Konfigurieren des HTTPS-Zugriffs für das UCCE Diagnostic Framework Portico Tool mit Zertifizierungsstelle (Certificate Authority, CA)-signiertem Zertifikat

Download-Optionen

  • PDF     (352.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (285.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (307.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:28. Oktober 2016
Dokument-ID:200755

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument beschreibt den Konfigurationsprozess zur Installation eines von einer CA signierten Zertifikats für das Unified Contact Center Enterprise (UCCE) Diagnostic Framework Portico-Tool. 

Voraussetzungen


Anforderungen

Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
  • Active Directory
  • Domain Name System (DNS)-Server
  • CA-Infrastruktur bereitgestellt und funktioniert für alle Server und Clients
  • Diagnostic Framework-Portal
Der Zugriff auf das Diagnostic Framework Portico-Tool durch die Eingabe der IP-Adresse im Browser, ohne dass eine Zertifikatswarnung angezeigt wird, ist nicht Bestandteil dieses Artikels.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

  • Cisco UCCE 11.0.1
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012 R2 Certificate Authority
  • Microsoft Windows 7 SP1

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.


Konfigurieren

Signierte Anfrage für Zertifikat generieren

Öffnen Sie den IIS-Manager (Internetinformationsdienste), wählen Sie im Beispiel die Site, das Peripheral Gateway A (PGA) und die Serverzertifikate aus.

200755-Configure-HTTPS-Access-for-UCCE-Diagnost-00.jpeg


Wählen Sie im Aktionsbereich Zertifikatsanforderung erstellen aus.

200755-Configure-HTTPS-Access-for-UCCE-Diagnost-01.jpeg

Geben Sie die Felder Common Name (CN), Organization (O), Organization Unit (OU), Locality (L), State (ST), Country (C) ein. Der Common Name muss mit dem Hostnamen und dem Domänennamen Ihres vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) übereinstimmen.

200755-Configure-HTTPS-Access-for-UCCE-Diagnost-02.jpeg

Lassen Sie die Standardeinstellungen für den Kryptografiedienstanbieter unverändert, und geben Sie die Bitlänge an: 2048.

Wählen Sie den Pfad zum Speichern aus. Beispielsweise auf dem Desktop mit dem Namen pga.csr.

Öffnen Sie die neu erstellte Anfrage im Notizblock.

200755-Configure-HTTPS-Access-for-UCCE-Diagnost-03.jpeg

Kopieren Sie das Zertifikat mit STRG+C in den Puffer.

Signieren des Zertifikats auf der Zertifizierungsstelle

Hinweis: Wenn Sie eine externe Zertifizierungsstelle (wie GoDaddy) verwenden, müssen Sie diese kontaktieren, nachdem Sie eine CSR-Datei erstellt haben.

Melden Sie sich bei der Anmeldeseite für das CA-Serverzertifikat an.
https://<CA-Server-Adresse>/certsrv

Wählen Sie Zertifikat anfordern, Erweiterte Zertifikatsanforderung aus, und fügen Sie den CSR-Inhalt (Certificate Signing Request) in den Puffer ein. Wählen Sie dann Zertifikatsvorlage als Webserver aus.

Base 64-verschlüsseltes Zertifikat herunterladen

Öffnen Sie das Zertifikat, und kopieren Sie den Inhalt des Thumbprint-Felds zur späteren Verwendung. Entfernen Sie Leerzeichen vom Daumenabdruck.


Installieren des Zertifikats


Zertifikat kopieren

Kopieren Sie die neu generierte Zertifikatsdatei in UCCE VM, wo sich das Portico-Tool befindet.

Importieren des Zertifikats in den lokalen Computerspeicher

 

Starten Sie auf demselben UCCE-Server die Microsoft Management Console (MMC)-Konsole, indem Sie das Startmenü auswählen, run und mmc eingeben.

Klicken Sie auf Snap-In hinzufügen/entfernen, und klicken Sie im Dialogfeld auf Hinzufügen.

