使用证书颁发机构(CA)签名证书配置UCCE诊断框架门户工具的HTTPS访问

下载选项

  • PDF     (578.9 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2016 年 10 月 28 日
文档 ID:200755

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何为Unified Contact Center Enterprise(UCCE)诊断框架Portico工具安装CA签名证书的配置流程。 

先决条件


要求

Cisco 建议您了解以下主题:
  • Active Directory
  • 域名系统 (DNS) 服务器
  • 为所有服务器和客户端部署并工作的CA基础设施
  • 诊断框架门户
在浏览器中键入IP地址而不收到证书警告访问Diagnostic Framework Portico工具不属于本文的范围。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科UCCE 11.0.1
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012 R2证书颁发机构
  • Microsoft Windows 7 SP1操作系统

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。


配置

生成证书签名请求

打开Internet Information Services(IIS)管理器,选择站点、示例中的外围设备网关A(PGA)和服务器证书

200755-Configure-HTTPS-Access-for-UCCE-Diagnost-00.jpeg


在操作面板中选择创建证书请求

200755-Configure-HTTPS-Access-for-UCCE-Diagnost-01.jpeg

输入“公用名”(CN)、“组织”(O)、“组织单位”(OU)、“位置”(Locality)、“州级”(ST)和“国家”(C)字段。公用名必须与完全限定域名(FQDN)主机名+域名相同。

200755-Configure-HTTPS-Access-for-UCCE-Diagnost-02.jpeg

保留加密服务提供商的默认设置并指定位长度:2048.

选择要存储的路径。例如,在使用pga.csr名称的桌面上。

在记事本中打开新创建的请求。

200755-Configure-HTTPS-Access-for-UCCE-Diagnost-03.jpeg

使用CTRL+C将证书复制到缓冲区中。

在证书颁发机构上签署证书

注意:如果您使用外部证书颁发机构(如GoDaddy),则需要在生成CSR文件后与其联系。

登录您的CA服务器证书注册页面。
https://<CA-server-address>/certsrv

选择Request CertificateAdvanced Certificate Request,然后将Certificate Signing Request(CSR)内容粘贴到缓冲区。然后选择证书模板作为Web服务器

下载Base 64编码证书。

打开证书并复制指纹字段的内容以供以后使用。删除指纹中的空格。


安装证书


复制证书

将新生成的证书文件复制到Portico工具所在的UCCE VM中。

将证书导入本地计算机存储

 

在同一UCCE服务器上,通过选择“开始”菜单启动Microsoft管理控制台(MMC)控制台,键入runmmc

单击添加/删除管理单元,然后在对话框中单击添加

然后选择Certificates菜单并添加。
在Certificates管理单元对话框中,单击Computer Account > Local Computer > Finish

导航到个人证书文件夹。

200755-Configure-HTTPS-Access-for-UCCE-Diagnost-04.jpeg

在操作窗格中,选择更多操作> 所有任务> Import。

单击Next,Browse并选择之前生成的证书,然后在下一个菜单中确保证书存储设置为personal。在最后一个屏幕上,验证Certificate StoreCertificate File,然后单击Finish

绑定IIS证书

打开CMD应用程序。

导航到Diagnostic Portico主文件夹。

cd c:\icm\serviceability\diagnostics\bin
 

删除Portico工具的当前证书绑定。

DiagFwCertMgr /task:UnbindCert

绑定CA签名证书。

提示:使用某些文本编辑器(记事++)删除哈希中的空格。

使用之前保存的哈希值,并删除空格。

DiagFwCertMgr /task:BindCertFromStore /certhash:bc6bbe23b8b3a26d8446c252400f9264c5c30a29
如果证书成功绑定,您应在输出中看到类似的行。
"证书绑定有效"

使用此命令确保证书绑定成功。

DiagFwCertMgr /task:ValidateCertBinding
同样,输出中应会显示类似的消息。
"证书绑定有效"
 

注意:DiagFwCertMgr默认使用端口7890。

重新启动诊断框架服务。

sc stop "diagfwsvc"
sc start "diagfwsvc"

提示:可通过CMD工具中的tasklist命令检查服务列表,特别是Portico服务名称。

tasklist /v

验证

使用FQDN打开“诊断框架”页面,该页面不应提示证书警告消息。


退出计划


如果您无法访问Portico工具,您可以重新生成自签名证书并添加例外。
可以使用此命令完成。 

DiagFwCertMgr /task:CreateAndBindCert

故障排除

登录到Diagnostic Framework Portico工具时请勿使用IP地址。您仍然会收到证书警告,因为FQDN必须与证书CN字段中指定的值匹配。

验证所有服务器是否与NTP源同步。 
w32tm /monitor
如果您尝试使用主题备用名称(SAN)或椭圆曲线数字签名算法(EC DSA)或4096密钥长度证书 — 首先要确定它并非特定于这些功能之一。

相关文章

修订历史记录

版本 发布日期 备注
1.0
28-Oct-2016
初始版本
TAC Authored

由思科工程师提供

  • 马尤尔·维亚斯
    思科TAC工程师
  • 亚历山大·列维切夫
    思科TAC工程师

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品