简介
本文档介绍如何为Unified Contact Center Enterprise(UCCE)诊断框架Portico工具安装CA签名证书的配置流程。
先决条件
要求
Cisco 建议您了解以下主题:
- Active Directory
- 域名系统 (DNS) 服务器
- 为所有服务器和客户端部署并工作的CA基础设施
- 诊断框架门户
在浏览器中键入IP地址而不收到证书警告访问Diagnostic Framework Portico工具不属于本文的范围。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科UCCE 11.0.1
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2012 R2证书颁发机构
- Microsoft Windows 7 SP1操作系统
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置
生成证书签名请求
打开Internet Information Services(IIS)管理器,选择站点、示例中的外围设备网关A(PGA)和服务器证书。

在操作面板中选择创建证书请求。

输入“公用名”(CN)、“组织”(O)、“组织单位”(OU)、“位置”(Locality)、“州级”(ST)和“国家”(C)字段。公用名必须与完全限定域名(FQDN)主机名+域名相同。

保留加密服务提供商的默认设置并指定位长度:2048.
选择要存储的路径。例如,在使用pga.csr名称的桌面上。
在记事本中打开新创建的请求。

使用CTRL+C将证书复制到缓冲区中。
在证书颁发机构上签署证书
注意:如果您使用外部证书颁发机构(如GoDaddy),则需要在生成CSR文件后与其联系。
登录您的CA服务器证书注册页面。
https://<CA-server-address>/certsrv
选择Request Certificate、Advanced Certificate Request,然后将Certificate Signing Request(CSR)内容粘贴到缓冲区。然后选择证书模板作为Web服务器。
下载Base 64编码证书。
打开证书并复制指纹字段的内容以供以后使用。删除指纹中的空格。
安装证书
复制证书
将新生成的证书文件复制到Portico工具所在的UCCE VM中。
将证书导入本地计算机存储
在同一UCCE服务器上,通过选择“开始”菜单启动Microsoft管理控制台(MMC)控制台,键入run和mmc。
单击
添加/删除管理单元,然后在对话框中单击
添加。
然后选择Certificates菜单并添加。
在Certificates管理单元对话框中,单击Computer Account > Local Computer > Finish。
导航到个人证书文件夹。

在操作窗格中,选择更多操作> 所有任务> Import。
单击Next,Browse并选择之前生成的证书,然后在下一个菜单中确保证书存储设置为personal。在最后一个屏幕上,验证Certificate Store和Certificate File,然后单击Finish。
绑定IIS证书
打开CMD应用程序。
导航到Diagnostic Portico主文件夹。
cd c:\icm\serviceability\diagnostics\bin
删除Portico工具的当前证书绑定。
DiagFwCertMgr /task:UnbindCert
绑定CA签名证书。
提示:使用某些文本编辑器(记事++)删除哈希中的空格。
使用之前保存的哈希值,并删除空格。
DiagFwCertMgr /task:BindCertFromStore /certhash:bc6bbe23b8b3a26d8446c252400f9264c5c30a29
如果证书成功绑定,您应在输出中看到类似的行。
"证书绑定有效"
使用此命令确保证书绑定成功。
DiagFwCertMgr /task:ValidateCertBinding
同样,输出中应会显示类似的消息。
"证书绑定有效"
注意:DiagFwCertMgr默认使用端口7890。
重新启动诊断框架服务。
sc stop "diagfwsvc"
sc start "diagfwsvc"
提示:可通过CMD工具中的tasklist命令检查服务列表,特别是Portico服务名称。
tasklist /v
验证
使用FQDN打开“诊断框架”页面,该页面不应提示证书警告消息。
退出计划
如果您无法访问Portico工具,您可以重新生成自签名证书并添加例外。
可以使用此命令完成。
DiagFwCertMgr /task:CreateAndBindCert
故障排除
登录到Diagnostic Framework Portico工具时请勿使用IP地址。您仍然会收到证书警告,因为FQDN必须与证书CN字段中指定的值匹配。
验证所有服务器是否与NTP源同步。
w32tm /monitor
如果您尝试使用主题备用名称(SAN)或椭圆曲线数字签名算法(EC DSA)或4096密钥长度证书 — 首先要确定它并非特定于这些功能之一。
相关文章