Implementar certificados firmados por CA en una solución CCE...Paso 6. Haga clic en Aceptar para...

Implementar certificados firmados por CA en unasolución CCE Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosAntecedenteProcedimientoServidores basados en Windows CCE1. Generar CSR2. Obtener los certificados firmados por CA3. Cargar los certificados firmados por la CA4. Enlazar el certificado firmado por CA a IIS5. Enlazar el certificado firmado por la CA al portal de diagnóstico6. Importar el certificado raíz e intermedio al almacén de claves de JavaSolución CVP1. Generar certificados con FQDN2. Generar el certificado CSR3. Obtener los certificados firmados por CA4. Importar certificados firmados por CAServidores VOS1. Generar certificado CSR2. Obtener los certificados firmados por CA3. Cargar la aplicación y los certificados raízVerificaciónTroubleshootInformación Relacionada

Introducción

Este documento describe cómo implementar certificados firmados por la autoridad certificadora(CA) en la solución Cisco Contact Center Enterprise (CCE).

Colaboración de Anuj Bhatia, Robert Rogier y Ramiro Amaya, ingenieros del TAC de Cisco

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Unified Contact Center Enterprise (UCCE) versión 12.5(1)●Paquete Contact Center Enterprise versión 12.5(1)●Portal de voz del cliente (CVP) versión 12.5 (1)●Navegador de voz virtualizado (VVB) de Cisco●Cisco CVP Operations and Administration Console (OAMP)●Cisco Unified Intelligence Center (CUIC)●Cisco Unified Communication Manager (CUCM)●

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software:

PCCE 12.5(1)●CVP 12.5(1)●Cisco VVB 12.5●Finesss 12.5●CUIC 12.5●Windows 2016●

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico.Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada).Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedente

Los certificados se utilizan para garantizar que la comunicación es segura con la autenticaciónentre clientes y servidores.

Los usuarios pueden comprar certificados de una CA o pueden utilizar certificados autofirmados.

Los certificados autofirmados (como su nombre indica) están firmados por la misma entidad cuyaidentidad certifican, en lugar de estar firmados por una autoridad certificadora. Los certificadosautofirmados no se consideran tan seguros como los certificados de CA, pero se utilizan de formapredeterminada en muchas aplicaciones.

En la versión 12.x de la solución Package Contact Center Enterprise (PCCE), todos loscomponentes de la solución están controlados por el panel de control único (SPOG), que se alojaen el servidor principal de la estación de trabajo administrativa (AW).

Debido al cumplimiento de la gestión de seguridad (SRC) en la versión 12.5(1) de PCCE, todaslas comunicaciones entre SPOG y otros componentes de la solución se realizan mediante elprotocolo HTTP seguro. En UCCE 12.5, la comunicación entre los componentes también serealiza a través del protocolo HTTP seguro.

Este documento explica en detalle los pasos necesarios para implementar certificados firmadospor CA en una solución CCE para una comunicación HTTP segura. Para cualquier otraconsideración de seguridad de UCCE, consulte Directrices de seguridad de UCCE. Paracualquier comunicación segura CVP adicional diferente de HTTP seguro, consulte las directricesde seguridad de la guía de configuración de CVP: Directrices de seguridad del CVP.

/content/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/icm_enterprise/icm_enterprise_12_5_1/configuration/guide/ucce_b_125-security-guide.html/content/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/customer_voice_portal/cvp_12_5/configuration/guide/ccvp_b_configuration-guide-12-5-1/ccvp_b_configuration-guide-12-5-1_chapter_010001.html#topic_plj_n1w_k2b

Procedimiento

Servidores basados en Windows CCE

1. Generar CSR

Este procedimiento explica cómo generar una solicitud de firma de certificado (CSR) desde elAdministrador de Internet Information Services (IIS).

Paso 1. Inicie sesión en Windows y elija Panel de control > Herramientas administrativas >Administrador de Internet Information Services (IIS).

Paso 2. En el panel Conexiones, haga clic en el nombre del servidor. Aparecerá el panel Inicio delservidor.

Paso 3. En el área IIS, haga doble clic en Server Certificates.

Paso 4. En el panel Acciones, haga clic en Crear solicitud de certificado.

Paso 5. En el cuadro de diálogo Solicitar certificado, realice lo siguiente:

Especifique la información necesaria en los campos mostrados y haga clic en Next (Siguiente).

En la lista desplegable Proveedor de servicios criptográficos, deje la configuraciónpredeterminada.

En la lista desplegable Bit length (Longitud de bits), seleccione 2048.

Paso 6. Especifique un nombre de archivo para la solicitud de certificado y haga clic en Finalizar.

