيص الذكي و CVA ومزامنة CVP باستخدام SPOG يمكن أن تواجه مشكلات.

تحذير: قبل البدء، يجب القيام بما يلي:

• احصل على كلمة مرور مخزن المفاتيح. شغل هذا أمر:
  المزيد ٪CVP_HOME٪\conf\security.properties
• انسخ مجلد ٪CVP_HOME٪\conf\security إلى مجلد آخر.
• افتح نافذة الأوامر كمسؤول لتشغيل الأوامر.

ملاحظة: يمكنك تسهيل الأوامر المستخدمة في هذا المستند باستخدام معلمة الأداة المفتاحية -storepass. لكل خوادم CVP، تقوم بلصق كلمة المرور التي تم الحصول عليها من ملف security.properties المحدد. بالنسبة لخادمات AD، تكتب كلمة المرور: تغيير

لإعادة إنشاء الشهادة على خوادم CVP، اتبع الخطوات التالية:

(i) سرد الشهادات الموجودة في الخادم

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -list 

ملاحظة: تحتوي خوادم CVP على هذه الشهادات الموقعة ذاتيا: wsm_certificate و vxml_certificate و callServer_certificate. إذا كنت تستخدم المعلمة -v الخاصة بأداة المفاتيح، يمكنك رؤية معلومات أكثر تفصيلا لكل شهادة. بالإضافة إلى أنه يمكنك إضافة الرمز ">" في نهاية أمر قائمة المفاتيح tool.exe لإرسال المخرجات إلى ملف نص، على سبيل المثال: > إختبار.txt

'2` حذف الشهادات القديمة الموقعة ذاتيا

خوادم CVP: أمر لحذف الشهادات الموقعة ذاتيا:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias vxml_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate

خوادم تقارير CVP: أمر لحذف الشهادات الموقعة ذاتيا:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate

ملاحظة: تحتوي خوادم تقارير CVP على هذه الشهادات الموقعة ذاتيا wsm_certificate، callServer_certificate.

(iii) إنشاء الشهادات الجديدة الموقعة ذاتيا باستخدام FQDN الخاص بالخادم

خوادم CVP

أمر لإنشاء شهادة موقعة ذاتيا ل WSM:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

حدد FQDN الخاص بالخادم، عند السؤال ما هو اسم العائلة والقبضة؟

أكمل الأسئلة الأخرى التالية:

ما اسم الوحدة التنظيمية؟

 [غير معروف]: <تحديد OU>

ما هو اسم مؤسستك؟

 [غير معروف]: <تعيين اسم المؤسسة>

ما هو اسم مدينتك أو منطقتك؟

 [غير معروف]: <حدد اسم المدينة/المنطقة>

ما هو اسم دولتك أو محافظتك؟

 [غير معروف]: <حدد اسم الولاية/المقاطعة>

ما هو كود البلد ذو الحرفين لهذه الوحدة؟

 [غير معروف]: <تحديد رمز البلد ذي الحرفين>

حدد نعم للمدخلين التاليين.

أنجزت ال نفسه steps ل vxml_certificate و callServer_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

أعد تشغيل خادم مكالمات CVP.

خوادم تقارير CVP

أمر لإنشاء الشهادات الموقعة ذاتيا ل WSM:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX

حدد FQDN الخاص بالخادم للاستعلام ما هو اسمك الأول واسم العائلة؟ واتبع الخطوات نفسها كما تم مع خوادم CVP.

قم بإجراء نفس الخطوات ل callServer_certificate:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

أعد تشغيل خوادم التقارير.

ملاحظة: بشكل افتراضي، يتم إنشاء الشهادات الموقعة ذاتيا لمدة عامين. أستخدم -HXXX الخاص بالصحة لتعيين تاريخ انتهاء الصلاحية عند إعادة إنشاء الشهادات، وإلا فإن الشهادات تكون صالحة لمدة 90 يوما. بالنسبة لمعظم هذه الشهادات، يجب أن تكون فترة 3-5 سنوات فترة تحقق معقولة.

فيما يلي بعض مدخلات الصحة القياسية:

سنة واحدة	365
سنتان	730
ثلاث سنوات	1095
أربع سنوات	1460
خمس سنوات	1895
عشر سنوات	3650

تحذير: في 12.5 شهادة يجب أن تكون SHA 256، حجم المفتاح 2048، وخوارزمية التشفير RSA، أستخدم هذه المعلمات لتعيين هذه القيم: -keyalg rsa و -keysize 2048. من المهم أن تتضمن أوامر مخزن مفاتيح CVP المعلمة -storettype jceks. إذا لم يتم القيام بذلك، يمكن أن تصبح الشهادة أو المفتاح أو أسوأ من ذلك مخزن المفاتيح تالفة.

'4' تصدير wsm_certificate من خوادم CVP وخوادم التقارير

أ) تصدير شهادة WSM من كل خادم CVP إلى موقع مؤقت، وإعادة تسمية الشهادة باسم مطلوب. يمكنك إعادة تسميته على أنه wsmcsX.crt. استبدل "X" برقم أو حرف فريد. وهو wsmcsa.crt، wsmcsb.crt.

أمر لتصدير الشهادات الموقعة ذاتيا:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt

ب) انسخ الشهادة من المسار C:\Cisco\CVP\conf\security\wsm.crt، ثم أعد تسميتها إلى wsmcsX.crt وانقلها إلى مجلد مؤقت على خادم ADS.

الخطوة 2. إستيراد شهادة WSM لخوادم CVP إلى خادم ADS

لإدراج الترخيص في خادم AD يجب إستخدام أداة المفاتيح التي هي جزء من مجموعة أدوات جافا. هناك طريقتان للعثور على مسار الصفحة الرئيسية لجافا حيث يتم إستضافة هذه الأداة.

(i) أمر واجهة سطر الأوامر > echo ٪JAVA_HOME٪

'2' يدويا عبر النظام المتقدم، كما هو موضح في الصورة.

على PCCE 12.5 المسار الافتراضي هو C:\Program ملفات (x86)\Java\jre1.8.0_221\bin

أمر لاستيراد الشهادات الموقعة ذاتيا:

keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts"  -import -storepass changeit -alias {fqdn_of_cvp} -file c:\temp\certs\wsmcsX.crt

ملاحظة: كرر الأوامر لكل CVP في النشر وقم بتنفيذ نفس المهمة على خوادم AD الأخرى

د) إعادة تشغيل خدمة Apache Tomcat على خوادم ADS.

الخطوة 3. تصدير شهادة خادم الإعلانات

بالنسبة لخادم تقارير CVP، يجب عليك تصدير شهادة ADS واستيرادها إلى خادم التقارير. فيما يلي الخطوات:

(i) على خادم ADS من متصفح، انتقل إلى عنوان URL الخاص بالخادم: https://{servername}

'2' حفظ الشهادة في مجلد مؤقت، على سبيل المثال: c:\temp\certs وتسمية الشهادة ك ADS{svr}[ab].cer

ملاحظة: حدد الخيار BASE-64 المرمز X.509 (.CER).

الخطوة 4. إستيراد خادم ADS إلى خوادم CVP وخادم التقارير

(i) انسخ الشهادة إلى خوادم CVP وخادم تقارير CVP في الدليل C:\Cisco\CVP\conf\security.

'2` إستيراد الشهادة إلى خوادم CVP وخادم تقارير CVP.

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias {fqdn_of_ads} -file %CVP_HOME%\conf\security\ICM{svr}[ab].cer

قم بتنفيذ الخطوات نفسها لخوادم AD الأخرى.

'3` إعادة تشغيل خوادم CVP وخادم التقارير

القسم 2: تبادل الشهادات بين تطبيقات النظام الأساسي VOS وخادم ADS

الخطوات اللازمة لإكمال هذا التبادل بنجاح هي:

الخطوة 1. تصدير شهادات خادم تطبيق النظام الأساسي VOS.

الخطوة 2. إستيراد شهادات تطبيق النظام الأساسي VOS إلى خادم ADS.

تنطبق هذه العملية على جميع تطبيقات VOS مثل:

• CUCM
• VVB
• براعة
• CUIC \ LD \ IDS
• اتصال السحابة

الخطوة 1. تصدير شهادات خادم تطبيق النظام الأساسي VOS.

(i) انتقل إلى صفحة إدارة نظام تشغيل الاتصالات الموحدة من Cisco: https://FQDN:8443/cmplatform

(ii) انتقل إلى التأمين > إدارة الشهادات والعثور على شهادات الخادم الأساسي للتطبيق في مجلد التوثيق.

(iii) حدد الشهادة وانقر فوق تنزيل ملف .PEM لحفظه في مجلد مؤقت على خادم ADS.

ملاحظة: قم بتنفيذ الخطوات نفسها للمشترك.

الخطوة 2. إستيراد تطبيق النظام الأساسي VOS إلى خادم ADS

المسار لتشغيل أداة المفتاح: C:\Program ملفات (x86)\Java\jre1.8.0_221\bin

أمر لاستيراد الشهادات الموقعة ذاتيا:

keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts"  -import -storepass changeit -alias {fqdn_of_vos}  -file c:\temp\certs\vosapplicationX.cer

أعد تشغيل خدمة Apache Tomcat على خوادم ADS.

ملاحظة: تنفيذ نفس المهمة على خوادم AD الأخرى

القسم 3: تبادل الشهادات بين أجهزة الدفع و PG وخوادم AD

الخطوات اللازمة لإكمال هذا التبادل بنجاح هي:

الخطوة 1: تصدير شهادة IIS من خوادم Rogger و PG

الخطوة 2: تصدير شهادة Portico لإطار عمل التشخيص (DFP) من خوادم Rogger و PG

الخطوة 3: إستيراد الشهادات إلى خوادم AD

الخطوة 1. تصدير شهادة IIS من Rogger و PG server

(i) على خادم ADS من متصفح، انتقل إلى عنوان URL الخاص بالخوادم (Roggers ، PG): https://{servername}

(ii)حفظ الشهادة في مجلد مؤقت، على سبيل المثال c:\temp\certs وتسمية الشهادة ك ICM{svr}[ab].cer

ملاحظة: حدد الخيار BASE-64 المرمز X.509 (.CER).

الخطوة 2. تصدير شهادة Portico لإطار العمل التشخيصي (DFP) من Rogger وخوادم PG 

(i) على خادم ADS من متصفح، انتقل إلى عنوان DFP الخاص بالخوادم (أجهزة التحميل، PG): https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion

'2' حفظ الشهادة في المجلد مثال c:\temp\certs وتسمية الشهادة ك dfp{svr}[ab].cer

ملاحظة: حدد الخيار BASE-64 المرمز X.509 (.CER).

الخطوة 3. إستيراد الشهادات إلى خادم AD

أمر لاستيراد شهادات IIS ذاتية التوقيع إلى خادم ADS. المسار لتشغيل أداة المفتاح: C:\Program ملفات (x86)\Java\jre1.8.0_221\bin.

keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts"  -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer

Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts"  -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer

ملاحظة: استورد جميع شهادات الخادم المصدرة إلى جميع خوادم AD.

أمر لاستيراد الشهادات التشخيصية الموقعة ذاتيا إلى خادم ADS

keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts"  -import -storepass changeit -alias {fqdn_of_server}_DFP -file c:\temp\certs\ dfp{svr}[ab].cer

Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts"  -import -storepass changeit -alias myrgra.domain.com_DFP -file c:\temp\certs\dfprgra.cer

ملاحظة: استورد جميع شهادات الخادم المصدرة إلى جميع خوادم AD.

أعد تشغيل خدمة Apache Tomcat على خوادم ADS.

القسم 4: دمج خدمات CVP CallStudio

للحصول على معلومات تفصيلية حول كيفية إنشاء اتصال آمن لعنصر خدمات الويب وعنصر REST_CLIENT

ارجع إلى دليل المستخدم لخادم Cisco Unified CVP VXML و Cisco Unified Call Studio الإصدار 12.5(1) - تكامل خدمة الويب [Cisco Unified Customer Voice Portal] - Cisco

معلومات ذات صلة

• دليل تكوين CVP: دليل تكوين CVP - الأمان
• دليل تكوين UCCE: دليل تكوين UCCE - الأمان
• دليل إدارة PCCE: دليل مسؤول PCE - الأمان
• شهادات UCCE ذاتية التوقيع: شهادات Exchange UCCE ذاتية التوقيع
• تثبيت OpenJDK وترحيله في CCE 12.5(1): ترحيل CCE OpenJDK
• تثبيت OpenJDK وترحيله في CVP 12.5(1): ترحيل CVP OpenJDK