Unified Contact Center Enterprise(UCCE)单点登录(SSO)证书和配置

简介

本文档介绍UCCE SSO所需的证书配置。此功能的配置包括HTTPS、数字签名和加密的多个证书。

要求

Cisco 建议您了解以下主题：

• UCCE版本11.5
• Microsoft Active Directory(AD)- Windows Server上安装的AD
• Active Directory联合身份验证服务(ADFS)版本2.0/3.0

使用的组件

UCCE 11.5

Windows 2012 R2

A部分。SSO消息流

启用SSO后，当代理登录到Finesse桌面时：

• Finesse服务器重定向代理浏览器以与身份服务(IDS)通信
• IDS使用SAML请求将代理浏览器重定向到身份提供程序(IDP)
• IDP生成SAML令牌并传递到IDS服务器
• 生成令牌后，每次代理浏览到复制时，都会使用此有效令牌进行登录

B部分.IDP和IDS中使用的证书

IDP证书

• SSL证书(SSO)
• 令牌签名证书
• 令牌 — 解密

1. 

IDS证书

• SAML证书
• 签名密钥
• 加密密钥

C部分：详细介绍IDP认证和配置

SSL证书(SSO) 

• 此证书用于IDP和客户端之间。客户端必须信任SSO证书
• SSL证书用于加密客户端和IDP服务器之间的会话。此证书不特定于ADFS，但特定于IIS
• SSL证书的主题必须与ADFS配置中使用的名称匹配

为SSO配置SSL证书的步骤（使用内部CA签名的本地实验）

步骤1.使用Certificate Signing Request(CSR)创建SSL证书，然后通过ADFS的内部CA进行签名。

1. 打开服务器管理器。
2. 点击Tools。
3. 单击“Internet信息服务(IIS)管理器”。
4. 选择本地服务器。
5. 选择Server Certificates。
6. 单击“打开特征”(Open Feature)（操作面板）。
7. 单击create certificate request。
8. 将Cryptographic服务提供商保留为默认值。
9. 将Bit Length更改为2048。
10. 单击 Next。
11. 选择保存请求文件的位置。
12. 单击 完成。

步骤2. CA对从步骤1生成的CSR进行签名。

1. 打开CA服务器以使用此CSR http:<CA Server ip address>/certsrv/。

2. 点击Request a certificate。

3. 单击高级证书请求。

4. 将CSR复制到Based-64编码证书请求。

5. 提交。

6. 下载签名证书。

步骤3.将签名证书安装回ADFS服务器并分配给ADFS功能。

1.将签名证书安装回ADFS服务器。为此，请打开Server manager>Tools>单击Internet Information Services(IIS)Manager>。

Local Server>Server Certificate>Open Feature（操作面板）。   

2.单击“完成证书请求”。

3.选择从第三方证书提供商完成并下载的完整CSR文件的路径。

4.输入证书的友好名称。

5.选择“个人”作为证书存储区。

6.单击确定。

7.在此阶段，所有证书都已添加。现在，需要分配SSL证书。 

8.展开本地服务器>展开站点>选择默认网站>单击绑定（操作窗格）。

9.单击Add。

10.将类型更改为HTTPS。

11.从下拉菜单中选择您的证书。

12.单击OK。

现在，为ADFS服务器分配了SSL证书。

注意：在安装ADFS功能期间，必须使用以前的SSL证书。

令牌签名证书

ADFS为令牌签名证书生成自签名证书。默认情况下，有效期为一年。

由IDP生成的SAML令牌由ADFS私钥（令牌签名证书专用部分）签名。 然后，IDS使用ADFS公钥进行验证。此保证签名令牌未修改。

每当用户需要获取信赖方应用(Cisco IDS)的访问权限时，都会使用令牌签名证书。

Cisco IDS服务器如何获取令牌歌唱证书的公钥？

这是通过将ADFS元数据上传到IDS服务器，然后将ADFS的公钥传递到IDS服务器来实现的。这样，IDS就获得了ADFS服务器的公钥。

您需要从ADFS下载IDP元数据。要下载IDP元数据，请参阅链接https:// <ADFS的FQDN>/federationmetadata/2007-06/federationmetadata.xml。

从ADFS元数据将ADFS元数据上载到IDS
令牌解密

此证书由ADFS服务器自动生成（自签名）。 如果令牌需要加密，ADFS将使用IDS公钥对其进行解密。但是，当您看到ADFS令牌加密时，并不意味着令牌已加密。

如果要查看是否对特定信赖方应用程序启用了令牌加密，您需要检查特定信赖方应用程序上的“加密”选项卡。

此图显示，未启用令牌加密。

未启用加密

D部分。Cisco IDS侧证书

• SAML证书
• 加密密钥
• 签名密钥

SAML证书

此证书由IDS服务器（自签名）生成。 默认情况下，有效期为3年。

此证书用于签署SAML请求并发送到IDP(ADFS)。 此公钥在IDS元数据中，必须导入到ADFS服务器。

1.从IDS服务器下载SAML SP元数据。

2.浏览到https://<ids server FQDN>:8553/idsadmin/。

3.选择设置，然后下载SAML SP元数据并保存。

来自IDS服务器的元数据导入到ADFS服务器从ADFS端验证

当IDS重新生成SAML证书（用于签署SAML请求）时，它将执行元数据交换。

加密/签名密钥

默认情况下未启用加密。如果启用加密，需要将其上传到ADFS。

参考：

http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/icm_enterprise/icm_enterprise_11_5_1/Configuration/Guide/UCCE_BK_U882D859_00_ucce-features-guide/UCCE_BK_U882D859_00_ucce-features-guide_chapter_0110.pdf