Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Guia de gerenciamento de certificado da solução UCCX

Opções de download

  • PDF     (383.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (373.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (237.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de Janeiro de 2019
ID do documento:118855

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar o Cisco Unified Contact Center Express (UCCX) para o uso de certificados autoassinados e assinados.

    Prerequisites

    Requirements

    Antes de prosseguir com as etapas de configuração descritas neste documento, verifique se você tem acesso à página de administração do sistema operacional (SO) para estes aplicativos:

    • UCCX
    • SocialMiner
    • MediaSense

    Um administrador também deve ter acesso ao repositório de certificados nos PCs cliente do agente e do supervisor.

    FQDN, DNS e domínios

    É necessário que todos os servidores na configuração do UCCX sejam instalados com servidores DNS (Domain Name System) e nomes de domínio. Também é necessário que agentes, supervisores e administradores acessem os aplicativos de configuração do UCCX por meio do Nome de domínio totalmente qualificado (FQDN).

    O UCCX Versão 10.0+ requer que o nome de domínio e os servidores DNS sejam preenchidos após a instalação. Os certificados gerados pelo instalador do UCCX Versão 10.0+ contêm o FQDN, conforme apropriado. Adicione os servidores DNS e um domínio ao cluster do UCCX antes de atualizar para o UCCX Versão 10.0+.

    Se o domínio for alterado ou preenchido pela primeira vez, os certificados devem ser regenerados. Depois de adicionar o nome de domínio à configuração do servidor, regenere todos os certificados Tomcat antes de instalá-los em outros aplicativos, nos navegadores clientes ou após a geração da Solicitação de assinatura de certificado (CSR) para assinatura.

    Componentes Utilizados

    As informações descritas neste documento são baseadas nestes componentes de hardware e software:

    • Serviços da Web UCCX
    • Serviço de notificação UCCX
    • UCCX Platform Tomcat
    • Cisco Finesse Tomcat
    • Tomcat do Cisco Unified Intelligence Center (CUIC)
    • Tomcat do SocialMiner
    • Serviços Web MediaSense

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Informações de Apoio

    Com a introdução do coresidente Finesse e CUIC, a integração entre o UCCX e o SocialMiner para email e bate-papo e o uso do MediaSense para gravar, entender e instalar certificados pelo Finesse, a capacidade de solucionar problemas de certificado é agora extremamente importante.

    Este documento descreve o uso de certificados autoassinados e assinados no ambiente de configuração do UCCX que abrange:

    • Serviços de notificação UCCX
    • Serviços da Web UCCX
    • Scripts UCCX
    • Coresidente Finesse
    • CUIC Co-Residente (dados ao vivo e relatórios históricos)
    • MediaSense (gravação e marcação com base em Finesse)
    • SocialMiner (bate-papo)

    Os certificados, assinados ou autoassinados, devem ser instalados nos aplicativos (servidores) na configuração do UCCX, bem como nos desktops cliente de agente e supervisor.

    No Unified Communications Operating System (UCOS) 10.5, certificados de vários servidores foram adicionados para que um único CSR pudesse ser gerado para um cluster, em vez de ter que assinar um certificado individual para cada nó no cluster. Esse tipo de certificado não é explicitamente suportado para UCCX, MediaSense e SocialMiner.

    Configurar

    Esta seção descreve como configurar o UCCX para o uso de certificados autoassinados e assinados.

    Diagrama de configuração

    Arquitetura da solução UCCX válida a partir do UCCX 11.0. Diagrama de comunicação HTTPS.

    Certificados assinados

    O método recomendado de gerenciamento de certificado para a configuração do UCCX é utilizar certificados assinados. Esses certificados podem ser assinados por uma autoridade de certificação interna (CA) ou por uma CA de terceiros bem conhecida.

    Nos principais navegadores, como o Mozilla Firefox e o Internet Explorer, os certificados raiz para CAs de terceiros conhecidas são instalados por padrão. Por padrão, os certificados para aplicativos de configuração do UCCX assinados por essas CAs são confiáveis, pois sua cadeia de certificados termina em um certificado raiz que já está instalado no navegador.

    O certificado raiz de uma CA interna também pode ser pré-instalado no navegador do cliente por meio de uma Política de Grupo ou outra configuração atual.

    Você pode escolher se os certificados do aplicativo de configuração do UCCX devem ser assinados por uma CA de terceiros bem conhecida ou por uma CA interna com base na disponibilidade e na pré-instalação do certificado raiz das CAs no navegador do cliente.

