Einleitung
In diesem Dokument wird die Konfiguration der Cisco Unified Contact Center Express (UCCX)-Lösung für die Verwendung von ECDSA-Zertifikaten (Elliptical Curve Digital Signature Algorithm) beschrieben.
Voraussetzungen
Anforderungen
Bevor Sie mit den in diesem Dokument beschriebenen Konfigurationsschritten fortfahren, stellen Sie sicher, dass Sie auf die Seite Betriebssystem-Administration für folgende Anwendungen zugreifen können:
Ein Administrator muss außerdem Zugriff auf den Zertifikatsspeicher auf den Client-PCs des Agenten und Supervisors haben.
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Im Rahmen der Common Criteria (CC)-Zertifizierung hat Cisco Unified Communications Manager ECDSA-Zertifikate in Version 11.0 hinzugefügt. Dies betrifft alle Voice Operating System (VOS)-Produkte wie UCCX, SocialMiner, MediaSense usw. ab Version 11.5.
Weitere Details zum Elliptic Curve Digital Signature Algorithm finden Sie hier: https://www.maximintegrated.com/en/app-notes/index.mvp/id/5767
Im Hinblick auf die UCCX-Lösung wird Ihnen bei einem Upgrade auf Version 11.5 ein zusätzliches Zertifikat angeboten, das zuvor nicht vorhanden war. Dies ist das Tomcat-ECDSA-Zertifikat.
Dies wurde auch in der Vorabmitteilung dokumentiert: https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200651-UCCX-Version-11-5-Prerelease-Field-Commu.html?cachemode=refresh
Mitarbeitererfahrung
Nach einem Upgrade auf 11.5 kann der Agent aufgefordert werden, Zertifikate auf dem Finesse-Desktop zu akzeptieren, je nachdem, ob das Zertifikat selbstsigniert oder von der Zertifizierungsstelle (Certificate Authority, CA) signiert ist.
Benutzererlebnis nach dem Upgrade auf 11.5

Der Grund dafür ist, dass dem Finesse-Desktop jetzt ein ECDSA-Zertifikat angeboten wird, das zuvor nicht angeboten wurde.
Vorgehensweise
Von der Zertifizierungsstelle signierte Zertifikate vor dem Upgrade
![]()
![]()
![]()

Selbstsignierte Zertifikate vor dem Upgrade

Konfigurieren
Empfohlene Best Practices für dieses Zertifikat
Unterschriebene Zertifikate für UCCX und SocialMiner
Wenn Sie von einer Zertifizierungsstelle signierte Zertifikate verwenden, muss dieses ECDSA-Zertifikat von einer Zertifizierungsstelle (Certificate Authority, CA) zusammen mit anderen Zertifikaten signiert werden
Anmerkung: Wenn CA dieses ECDSA-Zertifikat mit RSA signiert, wird dieses Zertifikat dem Client nicht vorgelegt. Zur Erhöhung der Sicherheit wird empfohlen, dem Client die ECDSA-Zertifikate zur Verfügung zu stellen.
Hinweis: Wenn das ECDSA-Zertifikat auf SocialMiner von einer Zertifizierungsstelle mit RSA signiert wird, führt dies zu Problemen mit E-Mails und Chats. Dies wird im Defekt CSCvb58580 dokumentiert und eine Cop-Datei ist verfügbar. Mit diesem COP wird sichergestellt, dass ECDSA-Zertifikate nicht für Clients bereitgestellt werden. Wenn Sie eine Zertifizierungsstelle haben, die ECDSA-Zertifikate nur mit RSA signieren kann, verwenden Sie dieses Zertifikat nicht.Verwenden Sie den CoP, damit das ECDSA-Zertifikat nicht angeboten wird und Sie über eine RSA Only-Umgebung verfügen.
Wenn Sie mit CA signierte Zertifikate verwenden und das ECDSA-Zertifikat nach dem Upgrade nicht signiert und hochgeladen ist, erhalten die Agenten eine Meldung, dass sie das zusätzliche Zertifikat akzeptieren müssen. Wenn sie auf OK klicken, werden sie zur Website weitergeleitet. Dies schlägt jedoch aufgrund der Sicherheitsdurchsetzung auf Browser-Seite fehl, da das ECDSA-Zertifikat selbst signiert ist und Ihre anderen Webzertifikate CA-signiert sind. Diese Kommunikation wird als Sicherheitsrisiko wahrgenommen.

Führen Sie nach einem Upgrade auf UCCX und SocialMiner in Version 11.5 für jeden Knoten von UCCX Publisher, Subscriber und SocialMiner die folgenden Schritte aus:
- Navigieren Sie zur Seite OS Administration (Betriebssystemverwaltung), und wählen Sie Security > Certificate Management (Sicherheit > Zertifikatsverwaltung).
