简介
本文档介绍Cisco Unified Contact Center Express(UCCX)如何使用传输层安全(TLS)与第三方应用进行不同类型的集成。这些集成可以是UCCX用作客户端或UCCX用作服务器的位置。
作者:Abhiram Kramadhati,思科工程部。
UCCX用作服务器
当UCCX用作服务器时,远程方使用TLS 1.0、1.1或1.2进行通信时,UCCX能够基于与Unified CCX版本兼容的TLS版本进行通信:
- Unified CCX 10.6 - TLS 1.0、1.1和1.2
- Unified CCX 11.x - TLS 1.0、1.1和1.2
这些集成使Unified CCX系统的API服务由第三方应用使用。
UCCX用作客户端
当UCCX用作客户端时,它会请求第三方服务器调用服务或获取信息。在这种情况下,一个常见的示例是集成到Salesforce系统以实现CRM集成。请求可以来自:
- Unified CCX脚本
- Finesse工作流程
- Finesse小工具
在UCCX版本10.x、11.0(1)和11.5(1)中,当Unified CCX调用此请求时,默认情况下它使用TLS 1.0。第三方服务器应该能够使用TLS 1.0通信,否则通信将失败。
不建议使用TLS 1.0支持
许多应用程序提供程序已弃用对TLS 1.0的支持。TLS 1.0上的通信(甚至TLS 1.0的可用性)被许多组织视为漏洞。
这方面的最新发布来自Salesforce:https://help.salesforce.com/articleView?id=000221207&type=1。这与UCCX与Salesforce集成的UCCX客户有关。截至2017年2月17日,Salesforce宣布将取消对TLS 1.0的支持:
新部署:TLS 1.0默认禁用
沙盒环境/开发人员系统:TLS 1.0在2016年6月25日上午9:30 PDT(16:30 UTC)后禁用
生产系统:TLS 1.0在2017年7月22日之后被禁用
这意味着使用TLS 1.0向Salesforce系统调用Web请求的UCCX解决方案无法发布这些日期。
注意:同样的逻辑也适用于任何此类集成。Salesforce就是这样一家发布相关公告的供应商。
后续步骤
如果存在使用TLS的集成,则下表显示当Unified CCX是客户端(Salesforce集成)时为Unified CCX集成提供TLS 1.1和1.2支持的Unified CCX版本,以及从Unified CCX完全删除TLS 1.0的版本。
客户应计划升级到下述版本,以提供其环境所需的TLS支持。没有可用于同一项目的工程特别计划。
当前客户版本 |
当UCCX是客户端时,TLS 1.1、1.2支持的目标版本 |
从UCCX中删除TLS 1.0的目标版本 |
10.0 |
10.6(1)SU3 |
11.5(1)SU1 |
10.5 |
10.6(1)SU3 |
11.5(1)SU1 |
10.6 |
10.6(1)SU3 |
11.5(1)SU1 |
11.0 |
11.5(1)SU1 |
11.5(1)SU1 |
11.5 |
11.5(1)SU1 |
11.5(1)SU1 |
上述版本的ETA尚未确认,但将在Salesforce最后期限之前确认。它们发布在cisco.com软件下载页面上。
TLS支持矩阵
当前支持
UCCX解决方案版本 |
UCCX用作服务器时的TLS版本 |
UCCX用作客户端时的TLS版本 |
10.6(1)SU2 |
1.0、1.1 和 1.2 |
1.0 |
11.0(1) |
1.0、1.1 和 1.2 |
1.0 |
11.0(1)SU1 |
1.0、1.1 和 1.2 |
1.0 |
11.5(1) |
1.0、1.1 和 1.2 |
1.0 |
即将发布的版本
UCCX解决方案版本 |
UCCX用作服务器时的TLS版本 |
UCCX用作客户端时的TLS版本 |
10.6(1)SU3 |
1.0、1.1 和 1.2 |
1.1、1.2* |
11.5(1)SU1 |
1.1、1.2# |
1.1、1.2* |
11.6(1) |
1.2 |
1.2 |
*默认值
#请在此处查看有关SocialMiner的说明
SocialMiner和TLS支持
SocialMiner除了上述支持矩阵之外,还有以下更改:
11.5(1)SU1
11.5(1)SU1仍然支持Exchange 2010。由于Exchange 2010仅支持TLS 1.0,因此SocialMiner不会删除TLS 1.0。但是,为了确保安全不受影响,所有传入连接将不支持TLS 1.0,并且只有传出连接将具有TLS 1.0(如果第三方服务器只能在TLS 1.0上通信)。否则,连接将在TLS 1.1和1.2上运行
11.6
SocialMiner 11.6已删除TLS 1.0。如果客户使用Exchange 2013,则默认情况下Exchange 2013使用TLS 1.0,并且所有电子邮件活动均失败,因为SocialMiner不支持TLS 1.0。因此,客户应在Exchange 2013上启用TLS 1.1/1,2,以便可以继续使用11.6。这一点也记录在发行说明和11.6的预发行版本通信中。
常见问题
如何获得解决方案所需的TLS支持?
