Microsoft KB3161608/KB3161606을 설치한 후 UCCX 10.6 페이지가 IE11에서 로드되지 않음
소개
이 문서에서는 설치된 UCCX 10.6 버전에 따라 Cisco UCCX(Unified Contact Center Express) 및/또는 Finesse 웹 페이지가 로드되지 않을 수 있는 시나리오에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Windows 관리
- UCCX 관리 및 구성
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
- Cisco Unified Contact Center Express 10.6(1)
- Cisco Unified Contact Center Express 10.6(1) SU1
- Windows 7 또는 8
- Internet Explorer 11
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
시나리오 1
- SHA(Secure Hash Algorithm) 1 또는 SHA256 인증서를 사용하는 UCCX 10.6(1) 기본 버전
- Windows 7 또는 8용 IE(Internet Explorer) 11
- Windows 7에 KB3161608 또는 Windows 8에 KB3161606 설치
결과
IE11에서 UCCX 웹 관리자 또는 Finesse 로그인 페이지로 이동하면 "이 페이지를 표시할 수 없습니다."라는 메시지가 표시됩니다.
시나리오 2
- SHA1 또는 SHA256 인증서가 있는 UCCX 10.6(1) SU1
- Windows 7 또는 8용 IE11
- Windows 7에 KB3161608 또는 Windows 8에 KB3161606 설치
결과
이 시나리오는 다음과 같은 결과를 가져옵니다.
- UCCX 웹 관리 페이지가 로드되고 성공적으로 로그인할 수 있습니다.
- Finesse 로그인 페이지가 로드되고 사용자가 자격 증명을 입력할 수 있습니다.그러나 Finesse는 사용자에게 7443 인증서를 승인하라는 메시지를 표시하지만 페이지가 "이 페이지를 표시할 수 없습니다"라는 동일한 메시지와 함께 로드되지 않습니다.
분석
KB는 실제로 이 업데이트를 특정 KB3161639 Update에 설치하여 Windows의 Internet Explorer 및 Microsoft Edge에 새 암호 그룹을 추가하는 업데이트 팩입니다.이 KB를 좀 더 자세히 살펴보면, IE에서 사용하는 암호 그룹 목록에 이 두 TLS(Transport Layer Security) 암호 그룹이 추가됩니다.TLS_DHE_RSA_WITH_AES_128_CBC_SHA 및 TLS_DHE_RSA_WITH_AES_256_CBC_SHA.
Firefox에서는 다음 절차를 통해 이러한 기능을 비활성화할 수 있습니다.
- about:config로 이동합니다.
- security.ssl3.dhe를 검색합니다.
- security.ssl3.dhe_rsa_aes_256_sha 및 security.ssl3.dhe_rsa_aes_128_sha를 더블 클릭하여 false로 설정합니다.
그러나 IE11에서는 브라우저를 통해 해결할 수 있는 해결 방법이 없습니다.대신 관리자는 로컬 또는 도메인 그룹 정책을 수정하여 SSL 컨피그레이션에서 암호를 제외합니다.
gpedit.msc Windows 모듈을 통해 로컬 정책을 수정하려면 Computer Configuration(컴퓨터 컨피그레이션) >Administrative Tools(관리 툴) >Network(네트워크) >SSL Configuration Settings(SSL 컨피그레이션 설정) >SSL Cipher Suite Order(SSL 암호 그룹 순서)로 이동합니다.
Suite 주문이 Disabled(비활성화됨) 또는 Not Configured(구성되지 않음)로 설정된 경우 기본 주문이 사용되고 UCCX/Finesse에 대한 액세스를 차단합니다.대신 이 값을 Enabled(활성화됨)로 설정해야 하며 위에서 언급한 두 암호를 제외하도록 암호 그룹 순서를 수정해야 합니다.암호 목록은 길이가 1023자를 초과할 수 없으므로 사용할 수 있다는 제한 사항에 유의하십시오.UCCX/Finesse 10.6에서 작동하는 것으로 알려진 암호 목록은 다음과 같습니다.
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, SSL_CK_DES_192_EDE3_CBC_WITH_MD5
다른 옵션은 Finesse 또는 UCCX 웹 관리자에 액세스해야 하는 모든 시스템에서 KB3161608 또는 KB3161606을 제거하는 것입니다.
이 버전에서는 로그아웃 취약성이 해결되었으므로 이 문제는 UCCX 10.6(1) SU2 또는 11.0에는 나타나지 않습니다.이 문제와 관련된 결함이 있습니다. UCCX 10.6 SU1 ES02 및 SU2에서 해결된 CSCuv89545입니다. 관련 결함인 CSCuu82538은 게스트 OS로 Red Hat Enterprise 6을 실행하는 가상 시스템에서 해결됩니다.
피드백