- Klicken Sie auf CSR erstellen.
- Wählen Sie in der Dropdown-Liste "Zertifikatsliste" tomcat-ECDSA als Zertifikatsname aus, und klicken Sie auf CSR generieren.
- Navigieren Sie zu Sicherheit > Zertifikatsverwaltung, und wählen Sie CSR herunterladen aus.
- Wählen Sie im Popup-Fenster aus der Dropdown-Liste tomcat-ECDSA aus, und klicken Sie auf CSR herunterladen.
Senden Sie den neuen CSR an die Drittanbieter-Zertifizierungsstelle, oder signieren Sie ihn mit einer internen Zertifizierungsstelle, die EG-Zertifikate signiert. Damit würden die folgenden unterzeichneten Zertifikate erstellt:
- Stammzertifikat für die Zertifizierungsstelle (Wenn Sie dieselbe Zertifizierungsstelle für Anwendungszertifikate und EC-Zertifikate verwenden, können Sie diesen Schritt überspringen)
- UCCX Publisher ECDSA Signiertes Zertifikat
- ECDSA-Zertifikat des UCCX-Abonnenten
- SocialMiner ECDSA-Zertifikat (signiert)
Anmerkung: Wenn Sie das Root- und Zwischenzertifikat auf einen Herausgeber (UCCX) hochladen, wird es automatisch auf den Abonnenten repliziert. Es ist nicht erforderlich, die Stamm- oder Zwischenzertifikate auf die anderen Server ohne Herausgeber in der Konfiguration hochzuladen, wenn alle Anwendungszertifikate über dieselbe Zertifikatskette signiert sind. Sie können diesen Upload des Stammzertifikats auch überspringen, wenn dieselbe Zertifizierungsstelle das EC-Zertifikat signiert und Sie dies bereits bei der Konfiguration der UCCX-Anwendungszertifikate getan haben.
Führen Sie auf jedem Anwendungsserver die folgenden Schritte aus, um das Stammzertifikat und das EC-Zertifikat auf die Knoten hochzuladen:
- Navigieren Sie zur Seite OS Administration (Betriebssystemverwaltung), und wählen Sie Security > Certificate Management (Sicherheit > Zertifikatsverwaltung).
- Klicken Sie auf Zertifikat hochladen.
- Laden Sie das Stammzertifikat hoch, und wählen Sie tomcat-trust als Zertifikatstyp aus.
- Klicken Sie auf Datei hochladen.
- Klicken Sie auf Zertifikat hochladen.
- Laden Sie das Anwendungszertifikat hoch, und wählen Sie tomcat-ECDSA als Zertifikatstyp aus.
- Klicken Sie auf Datei hochladen.
Anmerkung: Wenn eine untergeordnete Zertifizierungsstelle das Zertifikat signiert, laden Sie das Stammzertifikat der untergeordneten Zertifizierungsstelle als Tomcat-Trust-Zertifikat anstatt als Stammzertifikat hoch. Wenn ein Zwischenzertifikat ausgestellt wurde, laden Sie dieses Zertifikat zusätzlich zum Anwendungszertifikat in den Tomcat-Trust-Speicher hoch. Sie können diesen Upload des Stammzertifikats auch überspringen, wenn dieselbe Zertifizierungsstelle das EC-Zertifikat signiert und Sie dies bereits bei der Konfiguration von UCCX-Anwendungszertifikaten getan haben.
- Starten Sie nach Abschluss des Vorgangs die folgenden Anwendungen neu:
- Cisco SocialMiner
- Cisco UCCX Publisher und Subscriber
Selbstsignierte Zertifikate für UCCX und SocialMiner
Wenn UCCX oder SocialMiner selbstsignierte Zertifikate verwenden, müssen die Agenten darauf hingewiesen werden, dass sie die Zertifikatwarnung akzeptieren, die ihnen im Chat-E-Mail-Gadget und in den Live-Daten-Gadgets angeboten wird.
Um selbstsignierte Zertifikate auf dem Client-Computer zu installieren, verwenden Sie eine Gruppenrichtlinie oder einen Paketmanager, oder installieren Sie sie einzeln im Browser jedes Agenten-PCs.
Installieren Sie für Internet Explorer die selbstsignierten Zertifikate auf der Clientseite im Speicher der vertrauenswürdigen Stammzertifizierungsstellen.
Führen Sie für Mozilla Firefox die folgenden Schritte aus:
- Navigieren Sie zu Extras > Optionen.
- Klicken Sie auf die Registerkarte Advanced (Erweitert).
- Klicken Sie auf Zertifikate anzeigen.
- Navigieren Sie zur Registerkarte Server.
- Klicken Sie auf Add Exception (Ausnahme hinzufügen).