    Instalar Certificados de Aplicativo Tomcat Assinado

    Conclua estes passos para cada nó dos aplicativos UCCX Publisher e Subscriber, SocialMiner e MediaSense Publisher e Subscriber Administration:

    1. Navegue até a página Administração do SO e escolha Segurança > Gerenciamento de certificado.
    2. Clique em Gerar CSR.
    3. Na lista suspensa Lista de certificados, escolha tomcat como o nome do certificado e clique em Gerar CSR.
    4. Navegue até Security > Certificate Management e escolha Download CSR.
    5. Na janela pop-up, escolha tomcat na lista suspensa e clique em Download CSR.

    Envie o novo CSR para a CA de terceiros ou assine-o com uma CA interna, conforme descrito anteriormente. Esse processo deve produzir esses certificados assinados:

    • Certificado raiz para CA
    • Certificado de Aplicativo do Editor do UCCX
    • Certificado de aplicativo de assinante UCCX
    • Certificado de aplicativo do SocialMiner
    • Certificado de Aplicativo do MediaSense Publisher
    • Certificado de aplicativo de assinante do MediaSense

    Note: Deixe o campo Distribuição no CSR como o FQDN do servidor.

    Note: O certificado "Multi-server (SAN)" é compatível com o UCCX a partir da versão 11.6. No entanto, a SAN deve incluir apenas os Nó 1 e Nó 2 do UCCX. Outros servidores, como o SocialMiner, não devem ser incluídos na SAN do UCCX.

    Note: O UCCX suporta apenas comprimentos de chave de certificado de 1024 e 2048 bits.

    Conclua estes passos em cada servidor de aplicativos para carregar o certificado raiz e o certificado de aplicativo para os nós:

    Note: Se você carregar os certificados raiz e intermediário em um editor (UCCX ou MediaSense), eles deverão ser automaticamente replicados para o assinante. Não há necessidade de carregar os certificados raiz ou intermediários nos outros servidores não-publicadores na configuração se todos os certificados de aplicativos forem assinados pela mesma cadeia de certificados.

    1. Navegue até a página Administração do SO e escolha Segurança > Gerenciamento de certificado.
    2. Clique em Carregar certificado.
    3. Carregue o certificado raiz e escolha tomcat-trust como o tipo de certificado.
    4. Clique em Carregar arquivo.
    5. Clique em Carregar certificado.
    6. Carregue o certificado da aplicação e escolha tomcat como o tipo de certificado.
    7. Clique em Carregar arquivo.

      Note: Se uma CA subordinada assinar o certificado, carregue o certificado raiz da AC subordinada como o certificado tomcat-trust em vez do certificado raiz. Se um certificado intermediário for emitido, carregue esse certificado no armazenamento tomcat-trust além do certificado de aplicativo.

    8. Depois de concluir, reinicie estes aplicativos:
      • Editor e assinante do Cisco MediaSense
      • Cisco SocialMiner
      • Editor e assinante do Cisco UCCX

    Note: Quando você usa UCCX, MediaSense e SocialMiner 11.5 e posterior, há um novo certificado chamado tomcat-ECDSA. Quando você carregar um certificado tomcat-ECDSA assinado no servidor, carregue o certificado do aplicativo como um certificado tomcat-ECDSA, não como um certificado tomcat. Para obter mais informações sobre ECDSA, consulte a Seção Informações Relacionadas para o link entender e configurar certificados ECDSA.

    Certificados autoassinados

    Instalação em servidores periféricos

    Todos os certificados usados na configuração do UCCX vêm pré-instalados nos aplicativos de configuração e são autoassinados. Esses certificados autoassinados não são implicitamente confiáveis quando apresentados a um navegador cliente ou a outro aplicativo de configuração. Embora seja recomendável assinar todos os certificados na configuração do UCCX, você pode usar os certificados autoassinados pré-instalados.

    Para cada relação de aplicação, tem de transferir o certificado apropriado e carregá-lo para a aplicação. Conclua estes passos para obter e carregar os certificados:

    1. Acesse a página Administração do SO do aplicativo e escolha Segurança > Gerenciamento de certificado.

    2. Clique no arquivo certificate .pem apropriado e escolha Download:





    3. Para carregar um certificado no aplicativo apropriado, navegue até a página Administração do SO e escolha Segurança > Gerenciamento de certificado.
    4. Clique em Carregar certificado/cadeia de certificados:

    5. Depois de concluído, reinicie estes servidores:

      • Editor e assinante do Cisco MediaSense
      • Cisco SocialMiner
      • Editor e assinante do Cisco UCCX

    Para instalar certificados autoassinados na máquina cliente, use uma política de grupo ou um gerenciador de pacotes ou instale-os individualmente no navegador de cada PC do agente.

