ECDSA-Zertifikate in einer UCCX-Lösung verstehen

Download-Optionen

  • PDF     (615.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (466.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (456.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:4. April 2017
Dokument-ID:210528

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Konfiguration der Cisco Unified Contact Center Express (UCCX)-Lösung für die Verwendung von ECDSA-Zertifikaten (Elliptical Curve Digital Signature Algorithm) beschrieben.

Voraussetzungen

Anforderungen

Bevor Sie mit den in diesem Dokument beschriebenen Konfigurationsschritten fortfahren, stellen Sie sicher, dass Sie auf die Seite Betriebssystem-Administration für folgende Anwendungen zugreifen können:

Ein Administrator muss außerdem Zugriff auf den Zertifikatsspeicher auf den Client-PCs des Agenten und Supervisors haben.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Im Rahmen der Common Criteria (CC)-Zertifizierung hat Cisco Unified Communications Manager ECDSA-Zertifikate in Version 11.0 hinzugefügt. Dies betrifft alle Voice Operating System (VOS)-Produkte wie UCCX, SocialMiner, MediaSense usw. ab Version 11.5.

Weitere Details zum Elliptic Curve Digital Signature Algorithm finden Sie hier: https://www.maximintegrated.com/en/app-notes/index.mvp/id/5767

Im Hinblick auf die UCCX-Lösung wird Ihnen bei einem Upgrade auf Version 11.5 ein zusätzliches Zertifikat angeboten, das zuvor nicht vorhanden war. Dies ist das Tomcat-ECDSA-Zertifikat.

Dies wurde auch in der Vorabmitteilung dokumentiert: https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200651-UCCX-Version-11-5-Prerelease-Field-Commu.html?cachemode=refresh

  

Mitarbeitererfahrung

Nach einem Upgrade auf 11.5 kann der Agent aufgefordert werden, Zertifikate auf dem Finesse-Desktop zu akzeptieren, je nachdem, ob das Zertifikat selbstsigniert oder von der Zertifizierungsstelle (Certificate Authority, CA) signiert ist.

Benutzererlebnis nach dem Upgrade auf 11.5

210528-Understand-ECDSA-certificates-in-an-UCCX-00.png

Der Grund dafür ist, dass dem Finesse-Desktop jetzt ein ECDSA-Zertifikat angeboten wird, das zuvor nicht angeboten wurde.

Vorgehensweise

Von der Zertifizierungsstelle signierte Zertifikate vor dem Upgrade

210528-Understand-ECDSA-certificates-in-an-UCCX-01.png

  

Selbstsignierte Zertifikate vor dem Upgrade

210528-Understand-ECDSA-certificates-in-an-UCCX-02.png

Konfigurieren

Empfohlene Best Practices für dieses Zertifikat

Unterschriebene Zertifikate für UCCX und SocialMiner

Wenn Sie von einer Zertifizierungsstelle signierte Zertifikate verwenden, muss dieses ECDSA-Zertifikat von einer Zertifizierungsstelle (Certificate Authority, CA) zusammen mit anderen Zertifikaten signiert werden

Anmerkung: Wenn CA dieses ECDSA-Zertifikat mit RSA signiert, wird dieses Zertifikat dem Client nicht vorgelegt. Zur Erhöhung der Sicherheit wird empfohlen, dem Client die ECDSA-Zertifikate zur Verfügung zu stellen.

Hinweis: Wenn das ECDSA-Zertifikat auf SocialMiner von einer Zertifizierungsstelle mit RSA signiert wird, führt dies zu Problemen mit E-Mails und Chats. Dies wird im Defekt CSCvb58580 dokumentiert und eine Cop-Datei ist verfügbar. Mit diesem COP wird sichergestellt, dass ECDSA-Zertifikate nicht für Clients bereitgestellt werden. Wenn Sie eine Zertifizierungsstelle haben, die ECDSA-Zertifikate nur mit RSA signieren kann, verwenden Sie dieses Zertifikat nicht.Verwenden Sie den CoP, damit das ECDSA-Zertifikat nicht angeboten wird und Sie über eine RSA Only-Umgebung verfügen. 

Wenn Sie mit CA signierte Zertifikate verwenden und das ECDSA-Zertifikat nach dem Upgrade nicht signiert und hochgeladen ist, erhalten die Agenten eine Meldung, dass sie das zusätzliche Zertifikat akzeptieren müssen. Wenn sie auf OK klicken, werden sie zur Website weitergeleitet. Dies schlägt jedoch aufgrund der Sicherheitsdurchsetzung auf Browser-Seite fehl, da das ECDSA-Zertifikat selbst signiert ist und Ihre anderen Webzertifikate CA-signiert sind. Diese Kommunikation wird als Sicherheitsrisiko wahrgenommen. 

210528-Understand-ECDSA-certificates-in-an-UCCX-03.png

Führen Sie nach einem Upgrade auf UCCX und SocialMiner in Version 11.5 für jeden Knoten von UCCX Publisher, Subscriber und SocialMiner die folgenden Schritte aus:

  1. Navigieren Sie zur Seite OS Administration (Betriebssystemverwaltung), und wählen Sie Security > Certificate Management (Sicherheit > Zertifikatsverwaltung).

  2. Klicken Sie auf CSR erstellen.

  3. Wählen Sie in der Dropdown-Liste "Zertifikatsliste" tomcat-ECDSA als Zertifikatsname aus, und klicken Sie auf CSR generieren.

  4. Navigieren Sie zu Sicherheit > Zertifikatsverwaltung, und wählen Sie CSR herunterladen aus.

  5. Wählen Sie im Popup-Fenster aus der Dropdown-Liste tomcat-ECDSA aus, und klicken Sie auf CSR herunterladen.

Senden Sie den neuen CSR an die Drittanbieter-Zertifizierungsstelle, oder signieren Sie ihn mit einer internen Zertifizierungsstelle, die EG-Zertifikate signiert. Damit würden die folgenden unterzeichneten Zertifikate erstellt:

  • Stammzertifikat für die Zertifizierungsstelle (Wenn Sie dieselbe Zertifizierungsstelle für Anwendungszertifikate und EC-Zertifikate verwenden, können Sie diesen Schritt überspringen)
  • UCCX Publisher ECDSA Signiertes Zertifikat
  • ECDSA-Zertifikat des UCCX-Abonnenten
  • SocialMiner ECDSA-Zertifikat (signiert)

Anmerkung: Wenn Sie das Root- und Zwischenzertifikat auf einen Herausgeber (UCCX) hochladen, wird es automatisch auf den Abonnenten repliziert. Es ist nicht erforderlich, die Stamm- oder Zwischenzertifikate auf die anderen Server ohne Herausgeber in der Konfiguration hochzuladen, wenn alle Anwendungszertifikate über dieselbe Zertifikatskette signiert sind. Sie können diesen Upload des Stammzertifikats auch überspringen, wenn dieselbe Zertifizierungsstelle das EC-Zertifikat signiert und Sie dies bereits bei der Konfiguration der UCCX-Anwendungszertifikate getan haben.

Führen Sie auf jedem Anwendungsserver die folgenden Schritte aus, um das Stammzertifikat und das EC-Zertifikat auf die Knoten hochzuladen:

  1. Navigieren Sie zur Seite OS Administration (Betriebssystemverwaltung), und wählen Sie Security > Certificate Management (Sicherheit > Zertifikatsverwaltung).

  2. Klicken Sie auf Zertifikat hochladen.

  3. Laden Sie das Stammzertifikat hoch, und wählen Sie tomcat-trust als Zertifikatstyp aus.

  4. Klicken Sie auf Datei hochladen.

  5. Klicken Sie auf Zertifikat hochladen.

  6. Laden Sie das Anwendungszertifikat hoch, und wählen Sie tomcat-ECDSA als Zertifikatstyp aus.

  7. Klicken Sie auf Datei hochladen.

    Anmerkung: Wenn eine untergeordnete Zertifizierungsstelle das Zertifikat signiert, laden Sie das Stammzertifikat der untergeordneten Zertifizierungsstelle als Tomcat-Trust-Zertifikat anstatt als Stammzertifikat hoch. Wenn ein Zwischenzertifikat ausgestellt wurde, laden Sie dieses Zertifikat zusätzlich zum Anwendungszertifikat in den Tomcat-Trust-Speicher hoch. Sie können diesen Upload des Stammzertifikats auch überspringen, wenn dieselbe Zertifizierungsstelle das EC-Zertifikat signiert und Sie dies bereits bei der Konfiguration von UCCX-Anwendungszertifikaten getan haben.

  8. Starten Sie nach Abschluss des Vorgangs die folgenden Anwendungen neu:

    • Cisco SocialMiner
    • Cisco UCCX Publisher und Subscriber

Selbstsignierte Zertifikate für UCCX und SocialMiner

Wenn UCCX oder SocialMiner selbstsignierte Zertifikate verwenden, müssen die Agenten darauf hingewiesen werden, dass sie die Zertifikatwarnung akzeptieren, die ihnen im Chat-E-Mail-Gadget und in den Live-Daten-Gadgets angeboten wird.

Um selbstsignierte Zertifikate auf dem Client-Computer zu installieren, verwenden Sie eine Gruppenrichtlinie oder einen Paketmanager, oder installieren Sie sie einzeln im Browser jedes Agenten-PCs.

Installieren Sie für Internet Explorer die selbstsignierten Zertifikate auf der Clientseite im Speicher der vertrauenswürdigen Stammzertifizierungsstellen.

