了解在UCCX解决方案的ECDSA证书

ContentsIntroductionPrerequisitesRequirementsComponentsUsed背景信息程序升级前CA的签名的证书升级前的自署名的认证ConfigureUCCX和SocialMiner的签名的证书UCCX和SocialMiner的自署名的认证常见问题(FAQ)RelatedInformationIntroduction本文描述如何配置CiscoUnifiedContactCenterExpress(UCCX)解决方案为使用省略曲线数字签名算法(ECDSA)证书.
PrerequisitesRequirements在您继续进行在本文描述的配置步骤前,请保证您访问这些应用程序的操作系统(OS)管理页面:UCCXqSocialMinerq思科统一通信管理器(CUCM)qUCCX解决方案身份验证配置-http://www.
cisco.
com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/118855-configure-uccx-00.
htmlq管理员必须也访问在代理程序和Supervisor客户端PC机的证书存储.
ComponentsUsedThisdocumentisnotrestrictedtospecificsoftwareandhardwareversions.
Theinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
如果您的网络处于活动状态,请确保您了解所有命令的潜在影响.
背景信息作为普通的标准(CC)一部分证明,CiscoUnified通信管理器添加了在版本11.
0的ECDSA证书.
这影响所有语音操作系统的(VOS)产品例如UCCX、SocialMiner、MediaSense等等从版本11.
5.
可以找到关于椭圆曲线数字签名算法的更多详细资料这里:https://www.
maximintegrated.
com/en/app-notes/index.
mvp/id/5767关于UCCX解决方案,当您升级到11.
5时,提供不当前前您的一个另外的认证.
这是TomcatECDSA认证.
这在预发布通信也描述了:https://www.
cisco.
com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200651-UCCX-Version-11-5-Prerelease-Field-Commu.
htmlcachemode=refresh代理程序经验在升级到11.
5,代理程序也许请求接受在精良签字的桌面基于的认证是否自已签署的后或CertificateAuthority(CA)上的证书.
用户体验过帐升级到11.
5这是因为当前提供未提供前精良桌面的一个ECDSA认证.
程序升级前CA的签名的证书升级前的自署名的认证Configure为此认证建议使用的最佳实践UCCX和SocialMiner的签名的证书如果使用CA签名的证书,必须由CertificateAuthority(CA)签字此ECDSA认证与其他证书一起Note:如果CA签署与RSA的此ECDSA认证,此certifictate不会被提交给客户端.
对于高级安全,为客户端提供的ECDSA证书是建议的最佳实践.
Note:如果在SocialMiner的ECDSA认证由与RSA的CA签字,导致电子邮件和聊天的问题.
这在缺陷CSCvb58580描述,并且策略文件是可用的.
此COPS保证ECDSA证书为客户端没有提供.
如果是能够的签署与仅RSA的ECDSA证书的有CA,请勿使用此认证.
请使用策略,以便没有提供ECDSA认证,并且您有仅一个RSA环境.
如果使用CA签名的证书,并且,在升级您没有签字和被加载后的ECDSA认证,代理程序体验消息接受另外的认证.
当他们点击OK时,他们重定向到网站.
然而,此失效由于从浏览器边的行使抵押权,因为ECDSA认证是签字的自已和您的其他Web证书是签字的CA.
此通信被察觉作为一种securiry风险.
在升级以后完成在UCCX发布服务器和用户每个节点和SocialMiner的这些步骤,对UCCX和SocialMiner在版本11.
5:连接对OS管理页面并且选择安全>CertificateManagement.
1.
点击生成CSR.
2.
从认证列表下拉列表,请选择TomcatECDSA作为验证名称并且点击生成CSR.
3.
连接对安全>CertificateManagement并且选择下载CSR.
4.
从弹出式窗口,从下拉列表请选择TomcatECDSA并且点击下载CSR.
5.
发送新的CSR到第三方CA或签署签署EC证书的它与内部CA.
这将生产这些签名的证书:CA的(如果使用同样CA应用程序证书和EC证书,您根证明能跳到此步骤)qUCCX发布人ECDSA签名的证书qUCCX订户ECDSA签名的证书qSocialMinerECDSA签名的证书qNote:如果加载根和中间证书在发布人(UCCX),将自动地被复制给订户.
如果所有应用程序证书通过同一条证书链,签字没有需要加载根或中间证书在其他上,非发布人服务器在配置.
并且您能跳过根证明此加载,如果同样CA签署EC认证,并且已经执行此,当您配置了UCCX应用程序证书.
完成在每个应用服务器的这些步骤为了加载根证明和EC认证到节点:连接对OS管理页面并且选择安全>CertificateManagement.
1.
点击加载认证.
2.
加载根证明并且选择Tomcat信任作为证书类型.
3.
单击UploadFile.
4.
点击加载认证.
5.
加载应用程序认证并且选择TomcatECDSA作为证书类型.
6.
单击UploadFile.
Note:如果辅助CA签署认证,请加载辅助CA的根证明作为Tomcat信任认证而不是根证明.
如果发出中间证书,除应用程序认证之外,请加载此认证到Tomcat信任存储.
并且您能跳过根证明此加载,如果同样CA签署EC认证,并且已经执行此,当您配置了UCCX应用程序证书.
7.
一旦完全,请重新启动这些应用程序:CiscoSocialMinerCiscoUCCX发布服务器和用户8.
UCCX和SocialMiner的自署名的认证如果UCCX或SocialMiner使用自署名的认证,代理程序需要建议接受认证警告他们在聊天电子邮件小配件提供并且居住数据小配件.
为了在客户端机器上安装自署名的认证,请使用一个组策略或程序包管理器或者在每个代理程序PC浏览器上单个安装他们.
对于InternetExplorer,请安装客户端自署名的认证到可靠的根证书颁发机构存储.
对于MozillaFirefox,请完成这些步骤:连接对Tools>选项.
1.
点击高级选项卡.
2.
点击视图证书.
3.
连接对服务器选项.
4.
点击添加例外.
5.
Note:您能也添加安全例外安装与上述进程是等同的认证.
这是在客户端的一种一次配置.
1.
常见问题(FAQ)我们有CA签名的证书,并且要使用需要由ECCA签字的ECDSA认证.
当我们等待CA签名的证书是可用的时,我们需要有实际数据.
我能做什么我们不要签署此另外的认证或安排代理程序接受此另外的认证.
我能做什么虽然推荐是安排ECDSA证书被提交到浏览器,有禁用它的选项.
您能在保证的UCCX和SocialMiner上安装策略文件仅RSA证书被提交给客户端.
ECDSA认证在keystore仍然保持,但是为客户端不会提供.
如果我使用此策略禁用为客户端提供的ECDSA证书,能Ienable(event)它是,有提供的回退策略.
一旦那适用,您能获得此认证签字和uplaoded对服务器.
所有证书是否将做ECDSA目前没有,但是在VOS平台的更加进一步的安全更新在将来.
什么时候安装UCCXCOPS当您使用自署名的认证,并且不希望代理程序接受另外的证书q当您不能获得另外的认证签字由CAq什么时候安装SMCOPS当您使用自署名的认证,并且不希望代理程序接受另外的证书q当您不能获得另外的认证签字由CAq当是能够的签署与仅RSA的ECDSA证书的您有CAq什么是不同的Web服务器实例提供默认情况下的证书认证组合/Web服务器在升级以后默认代理程序经验到11自已签字的Tomcat,自已签署了TomcatECDSA代理程序将请求接受在实际数据小配件和聊天电子邮件小配RSACA签字的Tomcat,RSACA签署了TomcatECDSA代理程序能使用精良和实际数据,但是电子邮件聊天小配件RSACA签字的Tomcat,ECCA签署了TomcatECDSA代理程序能以两使用精良居住数据和chat-email*RSACA签字的Tomcat,自已签署了TomcatECDSA代理程序将请求接受在实际数据和电子邮件聊天小配件的另接受从实际数据小配件的认证出故障,接受从电子邮件聊天RelatedInformationUCCXECDSACOPS-https://software.
cisco.
com/download/release.
htmlmdfid=286309734&softwareid=280840578&release=11.
5(1)&flowid=80822qSocialMinerECDSACOPS-https://software.
cisco.
com/download/release.
htmlmdfid=283613136&flowid=73189&release=11.
5(1)&softwareid=283812550&sortparam=qUCCX证书信息-http://www.
cisco.
com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/118855-configure-uccx-00.
htmlq