-
Anmerkung: Sie können auch die Sicherheitsausnahme hinzufügen, um das Zertifikat zu installieren, das dem oben beschriebenen Prozess entspricht. Dies ist eine einmalige Konfiguration auf dem Client.
Häufig gestellte Fragen
Wir haben Zertifikate mit CA-Signatur und möchten ein ECDSA-Zertifikat verwenden, das von einer EC-Zertifizierungsstelle signiert werden muss. Während wir warten, bis das von der Zertifizierungsstelle signierte Zertifikat verfügbar ist, müssen Live-Daten verfügbar sein. Was kann ich tun?
Dieses zusätzliche Zertifikat soll nicht signiert werden, da andernfalls die Agenten dieses zusätzliche Zertifikat akzeptieren. Was kann ich tun?
Es wird zwar empfohlen, dass den Browsern ECDSA-Zertifikate bereitgestellt werden, es besteht jedoch die Möglichkeit, diese zu deaktivieren. Sie können eine CoP-Datei auf UCCX und SocialMiner installieren, die sicherstellt, dass dem Client nur die RSA-Zertifikate angezeigt werden. Das ECDSA-Zertifikat verbleibt weiterhin im Schlüsselspeicher, wird aber den Kunden nicht angeboten.
Wenn ich diese Kopie verwende, um die ECDSA-Zertifikate zu deaktivieren, die den Clients angeboten werden, kann ich sie dann wieder aktivieren?
Ja, es ist ein Rollback-Cop verfügbar. Sobald das Zertifikat angewendet wurde, können Sie es signieren und auf den/die Server hochladen.
Würden alle Zertifikate ECDSA sein?
Derzeit nicht, aber weitere Sicherheits-Updates auf der VOS-Plattform in Zukunft.
Wann installieren Sie die UCCX-COP?
- Wenn Sie selbstsignierte Zertifikate verwenden und nicht möchten, dass die Agents zusätzliche Zertifikate akzeptieren
- Wenn von CA kein zusätzliches Zertifikat signiert werden kann
Wann installieren Sie die SM COP?
- Wenn Sie selbstsignierte Zertifikate verwenden und nicht möchten, dass die Agents zusätzliche Zertifikate akzeptieren
- Wenn von CA kein zusätzliches Zertifikat signiert werden kann
- Wenn Sie über eine Zertifizierungsstelle verfügen, die ECDSA-Zertifikate nur mit RSA signieren kann.
Welche Zertifikate werden standardmäßig von verschiedenen Webserverinstanzen angeboten?
Zertifikatkombination/Webserver |
Standard-Agent-Erlebnis nach Upgrade auf 11.5 (ohne Cops) |
UCCX Tomcat |
UCCX Openfire (Cisco Unified CCX Notification Service) |
UCCX-SocketIO |
|
SocialMiner Tomcat |
SocialMiner Openfire |
Tomcat, selbstsigniert, Tomcat-ECDSA |
Die Agenten werden aufgefordert, ein Zertifikat im Live-Daten-Gadget und im Chat-E-Mail-Gadget zu akzeptieren. |
Selbstsigniert |
Selbstsigniert |
Selbstsigniert |
|
Selbstsigniert |
Selbstsigniert |
RSA CA unterzeichnet Tomcat, RSA CA unterzeichnet Tomcat-ECDSA |
Agenten können Finesse und Live-Daten verwenden, aber das E-Mail-Chat-Gadget wird nicht geladen, und die SocialMiner-Webseite wird nicht geladen.* |
RSA |
RSA |
RSA |
|
RSA |
RSA (Cop muss installiert werden - CSCvb58580) |
RSA CA unterzeichnet Tomcat, EC CA unterzeichnet Tomcat-ECDSA |
Agenten können Finesse sowohl mit Live-Daten als auch mit Chat-E-Mail* nutzen |
RSA |
RSA |
ECDSA |
|
RSA |
ECDSA |
RSA CA signiert Tomcat, selbst signiert Tomcat-ECDSA |
Die Agenten werden gebeten, ein zusätzliches Zertifikat in der Live-Daten- und E-Mail-Chat-Funktion zu akzeptieren. Zertifikat vom Live-Daten-Gadget akzeptieren schlägt fehl, Zertifikat vom E-Mail-Chat-Gadget akzeptieren ist erfolgreich.* |
RSA |
RSA |
Selbst signiert (Agents können aufgrund von Sicherheitsmaßnahmen, die vom Browser erzwungen werden, nicht akzeptieren. Siehe Screenshot oben. Sie müssen das von einer EC-Zertifizierungsstelle signierte Zertifikat abrufen oder die Kopie auf UCCX installieren, um die für die Clients bereitgestellten ECDSA-Zertifikate zu deaktivieren.) |
|
RSA |
Selbstsigniert |
Zugehörige Informationen