简介
本文档介绍使用SHA-256证书签名算法为Cisco Unified Contact Center Enterprise(UCCE)Web服务(如Web设置或CCE管理)生成自签名证书的过程。
问题
Cisco UCCE拥有由Microsoft Internet Information Services(IIS)服务器托管的几种Web服务。默认情况下,UCCE部署中的Microsoft IIS使用自签名证书和SHA-1证书签名算法。
大多数浏览器都认为SHA-1算法不安全,因此主管用于代理重新触发的CCE管理等关键工具在某些时候可能变得不可用。
解决方案
该问题的解决方案是生成SHA-256证书供IIS服务器使用。
警告:建议使用证书颁发机构签名证书。因此,应将此处所述的生成自签名证书视为快速恢复服务的临时解决方法。
注意:如果使用ICM Internet脚本编辑器应用程序进行远程脚本管理,则需要使用SSL加密实用程序为其生成证书。
WebSetup和CCE管理解决方案
1.在UCCE服务器上启动Windows PowerShell工具。
2.在PowerShell中,键入命令
New-SelfSignedCertificate -DnsName "pgb.allevich.local" -CertStoreLocation "cert:\LocalMachine\My"
其中DnsName后的参数将指定证书公用名(CN)。 将DnsName后的参数替换为服务器的正确参数。该证书的有效期为一年。
注意:证书中的公用名必须与服务器的完全限定域名(FQDN)匹配。
3.打开Microsoft管理控制台(MMC)工具。选择File -> Add/Remove Snap-In... ->选择Certificates,选择Computer account,然后将其添加到选定的管理单元。按ok,然后导航到Console Root -> Certificates(Local Computer) -> Personal -> Certificates。
确保此处存在新创建的证书。该证书不会配置友好名称,因此可以根据证书的CN和到期日期识别该证书。
通过选择证书属性并使用适当的名称填充友好名称文本框,可以为证书分配友好名称。
4.启动Internet信息服务(IIS)管理器。选择IIS Default Web Site,然后在右侧窗格中选择Bindings。选择HTTPS -> Edit,然后从SSL证书列表中选择自签名SHA-256生成的证书。
5.重新启动“万维网发布服务”服务。
诊断框架门户解决方案
1.重复步骤1-3。
将生成新的自签名证书。对于Portico工具,有另一种绑定证书的方法。
2.删除Portico工具的当前证书绑定。
cd c:\icm\serviceability\diagnostics\bin
DiagFwCertMgr /task:UnbindCert
3.绑定为Portico生成的自签名证书。
打开为Portico工具生成的自签名证书,然后选择Details选项卡。将Thumbprint值复制到文本编辑器。
注意:在某些文本编辑器中,指纹会自动加上问号。拿掉它。
从指纹中删除所有空格字符并在以下命令中使用它。
DiagFwCertMgr /task:BindCertFromStore /certhash:
4.使用此命令确保证书绑定成功。
DiagFwCertMgr /task:ValidateCertBinding
输出中应显示类似消息。
"证书绑定有效"
5.重新启动诊断框架服务。
sc stop "diagfwsvc"
sc start "diagfwsvc"
确认
清除浏览器缓存和历史记录。访问CCE管理服务网页,您将收到自签名证书警告。
查看证书详细信息并确保证书具有SHA-256证书签名算法。
相关文章
为UCCE诊断门户工具生成CA签名证书
为UCCE Web设置生成CA签名证书
使用CLI为基于VOS的服务器生成CA签名证书
为CVP OAMP服务器生成CA签名证书
反馈