إنشاء شهادات SHA-256 ذاتية التوقيع لخدمات ويب Cisco UCCE

المقدمة

يصف هذا المستند عملية إنشاء شهادات موقعة ذاتيا باستخدام خوارزمية توقيع الشهادة SHA-256 لخدمات ويب Cisco Unified Contact Center Enterprise (UCCE) مثل إعداد الويب أو إدارة CCE.

المشكلة

يحتوي Cisco UCCE على العديد من خدمات الويب التي تستضيفها خادم Microsoft Internet Information Services (IIS). تستخدم Microsoft IIS في نشر UCCE بشكل افتراضي شهادات موقعة ذاتيا مع خوارزمية توقيع شهادة SHA-1.

تعتبر خوارزمية SHA-1 غير آمنة من قبل معظم المستعرضات، وبالتالي قد تصبح بعض الأدوات الهامة مثل إدارة CCE التي يستخدمها المشرفون لإعادة قتل العملاء غير متوفرة في بعض الأحيان.

الحل

يكمن الحل لهذه المشكلة في إنشاء شهادات SHA-256 لخادم IIS لاستخدامه.

تحذير: يوصى باستخدام الشهادات الموقعة لهيئة الترخيص. لذلك يجب إعتبار إنشاء الشهادات ذاتية التوقيع الموصوفة هنا بمثابة حل بديل مؤقت لاستعادة الخدمة بسرعة.

ملاحظة: في حالة إستخدام تطبيق محرر برامج ICM Internet Script لإدارة البرامج النصية عن بعد، يلزم إستخدام أداة تشفير SSL Encryption Utility لإنشاء شهادة لها.

حل لإعداد الويب وإدارة CCE

1. بدء تشغيل أداة Windows PowerShell على خادم UCCE.

2. في نوع PowerShell الأمر

New-SelfSignedCertificate -DnsName "pgb.allevich.local" -CertStoreLocation "cert:\LocalMachine\My"

حيث تحدد المعلمة بعد DnsName الاسم الشائع للشهادة (CN). استبدل المعلمة بعد DnsName بالمعلمة الصحيحة للخادم. سيتم إنشاء الشهادة لمدة سنة واحدة.

ملاحظة: يجب أن يتطابق الاسم الشائع في الشهادة مع اسم المجال المؤهل بالكامل (FQDN) للخادم.

3. افتح أداة وحدة التحكم الإدارية ل Microsoft (MMC). حدد ملف -> إضافة/إزالة الأداة الإضافية... -> حدد الشهادات، واختر حساب الكمبيوتر وأضفه إلى الأدوات الإضافية المحددة. اضغط فوق "موافق"، ثم انتقل إلى جذر وحدة التحكم ->الشهادات (كمبيوتر محلي) -> شخصي ->الشهادات.

تأكد من أن الشهادة التي تم إنشاؤها حديثا موجودة هنا. لن يكون للشهادة اسم مألوف تم تكوينه، لذلك يمكن التعرف عليها استنادا إلى CN وتاريخ انتهاء الصلاحية.

يمكن تعيين اسم مألوف للشهادة بتحديد خصائص الشهادة وملء مربع نص الاسم المألوف بالاسم المناسب.

4. بدء تشغيل إدارة خدمات معلومات الإنترنت (IIS). حدد موقع ويب الافتراضي IIS واختر في الجزء الأيمن روابط. حدد HTTPS ->تحرير ومن قائمة شهادات SSL حدد الشهادة التي تم إنشاؤها SHA-256 ذاتية التوقيع.

5. قم بإعادة تشغيل خدمة "خدمة النشر عبر شبكة ويب العالمية".

حل لبوابة إطار العمل التشخيصي

1. كرر الخطوات من 1 إلى 3.

سيتم إنشاء شهادة موقعة ذاتيا جديدة. بالنسبة لأداة العرض، هناك طريقة أخرى لربط الشهادة.

2. قم بإزالة ربط الشهادة الحالي لأداة PortTico.

cd c:\icm\serviceability\diagnostics\bin

DiagFwCertMgr /task:UnbindCert

3. ربط الشهادة الموقعة ذاتيا التي تم إنشاؤها ل Portico.

افتح شهادة ذاتية التوقيع تم إنشائها لأداة العرض وحدد صفحة التفاصيل. انسخ قيمة بصمة الإبهام إلى محرر النص.

ملاحظة: في بعض محررات النصوص، تتم إضافة بصمة الإبهام تلقائيا إلى علامة إستفهام. قم بإزالته.

قم بإزالة كل حروف المسافة من بصمة الإبهام واستخدمها في الأمر التالي.

DiagFwCertMgr /task:BindCertFromStore /certhash:

4. تأكد من نجاح ربط الشهادة باستخدام هذا الأمر.

DiagFwCertMgr /task:ValidateCertBinding

يجب عرض رسالة مماثلة في الإخراج.
"ربط الشهادة صالح"

5. إعادة تشغيل خدمة إطار عمل التشخيص.

sc stop "diagfwsvc"
sc start "diagfwsvc"

التحقق

مسح ذاكرة التخزين المؤقت للمستعرض والمحفوظات. قم بالوصول إلى صفحة الويب الخاصة بخدمة إدارة CCE ويجب أن تحصل على تحذير بالشهادة موقعة ذاتيا.

عرض تفاصيل الشهادة والتأكد من أن الشهادة تحتوي على خوارزمية توقيع الشهادة SHA-256.

مقالات ذات صلة

إنشاء شهادة CA الموقعة لأداة الاختبار التشخيصي UCCE

إنشاء شهادة CA الموقعة لإعداد ويب UCCE

إنشاء شهادة CA الموقعة للخادم المستند إلى VOS باستخدام CLI

إنشاء شهادة CA الموقعة لخادم CVP OAMP