简介
本文档介绍UCCE SSO所需的证书配置。此功能的配置包括HTTPS、数字签名和加密的多个证书。
要求
Cisco 建议您了解以下主题:
- UCCE版本11.5
- Microsoft Active Directory(AD)- Windows Server上安装的AD
- Active Directory联合身份验证服务(ADFS)版本2.0/3.0
使用的组件
UCCE 11.5
Windows 2012 R2
A部分。SSO消息流


启用SSO后,当代理登录到Finesse桌面时:
- Finesse服务器重定向代理浏览器以与身份服务(IDS)通信
- IDS使用SAML请求将代理浏览器重定向到身份提供程序(IDP)
- IDP生成SAML令牌并传递到IDS服务器
- 生成令牌后,每次代理浏览到复制时,都会使用此有效令牌进行登录
B部分.IDP和IDS中使用的证书

IDP证书
- SSL证书(SSO)
- 令牌签名证书
- 令牌 — 解密

IDS证书

C部分:详细介绍IDP认证和配置
SSL证书(SSO)
- 此证书用于IDP和客户端之间。客户端必须信任SSO证书
- SSL证书用于加密客户端和IDP服务器之间的会话。此证书不特定于ADFS,但特定于IIS
- SSL证书的主题必须与ADFS配置中使用的名称匹配

为SSO配置SSL证书的步骤(使用内部CA签名的本地实验)
步骤1.使用Certificate Signing Request(CSR)创建SSL证书,然后通过ADFS的内部CA进行签名。
- 打开服务器管理器。
- 点击Tools。
- 单击“Internet信息服务(IIS)管理器”。
- 选择本地服务器。
- 选择Server Certificates。
- 单击“打开特征”(Open Feature)(操作面板)。
- 单击create certificate request。
- 将Cryptographic服务提供商保留为默认值。
- 将Bit Length更改为2048。
- 单击 Next。
- 选择保存请求文件的位置。
- 单击 完成。


步骤2. CA对从步骤1生成的CSR进行签名。
- 打开CA服务器以使用此CSR http:<CA Server ip address>/certsrv/。
-
点击Request a certificate。
-
单击高级证书请求。
-
将CSR复制到Based-64编码证书请求。
-
提交。
-
下载签名证书。


步骤3.将签名证书安装回ADFS服务器并分配给ADFS功能。
1.将签名证书安装回ADFS服务器。为此,请打开Server manager>Tools>单击Internet Information Services(IIS)Manager>。
Local Server>Server Certificate>Open Feature(操作面板)。
2.单击“完成证书请求”。
3.选择从第三方证书提供商完成并下载的完整CSR文件的路径。
4.输入证书的友好名称。
5.选择“个人”作为证书存储区。
6.单击确定。

7.在此阶段,所有证书都已添加。现在,需要分配SSL证书。
8.展开本地服务器>展开站点>选择默认网站>单击绑定(操作窗格)。
9.单击Add。
10.将类型更改为HTTPS。
11.从下拉菜单中选择您的证书。
12.单击OK。

现在,为ADFS服务器分配了SSL证书。
注意:在安装ADFS功能期间,必须使用以前的SSL证书。
令牌签名证书
ADFS为令牌签名证书生成自签名证书。默认情况下,有效期为一年。
由IDP生成的SAML令牌由ADFS私钥(令牌签名证书专用部分)签名。 然后,IDS使用ADFS公钥进行验证。此保证签名令牌未修改。
每当用户需要获取信赖方应用(Cisco IDS)的访问权限时,都会使用令牌签名证书。

Cisco IDS服务器如何获取令牌歌唱证书的公钥?
这是通过将ADFS元数据上传到IDS服务器,然后将ADFS的公钥传递到IDS服务器来实现的。这样,IDS就获得了ADFS服务器的公钥。
您需要从ADFS下载IDP元数据。要下载IDP元数据,请参阅链接https:// <ADFS的FQDN>/federationmetadata/2007-06/federationmetadata.xml。
从ADFS元数据
将ADFS元数据上载到IDS
令牌解密
此证书由ADFS服务器自动生成(自签名)。 如果令牌需要加密,ADFS将使用IDS公钥对其进行解密。但是,当您看到ADFS令牌加密时,并不意味着令牌已加密。

如果要查看是否对特定信赖方应用程序启用了令牌加密,您需要检查特定信赖方应用程序上的“加密”选项卡。
此图显示,未启用令牌加密。
未启用加密
D部分。Cisco IDS侧证书
SAML证书
此证书由IDS服务器(自签名)生成。 默认情况下,有效期为3年。


此证书用于签署SAML请求并发送到IDP(ADFS)。 此公钥在IDS元数据中,必须导入到ADFS服务器。
1.从IDS服务器下载SAML SP元数据。
2.浏览到https://<ids server FQDN>:8553/idsadmin/。
3.选择设置,然后下载SAML SP元数据并保存。
来自IDS服务器的元数据
导入到ADFS服务器
从ADFS端验证
当IDS重新生成SAML证书(用于签署SAML请求)时,它将执行元数据交换。
加密/签名密钥
默认情况下未启用加密。如果启用加密,需要将其上传到ADFS。

参考:
http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/icm_enterprise/icm_enterprise_11_5_1/Configuration/Guide/UCCE_BK_U882D859_00_ucce-features-guide/UCCE_BK_U882D859_00_ucce-features-guide_chapter_0110.pdf