Wählen Sie dann das Menü Zertifikate aus, und fügen Sie es hinzu.
Klicken Sie im Dialogfeld Certificates Snap-In (Zertifikate) auf Computerkonto > Lokaler Computer> Fertig stellen.

Navigieren Sie zum Ordner für persönliche Zertifikate.

200755-Configure-HTTPS-Access-for-UCCE-Diagnost-04.jpeg

Wählen Sie im Aktionsbereich Weitere Aktionen> Alle Aufgaben > Importieren aus.

Klicken Sie auf Weiter, Durchsuchen, und wählen Sie das zuvor erstellte Zertifikat aus. Stellen Sie im nächsten Menü sicher, dass der Zertifikatsspeicher auf Personal eingestellt wurde. Überprüfen Sie im letzten Bildschirm den Zertifikatsspeicher und die Zertifikatsdatei, die ausgewählt sind, und klicken Sie auf Fertig stellen.

Binden des IIS-Zertifikats

Öffnen Sie die CMD-Anwendung.

Navigieren Sie zum Hauptordner Diagnostic Portico.

cd c:\icm\serviceability\diagnostics\bin
 

Entfernen Sie die aktuelle Zertifikatbindung für das Portico-Tool.

DiagFwCertMgr /task:UnbindCert

Zertifizierungsstelle signiertes Bind-Zertifikat.

Tipp: Verwenden Sie einen Texteditor (notepad++), um Leerzeichen im Hash zu entfernen.

Verwenden Sie den zuvor gespeicherten Hash mit entfernten Leerzeichen.

DiagFwCertMgr /task:BindCertFromStore /certhash:bc6bbe23b8b3a26d8446c252400f9264c5c30a29
Wenn das Zertifikat erfolgreich gebunden wurde, sollte die entsprechende Zeile in der Ausgabe angezeigt werden.
"Die Zertifikatbindung ist GÜLTIG."

Stellen Sie sicher, dass die Zertifikatsbindung mit diesem Befehl erfolgreich war.

DiagFwCertMgr /task:ValidateCertBinding
In der Ausgabe sollte eine ähnliche Meldung angezeigt werden.
"Die Zertifikatbindung ist GÜLTIG."
 

Hinweis: DiagFwCertMgr verwendet standardmäßig Port 7890.

Starten Sie den Diagnostic Framework-Dienst neu.

sc stop "diagfwsvc"
sc start "diagfwsvc"

Tipp: Die Dienstliste und insbesondere der Name des Portico-Service können über den Befehl tasklist im CMD-Tool überprüft werden.

tasklist /v

Überprüfen

Öffnen Sie die Diagnostic Framework-Seite mit FQDN, und es sollte keine Zertifikatswarnmeldung angezeigt werden.


Zurück-Plan


Falls Sie den Zugriff auf das Portico-Tool verloren haben, können Sie ein selbstsigniertes Zertifikat neu erstellen und eine Ausnahme hinzufügen.
Dieser Befehl kann verwendet werden. 

DiagFwCertMgr /task:CreateAndBindCert

Fehlerbehebung

Verwenden Sie keine IP-Adresse, wenn Sie sich beim Diagnostic Framework Portico-Tool anmelden. Sie erhalten immer noch eine Zertifikatswarnung, da FQDN mit dem im Zertifikats-CN-Feld angegebenen Wert übereinstimmen muss.

Überprüfen Sie, ob alle Server mit der NTP-Quelle synchronisiert sind. 
w32tm /monitor
Wenn Sie ein Zertifikat mit dem Schlüssellänge "Subject Alternative Name (SAN)" oder "Elliptic Curve Digital Signature Algorithm (EC DSA)" oder ein Zertifikat mit der Schlüssellänge 4096 verwenden möchten, müssen Sie zunächst isolieren, dass es nicht nur für eine dieser Funktionen gilt.

Verwandte Artikel

TAC Authored

Beiträge von Cisco Ingenieuren

  • Mayur Vyas
    Cisco TAC-Techniker
  • Alexander Levichev
    Cisco TAC-Techniker

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.