Führen Sie für Mozilla Firefox die folgenden Schritte aus:

  1. Navigieren Sie zu Extras > Optionen.

  2. Klicken Sie auf die Registerkarte Advanced (Erweitert).

  3. Klicken Sie auf Zertifikate anzeigen.

  4. Navigieren Sie zur Registerkarte Server.

  5. Klicken Sie auf Add Exception (Ausnahme hinzufügen).

  1. Anmerkung: Sie können auch die Sicherheitsausnahme hinzufügen, um das Zertifikat zu installieren, das dem oben beschriebenen Prozess entspricht. Dies ist eine einmalige Konfiguration auf dem Client.

Häufig gestellte Fragen

  

Wir haben Zertifikate mit CA-Signatur und möchten ein ECDSA-Zertifikat verwenden, das von einer EC-Zertifizierungsstelle signiert werden muss. Während wir warten, bis das von der Zertifizierungsstelle signierte Zertifikat verfügbar ist, müssen Live-Daten verfügbar sein. Was kann ich tun?

Dieses zusätzliche Zertifikat soll nicht signiert werden, da andernfalls die Agenten dieses zusätzliche Zertifikat akzeptieren. Was kann ich tun?

Es wird zwar empfohlen, dass den Browsern ECDSA-Zertifikate bereitgestellt werden, es besteht jedoch die Möglichkeit, diese zu deaktivieren. Sie können eine CoP-Datei auf UCCX und SocialMiner installieren, die sicherstellt, dass dem Client nur die RSA-Zertifikate angezeigt werden. Das ECDSA-Zertifikat verbleibt weiterhin im Schlüsselspeicher, wird aber den Kunden nicht angeboten.

Wenn ich diese Kopie verwende, um die ECDSA-Zertifikate zu deaktivieren, die den Clients angeboten werden, kann ich sie dann wieder aktivieren?

Ja, es ist ein Rollback-Cop verfügbar. Sobald das Zertifikat angewendet wurde, können Sie es signieren und auf den/die Server hochladen.

Würden alle Zertifikate ECDSA sein?

Derzeit nicht, aber weitere Sicherheits-Updates auf der VOS-Plattform in Zukunft.

Wann installieren Sie die UCCX-COP?

  • Wenn Sie selbstsignierte Zertifikate verwenden und nicht möchten, dass die Agents zusätzliche Zertifikate akzeptieren
  • Wenn von CA kein zusätzliches Zertifikat signiert werden kann

Wann installieren Sie die SM COP?

  • Wenn Sie selbstsignierte Zertifikate verwenden und nicht möchten, dass die Agents zusätzliche Zertifikate akzeptieren
  • Wenn von CA kein zusätzliches Zertifikat signiert werden kann
  • Wenn Sie über eine Zertifizierungsstelle verfügen, die ECDSA-Zertifikate nur mit RSA signieren kann. 

Welche Zertifikate werden standardmäßig von verschiedenen Webserverinstanzen angeboten?

Zertifikatkombination/Webserver Standard-Agent-Erlebnis nach Upgrade auf 11.5 (ohne Cops) UCCX Tomcat UCCX Openfire (Cisco Unified CCX Notification Service) UCCX-SocketIO SocialMiner Tomcat SocialMiner Openfire
Tomcat, selbstsigniert, Tomcat-ECDSA Die Agenten werden aufgefordert, ein Zertifikat im Live-Daten-Gadget und im Chat-E-Mail-Gadget zu akzeptieren. Selbstsigniert Selbstsigniert Selbstsigniert   Selbstsigniert Selbstsigniert
RSA CA unterzeichnet Tomcat, RSA CA unterzeichnet Tomcat-ECDSA Agenten können Finesse und Live-Daten verwenden, aber das E-Mail-Chat-Gadget wird nicht geladen, und die SocialMiner-Webseite wird nicht geladen.* RSA RSA RSA   RSA RSA (Cop muss installiert werden - CSCvb58580)
RSA CA unterzeichnet Tomcat, EC CA unterzeichnet Tomcat-ECDSA Agenten können Finesse sowohl mit Live-Daten als auch mit Chat-E-Mail* nutzen RSA RSA ECDSA   RSA ECDSA
RSA CA signiert Tomcat, selbst signiert Tomcat-ECDSA Die Agenten werden gebeten, ein zusätzliches Zertifikat in der Live-Daten- und E-Mail-Chat-Funktion zu akzeptieren.
Zertifikat vom Live-Daten-Gadget akzeptieren schlägt fehl, Zertifikat vom E-Mail-Chat-Gadget akzeptieren ist erfolgreich.*		 RSA RSA

Selbst signiert (Agents können aufgrund von Sicherheitsmaßnahmen, die vom Browser erzwungen werden, nicht akzeptieren. Siehe Screenshot oben.

Sie müssen das von einer EC-Zertifizierungsstelle signierte Zertifikat abrufen oder die Kopie auf UCCX installieren, um die für die Clients bereitgestellten ECDSA-Zertifikate zu deaktivieren.)

   RSA Selbstsigniert

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
04-Apr-2017
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Abhiram Kramadhati
    Cisco Engineering
  • Arundeep Nagaraj
    Cisco TAC Engineer

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.