2. Obtener los certificados firmados por CA

Paso 1. Firme el certificado en una CA.

Paso 2. Obtenga los certificados firmados por CA de su autoridad certificadora (raíz, aplicación eintermedio, si los hubiera).

3. Cargar los certificados firmados por la CA


Paso 2. En el panel Conexiones, haga clic en el nombre del servidor.

Paso 3. En el área IIS, haga doble clic en Server Certificates.

Paso 4. En el panel Acciones, haga clic en Finalizar solicitud de certificado.

Paso 5. En el cuadro de diálogo Complete Certificate Request, complete estos campos:

En el campo Nombre de archivo que contiene el campo de respuesta de la entidad certificadora,haga clic en el botón ...

Busque la ubicación en la que se almacena el certificado de aplicación firmado y, a continuación,haga clic en Abrir.

Nota: Si se trata de una implementación de CA de nivel 2 y el certificado raíz no está ya enel almacén de certificados del servidor, la raíz debe cargarse en el almacén de Windowsantes de importar el certificado firmado. Consulte este documento si necesita cargar la CAraíz en el almacén de Windows https://docs.microsoft.com/en-us/skype-sdk/sdn/articles/installing-the-trusted-root-certificate

En el campo Nombre descriptivo, introduzca el nombre de dominio completo (FQDN) del servidoro cualquier nombre significativo para usted. Asegúrese de que la lista desplegable Select acertificate store for the new certificate permanezca como Personal.

https://docs.microsoft.com/en-us/skype-sdk/sdn/articles/installing-the-trusted-root-certificatehttps://docs.microsoft.com/en-us/skype-sdk/sdn/articles/installing-the-trusted-root-certificate

Paso 6. Haga clic en Aceptar para cargar el certificado.

Si la carga del certificado se realiza correctamente, el certificado aparece en el panel Certificadosdel servidor.

4. Enlazar el certificado firmado por CA a IIS

Este procedimiento explica cómo enlazar un certificado firmado por CA en el Administrador de IIS.


Paso 2. En el panel Conexiones, elija > Sitios > Sitio Web predeterminado.

Paso 3. En el panel Acciones, haga clic en Enlaces....

Paso 4. Haga clic en el tipo https con el puerto 443 y, a continuación, haga clic en Editar....

Paso 5. En la lista desplegable de certificados SSL, seleccione el certificado con el mismo nombredescriptivo que se ha indicado anteriormente.

Paso 6.Click OK.

Paso 7. Navegue hasta Inicio > Ejecutar > servicios.msc y reinicie el Servicio de administración deIIS.

Si se reinicia IIS correctamente, las advertencias de error de certificado no aparecen cuando seinicia la aplicación.

5. Enlazar el certificado firmado por la CA al portal de diagnóstico

Este procedimiento explica cómo enlazar un certificado firmado por CA en el Portico dediagnóstico.

Paso 1. Abra el símbolo del sistema (Ejecutar como administrador).

Paso 2. Vaya a la carpeta de inicio de Diagnóstico Portico. Ejecute este comando:

cd c:\icm\serviceability\diagnostics\bin

Paso 3. Quite el enlace actual del certificado al Portico de diagnóstico. Ejecute este comando:

DiagFwCertMgr /task:UnbindCert

Paso 4. Abra el certificado firmado y copie el contenido hash (sin espacios) del campo de huelladigital.

Paso 5. Ejecute este comando y pegue el contenido hash.

DiagFwCertMgr /task:BindCertFromStore /certhash:

Si el enlace de certificados se realiza correctamente, muestra El enlace de certificados es unmensaje VÁLIDO.

Paso 6. Valide si el enlace del certificado se ha realizado correctamente. Ejecute este comando:

DiagFwCertMgr /task:ValidateCertBinding

Nota: DiagFwCertMgr utiliza el puerto 7890 de forma predeterminada.

Si el enlace de certificados se realiza correctamente, muestra El enlace de certificados es unmensaje VÁLIDO.

Paso 7. Reinicie el servicio Diagnostic Framework. Ejecute estos comandos:

net stop DiagFwSvc

net start DiagFwSvc

Si la estructura de diagnóstico se reinicia correctamente, las advertencias de error de certificadono aparecen cuando se inicia la aplicación.

6. Importar el certificado raíz e intermedio al almacén de claves de Java

Precaución: Antes de comenzar, debe realizar una copia de seguridad del almacén declaves y ejecutar los comandos desde la casa de java como administrador.

Paso 1. Conozca la ruta de acceso a casa de java para asegurarse de dónde se aloja laherramienta de claves de java. Hay un par de maneras de encontrar el camino de casa del java.

