Einleitung
Dieses Dokument beschreibt einen Prozess zum Generieren selbstsignierter Zertifikate mithilfe des SHA-256-Zertifikatsignaturalgorithmus für Cisco Unified Contact Center Enterprise (UCCE)-Webdienste wie Web Setup oder CCE Administration.
Problem
Cisco UCCE verfügt über mehrere Webdienste, die vom Microsoft IIS-Server (Internet Information Services) gehostet werden. Microsoft IIS in der UCCE-Bereitstellung verwendet standardmäßig selbstsignierte Zertifikate mit SHA-1-Zertifikatsignaturalgorithmus.
Der SHA-1-Algorithmus wird von den meisten Browsern als unsicher angesehen, daher können kritische Tools wie die CCE-Verwaltung, die von Supervisoren für die Agenten-Umschulung verwendet werden, irgendwann nicht mehr verfügbar sein.
Lösung
Die Lösung dieses Problems besteht darin, SHA-256-Zertifikate für den IIS-Server zu generieren.
Warnung: Es wird empfohlen, von der Zertifizierungsstelle signierte Zertifikate zu verwenden. Das Generieren der hier beschriebenen selbstsignierten Zertifikate sollte daher als vorübergehende Lösung zur schnellen Wiederherstellung des Service angesehen werden.
Anmerkung: Falls die ICM Internet Script Editor-Anwendung für die Remote-Skriptverwaltung verwendet wird, muss das SSL-Verschlüsselungsprogramm verwendet werden, um ein Zertifikat dafür zu generieren.
Lösung für WebSetup und CCE-Verwaltung
1. Starten Sie Windows PowerShell auf dem UCCE-Server.
2. Geben Sie in PowerShell den Befehl
New-SelfSignedCertificate -DnsName "pgb.allevich.local" -CertStoreLocation "cert:\LocalMachine\My"
Wobei der Parameter nach DnsName den Common Name (CN) des Zertifikats angibt. Ersetzen Sie den Parameter nach DnsName durch den richtigen Parameter für den Server. Das Zertifikat wird mit einer Gültigkeit von einem Jahr generiert.
Anmerkung: Der allgemeine Name im Zertifikat muss mit dem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Servers übereinstimmen.
3. Öffnen Sie das MMC-Tool (Microsoft Management Console). Wählen Sie Datei -> Snap-In hinzufügen/entfernen... -> Zertifikate aus, wählen Sie Computerkonto und fügen Sie es zu den ausgewählten Snap-Ins hinzu. Drücken Sie ok, und navigieren Sie dann zu Console Root -> Certificates (Local Computer) -> Personal -> Certificates.
Stellen Sie sicher, dass das neu erstellte Zertifikat hier vorhanden ist. Für das Zertifikat wird kein Anzeigename konfiguriert, daher kann es anhand seines CN und seines Ablaufdatums erkannt werden.
Der Anzeigename kann dem Zertifikat zugewiesen werden, indem Sie die Zertifikateigenschaften auswählen und das Textfeld Anzeigename mit dem entsprechenden Namen füllen.
4. Starten Sie Internetinformationsdienste (IIS)-Manager. Wählen Sie IIS Default Web Site und im rechten Bereich Bindings. Wählen Sie HTTPS -> Bearbeiten und aus der Liste der SSL-Zertifikate das selbst signierte generierte SHA-256-Zertifikat aus.
5. Starten Sie den Dienst "World Wide Web Publishing Service" neu.
Lösung für Diagnose-Framework-Portfolio
1. Wiederholen Sie die Schritte 1-3.
Ein neues selbstsigniertes Zertifikat wird generiert. Für Portico Tool gibt es eine andere Möglichkeit, das Zertifikat zu binden.
2. Entfernen Sie die aktuelle Zertifikatbindung für das Portico-Tool.
cd c:\icm\serviceability\diagnostics\bin
DiagFwCertMgr /task:UnbindCert
3. Binden Sie das selbstsignierte Zertifikat, das für Portico generiert wurde.
Öffnen Sie das selbstsignierte Zertifikat, das für das Portico-Tool generiert wurde, und wählen Sie die Registerkarte Details aus. Kopieren Sie den Wert für den Fingerabdruck in den Texteditor.
Anmerkung: In einigen Texteditoren wird dem Fingerabdruck automatisch ein Fragezeichen vorangestellt. Entfernen Sie es.
Entfernen Sie alle Leerzeichen aus dem Fingerabdruck, und verwenden Sie sie im folgenden Befehl.
DiagFwCertMgr /task:BindCertFromStore /certhash:
4. Stellen Sie mit diesem Befehl sicher, dass die Zertifikatbindung erfolgreich war.
DiagFwCertMgr /task:ValidateCertBinding
Eine ähnliche Meldung sollte in der Ausgabe angezeigt werden.
"Die Zertifikatbindung ist GÜLTIG"
5. Starten Sie den Diagnose-Framework-Dienst neu.
sc stop "diagfwsvc"
sc start "diagfwsvc"
Verifizierung
Löschen Sie den Browser-Cache und den Browserverlauf. Rufen Sie die Webseite des CCE-Verwaltungsdiensts auf, und Sie sollten eine selbstsignierte Zertifikatwarnung erhalten.
Zeigen Sie die Zertifikatdetails an, und stellen Sie sicher, dass das Zertifikat über einen SHA-256-Zertifikatsignaturalgorithmus verfügt.
Verwandte Artikel
Signiertes CA-Zertifikat für das UCCE-Diagnosetool generieren
Signiertes CA-Zertifikat für UCCE-Websetup generieren
Erstellen eines mit CA signierten Zertifikats für einen VOS-basierten Server mit CLI
Signiertes CA-Zertifikat für CVP OAMP-Server generieren
Feedback