安裝Microsoft KB3161608/KB3161606後,UCCX 10.6頁不會在IE11中載入
簡介
本文檔描述了可能導致無法載入Cisco Unified Contact Center Express(UCCX)和/或Finesse網頁的場景,具體取決於所安裝的UCCX 10.6版本。
必要條件
需求
思科建議您瞭解以下主題:
- Windows管理
- UCCX管理和配置
採用元件
本檔案中的資訊是根據以下軟體版本:
- Cisco整合客服中心Express版10.6(1)
- Cisco整合客服中心Express版10.6(1)SU1
- Windows 7或8
- Internet Explorer 11
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
案例 1
- UCCX 10.6(1)基本版本,包含安全雜湊演算法(SHA)1或SHA256證書
- Windows 7或8版Internet Explorer(IE)11
- 在Windows 7上安裝KB3161608或在Windows 8上安裝KB3161606
結果
當您在IE11中導航到UCCX Web Admin或Finesse登入頁面時,此消息會顯示「無法顯示此頁面」。
案例 2
- 採用SHA1或SHA256憑證的UCCX 10.6(1)SU1
- 適用於Windows 7或8的IE11
- 在Windows 7上安裝KB3161608或在Windows 8上安裝KB3161606
結果
此案例的結果如下:
- UCCX Web Admin頁面已載入並允許您成功登入。
- 載入Finesse登入頁面並允許使用者輸入憑證。但是,Finesse提示使用者接受7443證書,但該頁面未載入相同的消息 — 「無法顯示此頁面」。
分析
KB實際上是安裝此密碼的更新包,特別是KB3161639更新,用於向Windows中的Internet Explorer和Microsoft Edge新增新的密碼套件。當您仔細檢視此知識庫時,這兩個傳輸層安全(TLS)密碼套件將新增到IE使用的密碼套件清單中:TLS_DHE_RSA_WITH_AES_128_CBC_SHA和TLS_DHE_RSA_WITH_AES_256_CBC_SHA。
在Firefox中,可以通過以下過程禁用這些功能:
- 導航至about:config。
- 在該欄位中搜尋security.ssl3.dhe。
- 按兩下security.ssl3.dhe_rsa_aes_256_sha和security.ssl3.dhe_rsa_aes_128_sha,將其設定為false。
但是,對於IE11,沒有可通過瀏覽器完成的解決方法。相反,管理員修改本地或域組策略以排除SSL配置中的密碼。
要通過gpedit.msc Windows模組修改本地策略,請導航到電腦配置>管理工具>網路>SSL配置設定>SSL密碼套件順序。
如果將套件順序設定為Disabled或Not Configured,則使用預設順序,並阻止對UCCX/Finesse的訪問。相反,應將其設定為Enabled,並且應修改密碼套件順序以排除上述兩個密碼。請注意密碼清單的使用限制,因為它們長度不能超過1023個字元。已知與UCCX/Finesse 10.6配合使用的密碼清單如下:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, SSL_CK_DES_192_EDE3_CBC_WITH_MD5
另一個選項是從需要訪問Finesse或UCCX Web Admin的所有電腦中刪除KB3161608或KB3161606。
UCCX 10.6(1)SU2或11.0中不存在此問題,因為這些版本中已修復了登入漏洞。存在與此問題相關的缺陷,CSCuv89545,已在UCCX 10.6 SU1 ES02和SU2中解決。相關缺陷CSCuu82538,已在運行Red Hat Enterprise 6作為來賓作業系統的虛擬機器中解決。
意見