    Para o Internet Explorer, instale os certificados autoassinados do lado do cliente no repositório Autoridades de Certificação de Raiz Confiáveis.

    Para o Mozilla Firefox, faça o seguinte:

    1. Navegue até Ferramentas > Opções.
    2. Clique na guia Advanced.
    3. Clique em Exibir certificados.
    4. Navegue até a guia Servidores.
    5. Clique em Adicionar exceção.

    Regenerando certificados autoassinados

    Caso os certificados autoassinados expirem, precisarão ser regenerados e as etapas de configuração de Instalação em Servidores Periféricos precisarão ser executadas novamente.

    1. Acessar o aplicativo Administração do SO e escolha Segurança > Gerenciamento de Certificados.
    2. Clique no certificado apropriado e escolha Regenerar
    3. O servidor cujo certificado foi regenerado deve ser reiniciado.
    4. Para cada relação de aplicação, tem de transferir o certificado apropriado e carregá-lo para a aplicação seguindo as etapas de configuração de Instalar em Servidores Periféricos.

    Integração e configuração do cliente

    UCCX-to-MediaSense

    O UCCX consome a interface de programação de aplicativos (API) dos serviços Web MediaSense para duas finalidades:

    • Para assinar notificações de novas gravações que são chamadas no Cisco Unified Communications Manager (CUCM).
    • Para marcar gravações de agentes do UCCX com informações de agente e fila do Contact Service (CSQ).

    O UCCX consome a API REST nos nós de administração do MediaSense. Há um máximo de dois em qualquer cluster MediaSense. O UCCX não se conecta por meio da API REST aos nós de expansão MediaSense. Os dois nós do UCCX devem consumir a API do MediaSense REST, portanto, instale os dois certificados do MediaSense Tomcat em ambos os nós do UCCX.

    Carregue a cadeia de certificados assinados ou autoassinados dos servidores MediaSense para o armazenamento de chaves UCCX tomcat-trust.

    MediaSense-to-Finesse

    O MediaSense consome a API REST dos serviços Web do Finesse para autenticar agentes para o gadget Pesquisa e Reprodução do MediaSense no Finesse.

    O servidor MediaSense configurado no layout XML do Finesse para o gadget Pesquisar e reproduzir deve consumir a API REST do Finesse, portanto, instale os dois certificados UCCX Tomcat nesse nó do MediaSense.

    Carregue a cadeia de certificados assinados ou autoassinados dos servidores UCCX para o armazenamento de chaves MediaSense tomcat-trust.

    UCCX para SocialMiner

    O UCCX consome as APIs REST e de notificação do SocialMiner para gerenciar contatos e configurações de e-mail. Os dois nós do UCCX devem consumir a API REST do SocialMiner e ser notificados pelo serviço de notificação do SocialMiner, portanto, instale o certificado do SocialMiner Tomcat em ambos os nós do UCCX.

    Carregue a cadeia de certificados assinados ou autoassinados do servidor do SocialMiner para o armazenamento de chaves tomcat-trust do UCCX.

    Certificado do cliente UCCX AppAdmin

    O certificado do cliente UCCX AppAdmin é usado para a administração do sistema UCCX. Para instalar o certificado UCCX AppAdmin para administradores do UCCX, no PC cliente, navegue para https://<UCCX FQDN>/appadmin/main para cada um dos nós do UCCX e instale o certificado através do navegador.

    Certificado de cliente de plataforma UCCX

    Os serviços da Web do UCCX são usados para a entrega de contatos de bate-papo a navegadores clientes. Para instalar o certificado da plataforma UCCX para agentes e supervisores UCCX, no PC cliente, navegue para https://<UCCX FQDN>/appadmin/main para cada um dos nós UCCX e instale o certificado através do navegador.

    Certificado do cliente do serviço de notificação

    O Serviço de Notificação CCX é usado pelo Finesse, UCCX e CUIC para enviar informações em tempo real para o desktop do cliente via Extensible Messaging and Presence Protocol (XMPP). Isso é usado para comunicação Finesse em tempo real, bem como CUIC Live Data.

    Para instalar o certificado de cliente do Serviço de Notificação no PC dos agentes e supervisores ou usuários de relatórios que usam Dados dinâmicos, navegue até https://<UCCX FQDN>:7443/ para cada um dos nós do UCCX e instale o certificado através do navegador.

    Certificado do cliente Finesse

    O certificado do cliente Finesse é usado pelos desktops Finesse para se conectar à instância Finesse Tomcat para fins de comunicação REST API entre o desktop e o servidor Finesse co-residente.

