了解UCCX解决方案中的ECDSA证书
目录
简介
本文档介绍如何配置Cisco Unified Contact Center Express(UCCX)解决方案以使用椭圆曲线数字签名算法(ECDSA)证书。
先决条件
要求
在您继续本文档中介绍的配置步骤之前,请确保您有权访问这些应用程序的“操作系统(OS)管理”(Operating System [OS] Administration)页面:
- UCCX
- SocialMiner
- 思科统一通信管理器 (CUCM)
- UCCX解决方案证书配置 — http://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/118855-configure-uccx-00.html
管理员还必须有权访问代理和Supervisor客户端PC上的证书存储。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
作为通用标准(CC)认证的一部分,Cisco Unified Communications Manager在版本11.0中添加了ECDSA证书。这会影响版本11.5中的所有语音操作系统(VOS)产品,如UCCX、SocialMiner、MediaSense等。
有关椭圆曲线数字签名算法的更多详细信息,请访问此处:https://www.maximintegrated.com/en/app-notes/index.mvp/id/5767
对于UCCX解决方案,当您升级到11.5时,会向您提供以前未提供的附加证书。这是Tomcat-ECDSA证书。
座席体验
升级到11.5后,可能会要求代理根据证书是自签名证书还是证书颁发机构(CA)签名证书在Finesse桌面上接受证书。
升级到11.5后的用户体验
这是因为现在为Finesse桌面提供了ECDSA证书,而之前未提供该证书。
步骤
CA签名证书预升级
自签名证书预升级
配置
建议用于此证书的最佳实践
UCCX和SocialMiner的签名证书
如果使用CA签名证书,此ECDSA证书必须由证书颁发机构(CA)与其他证书一起签名
如果您使用CA签名证书,并且在升级后没有签名并上传ECDSA证书,代理会收到接受附加证书的消息。单击OK后,他们将重定向到该网站。但是,由于ECDSA证书是自签名的,而您的其他Web证书是CA签名的,因此由于来自浏览器端的安全实施,此操作会失败。这种通信被视为一种安全风险。
升级到版本11.5的UCCX和SocialMiner后,在UCCX发布服务器和用户以及SocialMiner的每个节点上完成以下步骤:
- 导航到OS Administration页面,然后选择Security > Certificate Management。
- 点击生成 CSR。
- 从证书列表下拉列表中,选择tomcat-ECDSA作为证书名称,然后单击生成CSR。
- 导航到安全>证书管理,然后选择下载CSR。
- 在弹出窗口中,从下拉列表中选择tomcat-ECDSA,然后单击Download CSR。
将新CSR发送到第三方CA,或者与签署EC证书的内部CA进行签名。这将生成以下签名证书:
- CA的根证书(如果对应用证书和EC证书使用相同的CA,则可以跳过此步骤)
- UCCX发布服务器ECDSA签名证书
- UCCX用户ECDSA签名证书
- SocialMiner ECDSA签名证书
在每个应用服务器上完成以下步骤,以便将根证书和EC证书上传到节点:
- 导航到OS Administration页面,然后选择Security > Certificate Management。
- 点击上传证书。
- 上传根证书并选择tomcat-trust作为证书类型。
- 单击 Upload File。
- 点击上传证书。
- 上传应用证书并选择tomcat-ECDSA作为证书类型。
- 单击 Upload File。
- 完成后,重新启动这些应用程序:
- 思科SocialMiner
- Cisco UCCX发布服务器和订用服务器
UCCX和SocialMiner的自签名证书
如果UCCX或SocialMiner使用自签名证书,则需要建议代理接受聊天邮件小工具和实时数据小工具中提供的证书警告。
要在客户端计算机上安装自签名证书,请使用组策略或软件包管理器,或在每个代理PC的浏览器中单独安装它们。
对于Internet Explorer,将客户端自签名证书安装到受信任的根证书颁发机构存储中。
对于Mozilla Firefox,请完成以下步骤:
- 导航到工具>选项。
- 单击 Advanced 选项卡。
- 点击查看证书。
- 导航到Servers选项卡。
- 点击添加例外情况。
常见问题解答 (FAQ)
我们有CA签名证书,并且希望使用需要由EC CA签名的ECDSA证书。在等待CA签名证书可用时,我们需要启用实时数据。我该怎么办?
我们不想签署此附加证书,也不想让代理接受此附加证书。我该怎么办?
虽然建议将ECDSA证书提供给浏览器,但有一个选项可以禁用它。您可以在UCCX和SocialMiner上安装一个强制文件,以确保仅向客户端提供RSA证书。ECDSA证书仍保留在密钥库中,但不会提供给客户端。
如果使用此命令禁用提供给客户端的ECDSA证书,是否可以重新启用它?
是的,提供回滚策略。应用此证书后,您可以将此证书签名并上传到服务器。
是否所有证书都将成为ECDSA?
目前没有,但将来会对VOS平台进行进一步的安全更新。
您何时安装UCCX COP?
- 当您使用自签名证书并且不希望代理接受其他证书时
- 当您无法获得CA签名的附加证书时
何时安装SM COP?
- 当您使用自签名证书并且不希望代理接受其他证书时
- 当您无法获得CA签名的附加证书时
- 当您拥有能够仅使用RSA签署ECDSA证书的CA时
默认情况下,不同的Web服务器实例提供哪些证书?
| 证书组合/Web服务器 | 升级到11.5后的默认代理体验(无任何备份) | UCCX Tomcat | UCCX Openfire(Cisco Unified CCX通知服务) | UCCX SocketIO | SocialMiner Tomcat | SocialMiner Openfire | |
| 自签名Tomcat,自签名Tomcat-ECDSA | 座席将被要求接受实时数据小工具和聊天电子邮件小工具中的证书 | 自签名 | 自签名 | 自签名 | 自签名 | 自签名 | |
| RSA CA签名的Tomcat,RSA CA签名的Tomcat-ECDSA | 座席可以使用Finesse和Live Data,但无法加载电邮聊天小工具,也无法加载SocialMiner网页。* | RSA | RSA | RSA | RSA | RSA(需要安装cop - CSCvb58580) | |
| RSA CA签名的Tomcat,EC CA签名的Tomcat-ECDSA | 座席可以将Finesse与实时数据和聊天电子邮件配合使用* | RSA | RSA | ECDSA | RSA | ECDSA | |
| RSA CA签名Tomcat,自签名Tomcat-ECDSA | 座席需要接受实时数据和电子邮件聊天小工具中的附加证书。 接受来自实时数据小工具的证书失败,接受来自电子邮件聊天小工具的证书将成功。* |
RSA | RSA | 自签(由于浏览器强制实施安全措施,代理无法接受。请参阅上面的屏幕截图。 您必须获取由EC CA签名的证书,或在UCCX上安装策略以禁用提供给客户端的ECDSA证书。) |
RSA | 自签名 |
相关信息
- UCCX ECDSA COP - https://software.cisco.com/download/release.html?mdfid=286309734&softwareid=280840578&release=11.5(1)&flowid=80822
- SocialMiner ECDSA COP - https://software.cisco.com/download/release.html?mdfid=283613136&flowid=73189&release=11.5(1)&softwareid=283812550&sortparam=
- UCCX证书信息 — http://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/118855-configure-uccx-00.html
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
04-Apr-2017
|
初始版本 |
反馈