簡介
本文檔介紹使用SHA-256證書簽名演算法為Cisco Unified Contact Center Enterprise(UCCE)Web服務(如Web Setup或CCE管理)生成自簽名證書的過程。
問題
Cisco UCCE擁有由Microsoft Internet Information Services(IIS)伺服器託管的幾種Web服務。預設情況下,UCCE部署中的Microsoft IIS使用自簽名證書和SHA-1證書簽名演算法。
大多數瀏覽器都認為SHA-1演算法不安全,因此主管用於代理重新觸發的CCE管理等關鍵工具在某些時候可能不可用。
解決方案
該問題的解決方案是生成SHA-256證書供IIS伺服器使用。
警告:建議使用證書頒發機構簽名的證書。因此,應將此處所述的生成自簽名證書視為臨時解決方法,以快速恢復服務。
附註:在使用ICM Internet指令碼編輯器應用程式進行遠端指令碼管理的情況下,需要使用SSL加密實用程式為其生成證書。
WebSetup和CCE管理解決方案
1.在UCCE伺服器上啟動Windows PowerShell工具。
2.在PowerShell中,鍵入命令
New-SelfSignedCertificate -DnsName "pgb.allevich.local" -CertStoreLocation "cert:\LocalMachine\My"
其中DnsName後的引數將指定證書公用名(CN)。 將DnsName後的引數替換為伺服器的正確引數。證書的有效期為一年。
附註:證書中的公用名稱必須與伺服器的完全限定域名(FQDN)匹配。
3.開啟Microsoft管理控制檯(MMC)工具。選擇File -> Add/Remove Snap-In... ->選擇Certificates,選擇Computer account,然後將其新增到選定的管理單元。按確定,然後導覽至Console Root -> Certificates(Local Computer) -> Personal -> Certificates。
請確保此處存在新建立的證書。該證書未配置友好名稱,因此可以根據證書的CN和到期日期識別該證書。
可以通過選擇證書屬性並使用適當的名稱填充友好名稱文本框來將友好名稱分配給證書。
4.啟動Internet資訊服務(IIS)管理器。選擇「IIS預設網站」,然後在右側窗格中選擇「繫結」。選擇HTTPS -> Edit,然後從SSL證書清單中選擇自簽名SHA-256生成的證書。
5.重新啟動「全球資訊網發佈服務」服務。
診斷框架門戶解決方案
1.重複步驟1-3。
將生成新的自簽名證書。對於Portico工具,還有另一種繫結證書的方式。
2.刪除Portico工具的當前證書繫結。
cd c:\icm\serviceability\diagnostics\bin
DiagFwCertMgr /task:UnbindCert
3.繫結為Portico生成的自簽名證書。
開啟為Portico工具生成的自簽名證書,然後選擇Details頁籤。將Thumbprint值複製到文本編輯器。
附註:在某些文本編輯器中,指紋會自動加上問號。拿掉它。
從指紋中刪除所有空格字元並在以下命令中使用它。
DiagFwCertMgr /task:BindCertFromStore /certhash:
4.使用此命令確保證書繫結成功。
DiagFwCertMgr /task:ValidateCertBinding
輸出中應顯示類似消息。
"證書繫結有效"
5.重新啟動診斷框架服務。
sc stop "diagfwsvc"
sc start "diagfwsvc"
驗證
清除瀏覽器快取和歷史記錄。訪問CCE管理服務網頁,您應該會收到自簽名證書警告。
檢視證書詳細資訊並確保證書具有SHA-256證書簽名演算法。
相關文章
為UCCE診斷門戶工具生成CA簽名證書
為UCCE Web安裝程式生成CA簽名證書
使用CLI為基於VOS的伺服器生成CA簽名證書
為CVP OAMP伺服器生成CA簽名證書
意見