Opción 1: Comando CLI: echo %JAVA_HOME%

Opción 2: Manualmente mediante la configuración avanzada del sistema, como se muestra en laimagen

Nota: En UCCE 12.5, la ruta predeterminada es C:\Program Files(x86)\Java\jre1.8.0_221\bin.

Paso 2. Realice una copia de seguridad del archivo cacerts desde la carpeta C:\Program Files(x86)\Java\jre1.8.0_221\lib\security. Puede copiarlo en otra ubicación.

Paso 3. Abra una ventana de comandos como Administrador para ejecutar el comando:

keytool.exe –keystore ./cacerts -import -file -alias -storepass changeit

Nota: Los certificados específicos requeridos dependen de la CA que utilice para firmar loscertificados. En una CA de dos niveles, que es típica de las CA públicas y más segura quelas CA internas, debe importar tanto los certificados raíz como los intermedios. En una CAindependiente sin intermediarios, que generalmente se ve en un laboratorio o en una CAinterna más simple, sólo necesita importar el certificado raíz.

Solución CVP

1. Generar certificados con FQDN

Este procedimiento explica cómo generar certificados con FQDN para los servicios de WebService Manager (WSM), Voice XML (VXML), Call Server y Operations Management (OAMP).

Nota: Cuando instala CVP, el nombre del certificado sólo incluye el nombre del servidor y noel FQDN, por lo tanto, debe regenerar los certificados.

Precaución: Antes de comenzar, debe hacer lo siguiente:1. Obtenga la contraseña del almacén de claves. Ejecute el comando: más%CVP_HOME%\conf\security.properties. Necesita esta contraseña cuando ejecute loscomandos keytool.2. Copie %CVP_HOME%\conf\security folder to another folder.3. Abra una ventana de comandos como Administrador para ejecutar los comandos.

Servidores CVP

Paso 1. Para eliminar los certificados de servidores CVP, ejecute estos comandos:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -

delete -alias wsm_certificate


delete -alias vxml_certificate


delete -alias callserver_certificate

Introduzca la contraseña del almacén de claves cuando se le solicite.

Paso 2. Para generar el certificado WSM, ejecute este comando:


genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX


Nota: De forma predeterminada, los certificados se generan durante dos años. Utilice -invalid XXXX para establecer la fecha de vencimiento cuando se regeneran los certificados,de lo contrario los certificados son válidos durante 90 días y deben firmarlos las CA antes deesta hora. Para la mayoría de estos certificados, 3-5 años deben ser un tiempo devalidación razonable.

Estas son algunas entradas de validez estándar:

Un año 365Dos años 730Tres años 1095Cuatro años 1460Cinco años 1895Diez años 3650

Precaución: En 12.5 los certificados deben ser SHA 256, Key Size 2048 y encryptionAlgorithm RSA, utilice estos parámetros para establecer estos valores: -keyalg RSA y -keysize 2048. Es importante que los comandos del almacén de claves CVP incluyan elparámetro -storetype JCEKS. Si esto no se hace, el certificado, la clave o, peor aún, elalmacén de claves puede dañarse.

Especifique el FQDN del servidor, en la pregunta ¿cuál es su nombre y apellidos?

Complete estas otras preguntas:

¿Cuál es el nombre de su unidad organizativa?

[Desconocido]:

¿Cuál es el nombre de su organización?

[Desconocido]:

¿Cuál es el nombre de su ciudad o localidad?

[Desconocido]:

¿Cuál es el nombre de su estado o provincia?

[Desconocido]:

¿Cuál es el código de país de dos letras para esta unidad?

[Desconocido]:

Especifique yes para las dos entradas siguientes.

Paso 3. Realice los mismos pasos para vxml_certificate y callserver_certificate:


genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX


genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

servidor de informes CVP

Paso 1. Para eliminar los certificados de WSM y del servidor de informes, ejecute estoscomandos:




delete -alias callserver_certificate






Especifique el FQDN del servidor para la consulta ¿cuál es su nombre y apellidos? y siga losmismos pasos que con los servidores CVP.

Paso 3. Realice los mismos pasos para callserver_certificate:


genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX

CVP OAMP (implementación de UCCE)

Puesto que en la versión 12.x de la solución PCCE todos los componentes de la solución estáncontrolados por el SPOG y OAMP no está instalado, estos pasos sólo son necesarios para unasolución de implementación de UCCE.

Paso 1. Para eliminar los certificados de servidor WSM y OAMP, ejecute estos comandos:




delete -alias oamp_certificate






Especifique el FQDN del servidor para la consulta ¿cuál es su nombre y apellidos? y siga losmismos pasos que con los servidores CVP.