您应升级到上表中列出的版本。没有任何单独的工程特别计划或警察文件。
如果Salesforce删除TLS 1.0支持,而我的版本仅支持TLS 1.0客户端请求,向Salesforce系统的请求是否失败?
Yes.事实上,如果UCCX仅在TLS 1.0上发送请求,则不支持TLS 1.0的任何服务器都不会与UCCX配合使用,并且这种情况适用于版本10.6(1)SU2、11.0(1)、11.0(1)SU1、11.5(1)。
提供TLS 1.0支持会带来安全风险。是否可以从UCCX解决方案中完全删除TLS 1.0?
是,UCCX 11.5(1)SU1及以上版本已完全为外部HTTPS连接删除TLS 1.0。
每个与UCCX之间的连接是否都适用于上述TLS更改?
这些更新仅适用于HTTPS连接。JDBC连接仍可以在TLS 1.0上运行。
获取文件并提交服务请求
有关获取文档、使用思科漏洞搜索工具(BST)、提交服务请求和收集其他信息的信息,请参阅思科产品文档更新,网址为: http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.html.
订阅思科产品文档的新增内容,其中列出所有新的和修订的思科技术文档,这些文档作为RSS源,并使用阅读器应用程序将内容直接传送到您的桌面。RSS源是一项免费服务。
本手册中有关产品的规格和信息如有更改,恕不另行通知。我们尽力确保本手册提供的所有声明、信息和建议均准确可靠,但不对其作任何明示或暗示的保证。用户必须对其任何产品的使用承担全部责任。
相伴产品的软件许可证和有限保证书在产品随带的信息包中进行了阐述,在此一并纳入本参考资料。如果您无法找到软件许可证或有限保证书,请向您的 CISCO 代表联系索取一份。
Cisco 实现的 TCP 报头压缩改编自 University of California, Berkeley (UCB) 开发的、作为 UNIX 操作系统的 UCB 公用域版本组成部分的程序。保留所有权利。版权所有 ©1981,University of California 董事。
不管本文其他地方列出了何种保证,这些供应商的所有文档和软件均“按现状”提供并可能带有各种缺陷。CISCO 和上面所提及的提供商拒绝所有明示或暗示的保证,包括但不限于特定用途的适销性、适合性保证和非违背性保证,或者因卖买或使用以及商业惯例所引发的保证。
IN NO EVENT SHALL CISCO OR ITS SUPPLIERS BE LIABLE FOR ANY INDIRECT, SPECIAL, CONSEQUENTIAL, OR INCIDENTAL DAMAGES, INCLUDING, WITHOUT LIMITATION, LOST PROFITS OR LOSS OR DAMAGE TO DATA ARISING OUT OF THE USE OR INABILITY TO USE THIS MANUAL, EVEN IF CISCO OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
本文档中使用的任何Internet协议(IP)地址和电话号码都不是实际地址和电话号码。本文档中包含的任何示例、命令显示输出、网络拓扑图和其他图仅作说明之用。在说明性内容中使用实际IP地址或电话号码是无意的,而且纯属巧合。
所有打印副本和复制软副本被视为不受控制的副本,应参考原始在线版本以获取最新版本。
Cisco 在全球设有超过 200 个办事处。思科网站www.cisco.com/go/offices上列出了地址、电话号码和传真号码。
Cisco 和 Cisco 徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。要查看思科商标列表,请访问此URL:www.cisco.com/go/trademarks。文中提及的第三方商标为其相应所有者的财产。使用文字“合作伙伴”并不暗示 Cisco 与任何其它公司存在合作关系。(1110R)
© 2016 Cisco Systems, Inc.版权所有。