Erstellen von selbstsignierten SHA-256-Zertifikaten für Cisco UCCE Web Services

Download-Optionen

  • PDF     (119.6 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (86.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (73.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:21. Dezember 2016
Dokument-ID:200902

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument beschreibt ein Verfahren zum Erstellen selbstsignierter Zertifikate mithilfe des Signaturalgorithmus für das SHA-256-Zertifikat für Cisco Unified Contact Center Enterprise (UCCE)-Webdienste wie Web Setup oder CCE Administration.

Problem

Cisco UCCE verfügt über mehrere Webdienste, die vom Microsoft IIS-Server (Internet Information Services) gehostet werden. Microsoft IIS in der UCCE-Bereitstellung verwendet standardmäßig selbst signierte Zertifikate mit dem Signaturalgorithmus des SHA-1-Zertifikats.

Der SHA-1-Algorithmus wird von den meisten Browsern als unsicher eingestuft. Daher können an manchen Stellen kritische Tools wie die CCE-Verwaltung, die von Supervisoren für die Umschulung von Agenten verwendet werden, nicht verfügbar sein.

Lösung

Die Lösung für dieses Problem besteht darin, SHA-256-Zertifikate für IIS-Server zu generieren.

Warnung: Es wird empfohlen, signierte Zertifikate der Zertifizierungsstelle zu verwenden. Das Erstellen von selbstsignierten Zertifikaten, die hier beschrieben werden, sollte daher als vorübergehende Problemumgehung betrachtet werden, um den Service schnell wiederherzustellen.

Hinweis: Falls die Anwendung des ICM-Internet-Skripteditors für das Remote-Skriptmanagement verwendet wird, muss das SSL Encryption Utility zum Generieren von Zertifikaten verwendet werden.

Lösung für WebSetup und CCE Administration

1. Starten Sie das Windows PowerShell-Tool auf dem UCCE-Server.

2. Geben Sie in PowerShell den Befehl

New-SelfSignedCertificate -DnsName "pgb.allevich.local" -CertStoreLocation "cert:\LocalMachine\My"

Dabei gibt der Parameter nach DnsName den gemeinsamen Namen (CN) des Zertifikats an. Ersetzen Sie den Parameter nach DnsName durch den richtigen Parameter für den Server. Das Zertifikat wird mit einer Gültigkeit von einem Jahr erstellt.

Hinweis: Der allgemeine Name im Zertifikat muss mit dem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Servers übereinstimmen.

3. Öffnen Sie das MMC-Tool (Microsoft Management Console). Wählen Sie Datei -> Snap-In hinzufügen/entfernen aus... -> Zertifikate auswählen, Computerkonto auswählen und den ausgewählten Snap-Ins hinzufügen. Drücken Sie ok, und navigieren Sie dann zu Console Root -> Certificates (Local Computer) -> Personal -> Certificates.

Stellen Sie sicher, dass das neu erstellte Zertifikat hier vorhanden ist. Für das Zertifikat ist kein benutzerfreundlicher Name konfiguriert, daher kann es anhand seines CN und Ablaufdatums erkannt werden.

Der Name des Zertifikats kann dem Zertifikat zugewiesen werden, indem die Eigenschaften des Zertifikats ausgewählt und das Textfeld "Freundlicher Name" mit dem entsprechenden Namen ausgefüllt wird.

4. Starten Sie den IIS-Manager (Internetinformationsdienste). Wählen Sie IIS-Standardwebsite aus, und wählen Sie im rechten Bereich Bindings aus. Wählen Sie HTTPS -> Edit aus, und wählen Sie in der SSL-Zertifikatliste ein selbst signiertes, vom SHA-256 generiertes Zertifikat aus.

5. Starten Sie den Dienst "World Wide Web Publishing Service" neu.

Lösung für das Diagnostic Framework-Portal

1. Wiederholen Sie die Schritte 1-3.

Ein neues selbstsigniertes Zertifikat wird erstellt. Für das Portico-Tool gibt es eine andere Möglichkeit, das Zertifikat zu binden.

2. Entfernen Sie die aktuelle Zertifikatbindung für das Portico-Tool.

cd c:\icm\serviceability\diagnostics\bin

DiagFwCertMgr /task:UnbindCert

3. Binden Sie das für Portico erstellte selbstsignierte Zertifikat.

Öffnen Sie das für das Portico-Tool erstellte selbstsignierte Zertifikat, und wählen Sie die Registerkarte Details aus. Kopieren Sie den Thumbprint-Wert in den Texteditor.

Hinweis: In einigen Texteditoren wird dem Daumenabdruck automatisch ein Fragezeichen vorangestellt. Entfernen Sie sie.

Entfernen Sie alle Leerzeichen aus dem Daumenabdruck, und verwenden Sie ihn im folgenden Befehl.

DiagFwCertMgr /task:BindCertFromStore /certhash:

4. Stellen Sie sicher, dass die Zertifikatsbindung mit diesem Befehl erfolgreich war.

DiagFwCertMgr /task:ValidateCertBinding

Eine ähnliche Meldung sollte in der Ausgabe angezeigt werden.
"Die Zertifikatbindung ist GÜLTIG."

5. Starten Sie den Diagnostic Framework-Dienst neu.

sc stop "diagfwsvc"
sc start "diagfwsvc"

Überprüfung

Löschen Sie den Browser-Cache und den Browserverlauf. Rufen Sie die CCE Administration-Service-Webseite auf, und Sie sollten eine selbstsignierte Zertifikatswarnung erhalten.

Zeigen Sie die Zertifikatdetails an, und stellen Sie sicher, dass das Zertifikat über einen Algorithmus zur Signatur des SHA-256-Zertifikats verfügt.

Verwandte Artikel

Erstellen eines signierten Zertifikats der Zertifizierungsstelle für das UCCE Diagnostic Portal Tool

Erstellen eines von CA signierten Zertifikats für UCCE-Webeinrichtung

Erstellen eines von CA signierten Zertifikats für VOS-basierten Server mithilfe der CLI

Zertifizierungsstellen-signiertes Zertifikat für den CVP OAMP-Server erstellen

TAC Authored

Beiträge von Cisco Ingenieuren

  • Alexander Levichev
    Cisco TAC-Techniker

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.