    Para instalar o certificado Finesse para agentes e supervisores, no PC cliente, navegue até https://<UCCX FQDN>:8445/para cada um dos nós do UCCX e instale o certificado através dos prompts do navegador.

    Para instalar o certificado Finesse para administradores Finesse, no PC cliente, navegue para https://<UCCX FQDN>:8445/cfadmin para cada um dos nós UCCX e instale o certificado através dos prompts do navegador.

    Certificado do cliente do SocialMiner

    O certificado do SocialMiner Tomcat deve ser instalado na máquina cliente. Quando um agente aceita uma solicitação de bate-papo, o gadget Bate-papo é redirecionado para uma URL que representa a sala de bate-papo. Esta sala de chat é hospedada pelo servidor do SocialMiner e contém o cliente ou contato de chat.

    Para instalar o certificado do SocialMiner no navegador, no PC cliente, navegue para https://<SocialMiner FQDN>/ e instale o certificado através dos prompts do navegador.

    Certificado do cliente CUIC

    O certificado CUIC Tomcat deve ser instalado na máquina cliente para agentes, supervisores e usuários de relatórios que usam a interface da Web CUIC para relatórios históricos ou relatórios de Dados dinâmicos na página da Web do CUIC ou dentro dos gadgets na área de trabalho.

    Para instalar o certificado CUIC Tomcat no navegador, no PC cliente, navegue até https://<UCCX FQDN>:8444/ e instale o certificado através dos prompts do navegador.

    CUIC Live Data Certificate (desde 11.x)

    O CUIC usa o Socket IO Service para os dados dinâmicos de back-end. Este certificado deve ser instalado na máquina cliente para agentes, supervisores e usuários de relatórios que usam a interface da Web CUIC para Dados dinâmicos ou que usam os gadgets de Dados dinâmicos no Finesse.

    Para instalar o certificado Socket IO no navegador, no PC cliente, navegue para https://<UCCX FQDN>:12015/ e instale o certificado através dos prompts do navegador.

    Aplicativos de terceiros acessíveis a partir de scripts

    Se um script UCCX for projetado para acessar um local seguro em um servidor de terceiros (por exemplo, Obter Documento de URL para um URL HTTPS ou Fazer Chamada de Restauração para um URL HTTPS REST), faça upload da cadeia de certificados assinados ou autoassinados do serviço de terceiros para o armazenamento de chaves tomcat-trust do UCCX. Para obter esse certificado, acesse a página Administração do SO UCCX e escolha Carregar certificado.

    O UCCX Engine é configurado para pesquisar as cadeias de certificado de terceiros do Tomcat keystore da plataforma quando apresentadas com esses certificados por aplicativos de terceiros quando acessam locais seguros por meio de etapas de script.

    Toda a cadeia de certificados deve ser carregada para o armazenamento de chaves Tomcat da plataforma, acessível através da página Administração do SO, já que o armazenamento de chaves Tomcat não contém certificados raiz por padrão.

    Após concluir essas ações, reinicie o Cisco UCCX Engine.

    Verificar

    Para verificar se todos os certificados estão instalados corretamente, você pode testar os recursos descritos nesta seção. Se nenhum erro de certificado for exibido e todos os recursos funcionarem corretamente, os certificados serão instalados corretamente.

    • Configure o Finesse para que ele registre automaticamente um agente por meio do fluxo de trabalho. Depois que uma chamada for tratada pelo agente, use o aplicativo MediaSense Search and Play para localizá-la. Verifique se a chamada tem o agente, uma fila do Contact Service e marcas de equipe conectadas aos metadados de gravação no MediaSense.
    • Configure o bate-papo na Web do agente pelo SocialMiner. Injete um contato de bate-papo por meio do formulário da Web. Verifique se o agente recebe o banner para aceitar o contato de bate-papo e também se, depois que o contato de bate-papo for aceito, o formulário de bate-papo é carregado corretamente e se o agente pode receber e enviar mensagens de bate-papo.
    • Tente fazer logon em um agente via Finesse. Verifique se nenhum aviso de certificado é exibido e se a página da Web não solicita a instalação de certificados no navegador. Verifique se o agente pode alterar os estados corretamente e se uma nova chamada para o UCCX foi apresentada corretamente ao agente.
    • Depois de configurar os gadgets de Dados dinâmicos no layout de área de trabalho do agente e supervisor Finesse, faça logon em um agente, um supervisor e um usuário de relatório. Verifique se os gadgets de Dados dinâmicos são carregados corretamente, se os dados iniciais são preenchidos no gadget e se os dados são atualizados quando os dados subjacentes são alterados.
    • Tente se conectar de um navegador ao URL do AppAdmin em ambos os nós do UCCX. Verifique se nenhum aviso de certificado aparece quando solicitado com a página de login.