Paso 3. Realice los mismos pasos para oamp_certificate:


genkeypair -alias oamp_certificate -keysize 2048 -keyalg RSA -validity XXXX


2. Generar el certificado CSR

Servidores CVP

Paso 1. Genere la solicitud de certificado para el alias. Ejecute este comando y guárdelo en unarchivo (por ejemplo, wsm_certificate:


certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm_certificate.csr


Paso 2. Realice los mismos pasos para vxml_certificate y callserver_certificate:


certreq -alias vxml_certificate -file %CVP_HOME%\conf\security\vxml_certificate.csr


certreq -alias callserver_certificate -file %CVP_HOME%\conf\security\callserver_certificate.csr


servidor de informes CVP

Paso 1. Genere la solicitud de certificado para el alias. Ejecute este comando y guárdelo en unarchivo (por ejemplo, wsmreport_certificate:


certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsmreport_certificate.csr


Paso 2. Realice los mismos pasos para callserver_certificate:


certreq -alias callserver_certificate -file

%CVP_HOME%\conf\security\callserverreport_certificate.csr


CVP OAMP (implementación de UCCE)

Paso 1. Genere la solicitud de certificado para el alias. Ejecute este comando y guárdelo en unarchivo (por ejemplo, wsmoamp_certificate:


certreq -alias wsm_certificate -file %CVP_HOME%\conf\security\wsmoamp_certificate.csr


Paso 2. Realice los mismos pasos para oamp_certificate:


certreq -alias oamp_certificate -file %CVP_HOME%\conf\security\oamp.csr



Paso 1. Firme los certificados en una CA (WSM, Callserver y servidor VXML para el servidorCVP; WSM y OAMP para el servidor CVP OAMP, y WSM y Callserver para el servidor de

informes).

Paso 2. Descargue los certificados de aplicación y el certificado raíz de la autoridad de CA.

Paso 3. Copie el certificado raíz y los certificados firmados por la CA en la carpeta%CVP_HOME%\conf\security\ of each server

4. Importar certificados firmados por CA

Aplique estos pasos a todos los servidores de la solución CVP. Sólo los certificados de loscomponentes de ese servidor necesitan que se importe el certificado firmado por la CA.

Paso 1. Importe el certificado raíz. Ejecute este comando:


import -v -trustcacerts -alias root -file %CVP_HOME%\conf\security\

Introduzca la contraseña del almacén de claves cuando se le solicite. En Trust this certificateprompt (Confiar en este mensaje de certificado), escriba Yes (Sí).

Si hay un certificado intermedio, ejecute este comando:

%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -v -trustcacerts -alias intermediate_ca -file %CVP_HOME%\conf\security\

Introduzca la contraseña del almacén de claves cuando se le solicite. En Trust this certificate prompt (Confiar en este mensaje decertificado), escriba Yes (Sí).

Paso 2. Importe el WSM firmado por CA para ese certificado de servidor (CVP, Reporting yOAMP). Ejecute este comando:


import -v -trustcacerts -alias wsm_certificate -file

%CVP_HOME%\conf\security\.


Paso 3. En los servidores CVP y los servidores de informes importa el certificado firmado por laCA del servidor de llamadas. Ejecute este comando:


import -v -trustcacerts -alias callserver_certificate -file



Paso 4. En los servidores CVP, importe el certificado firmado por CA del servidor VXML. Ejecuteeste comando:


import -v -trustcacerts -alias vxml_certificate -file


Paso 5. En el servidor OAMP de CVP (sólo para UCCE), importe el certificado firmado de CA delservidor OAMP. Ejecute este comando:


import -v -trustcacerts -alias oamp_certificate -file


Paso 6. Reinicie los servidores.

Nota: En la implementación de UCCE, asegúrese de agregar los servidores ( Reporting,CVP Server, etc.) en CVP OAMP con el FQDN proporcionado cuando generó el CSR.

Servidores VOS

1. Generar certificado CSR

Este procedimiento explica cómo generar el certificado CSR Tomcat a partir de plataformasbasadas en Cisco Voice Operating System (VOS). Este proceso se aplica a todas las aplicacionesbasadas en VOS, como:

CUCM●Finesse●CUIC \ Datos en directo (LD) \Servidor de identidad(IDS)●Conexión a la nube●VVB de Cisco●

Paso 1. Vaya a la página Administración del sistema operativo de Cisco Unified Communications:https://FQDN:/cmplatform.

Paso 2. Navegue hasta Seguridad > Administración de certificados y seleccione Generar CSR.

Paso 3. Después de generar el certificado CSR, cierre la ventana y seleccione Descargar CSR.

Paso 4. Asegúrese de que el propósito del certificado es realizar la descarga y haga clic enDescargar CSR.

Paso 5. Haga clic en Save File (Guardar archivo). El archivo se guarda en la carpeta Descargar.


Paso 1. Firme el certificado tomcat exportado en una CA.

Paso 2. Descargue la aplicación y la raíz certificada de la autoridad de CA.

3. Cargar la aplicación y los certificados raíz

Paso 1. Vaya a la página Administración del sistema operativo de Cisco Unified Communications:https://FQDN:/cmplatform.

Paso 2. Navegue hasta Seguridad > Administración de certificados y seleccione Cargarcertificado/cadena de certificados.

Paso 3. En las ventanas Cargar certificado/cadena de certificados, seleccione tomcat-trust en elcampo de propósito del certificado y cargue el certificado raíz.

Paso 4. Cargue un certificado intermedio (si lo hubiera) como tomcat-trust.

Paso 5. En las ventanas Cargar certificado/cadena de certificados, seleccione now (ahora) en elcampo Certificate Purpose (Objetivo del certificado) y cargue el certificado firmado por la CA de laaplicación.

Paso 6.Reinicie el servidor

Verificación

Después de reiniciar el servidor, siga estos pasos para verificar la implementación firmada por laCA:

Paso 1. Abra un explorador Web y borre la caché.

Paso 2. Cierre y vuelva a abrir el explorador.

Ahora debería ver el switch de certificado como el certificado firmado por la CA y la indicación enla ventana del navegador de que el certificado está firmado automáticamente y, por lo tanto, no esde confianza, debería desaparecer.

Troubleshoot

No hay pasos para resolver problemas de implementación de los certificados firmados por CA enesta guía.

Información Relacionada

Guía de configuración de CVP: Guía de configuración de CVP - Seguridad●Guía de configuración de UCCE: Guía de configuración de UCCE - Seguridad●Guía de administración de PCCE: Guía de administración de PCE - Seguridad●Certificados con firma automática UCCE: Intercambio de certificados con firma automáticaUCCE

●

Certificados con firma automática PCCE: Exchange PCCE Self-Signed Certificates●Soporte Técnico y Documentación - Cisco Systems

/content/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/customer_voice_portal/cvp_12_5/configuration/guide/ccvp_b_configuration-guide-12-5-1/ccvp_b_configuration-guide-12-5-1_chapter_010001.html#topic_6D75495932F00270623807AD59DCCFDAhttps://www.cisco.com/c/es_mx/support/docs/contact-center/unified-contact-center-enterprise/215445-exchange-self-signed-certificates-in-a-u.html/content/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/pcce/pcce_12_5_1/configuration/guide/pcce_b_admin-and-config-guide_12_5/pcce_b_admin-and-config-guide_12_5_chapter_010100.htmlhttps://www.cisco.com/c/es_mx/support/docs/contact-center/packaged-contact-center-enterprise/215354-exchange-self-signed-certificates-in-a-p.htmlhttps://www.cisco.com/c/es_mx/support/docs/contact-center/packaged-contact-center-enterprise/215354-exchange-self-signed-certificates-in-a-p.htmlhttps://www.cisco.com/c/es_mx/support/docs/contact-center/packaged-contact-center-enterprise/215354-exchange-self-signed-certificates-in-a-p.htmlhttps://www.cisco.com/c/es_mx/support/docs/contact-center/packaged-contact-center-enterprise/215354-exchange-self-signed-certificates-in-a-p.htmlhttp://www.cisco.com/cisco/web/support/index.html?referring_site=bodynav

Implementar certificados firmados por CA en una solución CCEContenidoIntroducciónprerrequisitosRequisitosComponentes Utilizados

AntecedenteProcedimientoServidores basados en Windows CCE1. Generar CSR2. Obtener los certificados firmados por CA3. Cargar los certificados firmados por la CA4. Enlazar el certificado firmado por CA a IIS5. Enlazar el certificado firmado por la CA al portal de diagnóstico6. Importar el certificado raíz e intermedio al almacén de claves de Java

Solución CVP1. Generar certificados con FQDN2. Generar el certificado CSR3. Obtener los certificados firmados por CA4. Importar certificados firmados por CA

Servidores VOS1. Generar certificado CSR2. Obtener los certificados firmados por CA3. Cargar la aplicación y los certificados raíz

VerificaciónTroubleshootInformación Relacionada

Implementar certificados firmados por CA en una solución CCE...Paso 6. Haga clic en Aceptar para...

Documents

Transcript of Implementar certificados firmados por CA en una solución CCE...Paso 6. Haga clic en Aceptar para...