了解在UCCX解决方案的ECDSA证书
Contents
Introduction
本文描述如何配置Cisco Unified Contact Center Express (UCCX)解决方案为使用省略曲线数字签名算法(ECDSA)证书。
Prerequisites
Requirements
在您继续进行在本文描述的配置步骤前,请保证您访问这些应用程序的操作系统(OS)管理页面:
- UCCX
- SocialMiner
- 思科统一通信管理器 (CUCM)
- UCCX解决方案身份验证配置- http://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/118855-configure-uccx-00.html
管理员必须也访问在代理程序和Supervisor客户端PC机的证书存储。
Components Used
This document is not restricted to specific software and hardware versions.
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
作为普通的标准(CC)一部分证明, Cisco Unified通信管理器添加了在版本11.0的ECDSA证书。这影响所有语音操作系统的(VOS)产品例如UCCX、SocialMiner、MediaSense等等从版本11.5。
可以找到关于椭圆曲线数字签名算法的更多详细资料这里:https://www.maximintegrated.com/en/app-notes/index.mvp/id/5767
关于UCCX解决方案,当您升级到11.5时,提供不当前前您的一个另外的认证。这是TomcatECDSA认证。
代理程序经验
在升级到11.5,代理程序也许请求接受在精良签字的桌面基于的认证是否自已签署的后或Certificate Authority (CA)上的证书。
用户体验过帐升级到11.5
这是因为当前提供未提供前精良桌面的一个ECDSA认证。
程序
升级前CA的签名的证书
升级前的自署名的认证
Configure
为此认证建议使用的最佳实践
UCCX和SocialMiner的签名的证书
如果使用CA签名的证书,必须由Certificate Authority (CA)签字此ECDSA认证与其他证书一起
如果使用CA签名的证书,并且,在升级您没有签字和被加载后的ECDSA认证,代理程序体验消息接受另外的认证。当他们点击OK时,他们重定向到网站。然而,此失效由于从浏览器边的行使抵押权,因为ECDSA认证是签字的自已和您的其他Web证书是签字的CA。此通信被察觉作为一种securiry风险。
在升级以后完成在UCCX发布服务器和用户每个节点和SocialMiner的这些步骤,对UCCX和SocialMiner在版本11.5 :
- 连接对OS管理页面并且选择安全> Certificate Management。
- 点击生成CSR。
- 从认证列表下拉列表,请选择TomcatECDSA作为验证名称并且点击生成CSR。
- 连接对安全> Certificate Management并且选择下载CSR。
- 从弹出式窗口,从下拉列表请选择TomcatECDSA并且点击下载CSR。
发送新的CSR到第三方CA或签署签署EC证书的它与内部CA。这将生产这些签名的证书:
- CA的(如果使用同样CA应用程序证书和EC证书,您根证明能跳到此步骤)
- UCCX发布人ECDSA签名的证书
- UCCX订户ECDSA签名的证书
- SocialMiner ECDSA签名的证书
完成在每个应用服务器的这些步骤为了加载根证明和EC认证到节点:
- 连接对OS管理页面并且选择安全> Certificate Management。
- 点击加载认证。
- 加载根证明并且选择Tomcat信任作为证书类型。
- 单击 Upload File。
- 点击加载认证。
- 加载应用程序认证并且选择TomcatECDSA作为证书类型。
- 单击 Upload File。
- 一旦完全,请重新启动这些应用程序:
- Cisco SocialMiner
- Cisco UCCX发布服务器和用户
UCCX和SocialMiner的自署名的认证
如果UCCX或SocialMiner使用自署名的认证,代理程序需要建议接受认证警告他们在聊天电子邮件小配件提供并且居住数据小配件。
为了在客户端机器上安装自署名的认证,请使用一个组策略或程序包管理器或者在每个代理程序PC浏览器上单个安装他们。
对于Internet Explorer,请安装客户端自署名的认证到可靠的根证书颁发机构存储。
对于Mozilla Firefox,请完成这些步骤:
- 连接对Tools>选项。
- 点击高级选项卡。
- 点击视图证书。
- 连接对服务器选项。
- 点击添加例外。
常见问题(FAQ)
我们有CA签名的证书,并且要使用需要由EC CA签字的ECDSA认证。当我们等待CA签名的证书是可用的时,我们需要有实际数据。我能做什么?
我们不要签署此另外的认证或安排代理程序接受此另外的认证。我能做什么?
虽然推荐是安排ECDSA证书被提交到浏览器,有禁用它的选项。您能在保证的UCCX和SocialMiner上安装策略文件仅RSA证书被提交给客户端。ECDSA认证在keystore仍然保持,但是为客户端不会提供。
如果我使用此策略禁用为客户端提供的ECDSA证书,能I enable (event)它?
是,有提供的回退策略。一旦那适用,您能获得此认证签字和uplaoded对服务器。
所有证书是否将做ECDSA ?
目前没有,但是在VOS平台的更加进一步的安全更新在将来。
什么时候安装UCCX COPS ?
- 当您使用自署名的认证,并且不希望代理程序接受另外的证书
- 当您不能获得另外的认证签字由CA
什么时候安装SM COPS ?
- 当您使用自署名的认证,并且不希望代理程序接受另外的证书
- 当您不能获得另外的认证签字由CA
- 当是能够的签署与仅RSA的ECDSA证书的您有CA
什么是不同的Web服务器实例提供默认情况下的证书?
| 认证组合/Web服务器 | 在升级以后默认代理程序经验到11.5 (没有任何策略) | UCCX Tomcat | UCCX开火(Cisco Unified CCX通知服务) | UCCX SocketIO | SocialMiner Tomcat | SocialMiner开火 | |
| 自已签字的Tomcat,自已签署了TomcatECDSA | 代理程序将请求接受在实际数据小配件和聊天电子邮件小配件的认证 | 自已签署的 | 自已签署的 | 自已签署的 | 自已签署的 | 自已签署的 | |
| RSA CA签字的Tomcat, RSA CA签署了TomcatECDSA | 代理程序能使用精良和实际数据,但是电子邮件聊天小配件不会装载,并且SocialMiner网页不load.* | RSA | RSA | RSA | RSA | RSA (需要安装策略- CSCvb58580) | |
| RSA CA签字的Tomcat, EC CA签署了TomcatECDSA | 代理程序能以两使用精良居住数据和chat-email* | RSA | RSA | ECDSA | RSA | ECDSA | |
| RSA CA签字的Tomcat,自已签署了TomcatECDSA | 代理程序将请求接受在实际数据和电子邮件聊天小配件的另外的认证。 接受从实际数据小配件的认证出故障,接受从电子邮件聊天小配件的认证是successful.* |
RSA | RSA | 自已签署的(代理程序不能接受由于浏览器被强制执行的安全措施。参考上面屏幕画面。 您必须获得认证签字由EC CA或在UCCX上安装策略禁用为客户端提供的ECDSA证书。) |
RSA | 自已签署的 |
Related Information
- UCCX ECDSA COPS - https://software.cisco.com/download/release.html?mdfid=286309734&softwareid=280840578&release=11.5(1)&flowid=80822
- SocialMiner ECDSA COPS - https://software.cisco.com/download/release.html?mdfid=283613136&flowid=73189&release=11.5(1)&softwareid=283812550&sortparam=
- UCCX证书信息- http://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/118855-configure-uccx-00.html
反馈