    Troubleshoot

    Problema - ID/senha de usuário inválida

    Os agentes UCCX Finesse não podem fazer login com o erro "ID/senha de usuário inválida".

    Causas

    O Unified CCX lança uma exceção "SSLHandshakeException" e falha ao estabelecer uma conexão com o Unified CM.

    Solução

    • Verifique se o certificado Tomcat do Unified CM não expirou.
    • Certifique-se de que qualquer certificado carregado no Unified CM tenha qualquer uma destas extensões marcadas como críticas:
           Uso da chave X509v3 (OID - 2.5.29.15)
           Restrições básicas do X509v3 (OID - 2.5.29.19)
      Se você marcar qualquer outro ramal como crítico, a comunicação falhará entre o Unified CCX e o Unified CM devido à falha na verificação do certificado do Unified CM.

    Problema - A SAN de CSR e a SAN de certificado não correspondem

    O carregamento de um certificado assinado pela CA exibe o erro "A SAN CSR e a SAN do certificado não correspondem".

    Causas

    A AC pode ter adicionado outro domínio pai no campo Certificate Subject Alternative Names (SAN) (Nomes alternativos do assunto do certificado). Por padrão, o CSR terá estas SANs:

    SubjectAltName [
       example.com (dNSName)
       hostname.example.com (dNSName)
    ]

    As CAs podem devolver um certificado com outra SAN adicionada ao certificado: www.hostname.example.com. O certificado terá uma SAN extra neste caso:

    SubjectAltName [
       example.com (dNSName)
       hostname.example.com (dNSName)

       www.hostname.example.com (dNSName)
    ]

    Isso causa o erro de incompatibilidade de SAN.

    Solução

    Na seção 'Nome alternativo do assunto (SANs)' da página 'Gerar solicitação de assinatura de certificado' do UCCX, gere o CSR com um campo de domínio pai vazio. Dessa forma, o CSR não é gerado com um atributo de SAN, a CA pode formatar as SANs e não haverá uma incompatibilidade de atributo de SAN quando você carregar o certificado para o UCCX. Observe que o campo Domínio pai assume como padrão o domínio do servidor UCCX, portanto, o valor deve ser explicitamente removido enquanto as configurações do CSR são configuradas. 

    Problema - NET::ERR_CERT_COMUM_NAME_INVALID

    Ao acessar qualquer página da Web do UCCX, MediaSense ou SocialMiner, você recebe uma mensagem de erro.

    "Sua conexão não é privada.

    Os invasores podem estar tentando roubar suas informações de <Server_FQDN> (por exemplo, senhas, mensagens ou cartões de crédito). NET::ERR_CERT_COMUM_NAME_INVALID

    Este servidor não pôde provar que é <Server_FQDN>; seu certificado de segurança é de [missing_subjectAltName]. Isso pode ser causado por uma configuração incorreta ou por um invasor que intercepta sua conexão."

    Causas

    A versão 58 do Chrome introduziu um novo recurso de segurança no qual informa que o certificado de um site não é seguro se o seu nome comum (CN) também não for incluído como SAN.

    Solução

    • Você pode navegar para Avançado > Prosseguir para <Server_FQDN> (inseguro) para continuar para o site e aceitar o erro de certificado.
    • Você pode evitar o erro completamente com certificados assinados pela CA. Quando você gera um CSR, o FQDN do servidor é incluído como uma SAN. A CA pode assinar o CSR e, depois de carregar o certificado assinado de volta para o servidor, o certificado do servidor terá o FQDN no campo SAN para que o erro não seja apresentado.

    Mais informações

    Consulte a seção "Remover suporte para a correspondência commonName em certificados" em Desvios e Remoções no Chrome 58.

    Defeitos do certificado

    • ID de bug da Cisco CSCvb46250 - UCCX: Impacto do certificado ECDSA Tomcat no Finesse Live Data
    • ID de bug da Cisco CSCvb58580 - Não é possível fazer login no SocialMiner com tomcat e tomcat-ECDSA assinados pela RSA CA
    • ID de bug da Cisco CSCvd56174 - UCCX: Falha de logon do agente Finesse devido a SSLHandshakeException
    • ID de bug da Cisco CSCuv89545 - Vulnerabilidade de congestionamento Finesse

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Arundeep Nagaraj
      Cisco TAC
    • Ryan LaFountain
      Cisco TAC
    • Jared Compiano
      Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco