Einführung
Dieses Dokument beschreibt den Konfigurationsprozess zur Installation eines von einer CA signierten Zertifikats für das Unified Contact Center Enterprise (UCCE) Diagnostic Framework Portico-Tool.
Voraussetzungen
Anforderungen
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
- Active Directory
- Domain Name System (DNS)-Server
- CA-Infrastruktur bereitgestellt und funktioniert für alle Server und Clients
- Diagnostic Framework-Portal
Der Zugriff auf das Diagnostic Framework Portico-Tool durch die Eingabe der IP-Adresse im Browser, ohne dass eine Zertifikatswarnung angezeigt wird, ist nicht Bestandteil dieses Artikels.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
- Cisco UCCE 11.0.1
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2012 R2 Certificate Authority
- Microsoft Windows 7 SP1
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Konfigurieren
Signierte Anfrage für Zertifikat generieren
Öffnen Sie den IIS-Manager (Internetinformationsdienste), wählen Sie im Beispiel die Site, das Peripheral Gateway A (PGA) und die Serverzertifikate aus.
Wählen Sie im Aktionsbereich Zertifikatsanforderung erstellen aus.
Geben Sie die Felder Common Name (CN), Organization (O), Organization Unit (OU), Locality (L), State (ST), Country (C) ein. Der Common Name muss mit dem Hostnamen und dem Domänennamen Ihres vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) übereinstimmen.
Lassen Sie die Standardeinstellungen für den Kryptografiedienstanbieter unverändert, und geben Sie die Bitlänge an: 2048.
Wählen Sie den Pfad zum Speichern aus. Beispielsweise auf dem Desktop mit dem Namen pga.csr.
Öffnen Sie die neu erstellte Anfrage im Notizblock.
Kopieren Sie das Zertifikat mit STRG+C in den Puffer.
Signieren des Zertifikats auf der Zertifizierungsstelle
Hinweis: Wenn Sie eine externe Zertifizierungsstelle (wie GoDaddy) verwenden, müssen Sie diese kontaktieren, nachdem Sie eine CSR-Datei erstellt haben.
Melden Sie sich bei der Anmeldeseite für das CA-Serverzertifikat an.
https://<CA-Server-Adresse>/certsrv
Wählen Sie Zertifikat anfordern, Erweiterte Zertifikatsanforderung aus, und fügen Sie den CSR-Inhalt (Certificate Signing Request) in den Puffer ein. Wählen Sie dann Zertifikatsvorlage als Webserver aus.
Base 64-verschlüsseltes Zertifikat herunterladen
Öffnen Sie das Zertifikat, und kopieren Sie den Inhalt des Thumbprint-Felds zur späteren Verwendung. Entfernen Sie Leerzeichen vom Daumenabdruck.
Installieren des Zertifikats
Zertifikat kopieren
Kopieren Sie die neu generierte Zertifikatsdatei in UCCE VM, wo sich das Portico-Tool befindet.
Importieren des Zertifikats in den lokalen Computerspeicher
Starten Sie auf demselben UCCE-Server die Microsoft Management Console (MMC)-Konsole, indem Sie das Startmenü auswählen, run und mmc eingeben.
Klicken Sie auf
Snap-In hinzufügen/entfernen, und klicken Sie im Dialogfeld auf
Hinzufügen.
Wählen Sie dann das Menü Zertifikate aus, und fügen Sie es hinzu.
Klicken Sie im Dialogfeld Certificates Snap-In (Zertifikate) auf Computerkonto > Lokaler Computer> Fertig stellen.
Navigieren Sie zum Ordner für persönliche Zertifikate.
Wählen Sie im Aktionsbereich Weitere Aktionen> Alle Aufgaben > Importieren aus.
Klicken Sie auf Weiter, Durchsuchen, und wählen Sie das zuvor erstellte Zertifikat aus. Stellen Sie im nächsten Menü sicher, dass der Zertifikatsspeicher auf Personal eingestellt wurde. Überprüfen Sie im letzten Bildschirm den Zertifikatsspeicher und die Zertifikatsdatei, die ausgewählt sind, und klicken Sie auf Fertig stellen.
Binden des IIS-Zertifikats
Öffnen Sie die CMD-Anwendung.
Navigieren Sie zum Hauptordner Diagnostic Portico.
cd c:\icm\serviceability\diagnostics\bin
Entfernen Sie die aktuelle Zertifikatbindung für das Portico-Tool.
DiagFwCertMgr /task:UnbindCert
Zertifizierungsstelle signiertes Bind-Zertifikat.
Tipp: Verwenden Sie einen Texteditor (notepad++), um Leerzeichen im Hash zu entfernen.
Verwenden Sie den zuvor gespeicherten Hash mit entfernten Leerzeichen.
DiagFwCertMgr /task:BindCertFromStore /certhash:bc6bbe23b8b3a26d8446c252400f9264c5c30a29
Wenn das Zertifikat erfolgreich gebunden wurde, sollte die entsprechende Zeile in der Ausgabe angezeigt werden.
Stellen Sie sicher, dass die Zertifikatsbindung mit diesem Befehl erfolgreich war.
DiagFwCertMgr /task:ValidateCertBinding
In der Ausgabe sollte eine ähnliche Meldung angezeigt werden.
"Die Zertifikatbindung ist GÜLTIG."
Hinweis: DiagFwCertMgr verwendet standardmäßig Port 7890.
Starten Sie den Diagnostic Framework-Dienst neu.
sc stop "diagfwsvc"
sc start "diagfwsvc"