Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer la solution du Cisco Unified Contact Center Express (UCCX) pour l'usage des Certificats elliptiques de l'algorithme de signature numérique de curve (ECDSA).
Avant que vous poursuiviez les étapes de configuration qui sont décrites dans ce document, assurez-vous que vous avez accès à la page du système d'exploitation de gestion (de SYSTÈME D'EXPLOITATION) pour ces applications :
Un administrateur doit également avoir accès à la mémoire de certificat sur les PC de client d'agent et de superviseur.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
En tant qu'élément de la certification commune des critères (cc), Cisco Unified Communications Manager a ajouté des Certificats ECDSA dans la version 11.0. Ceci affecte tous les Produits du système d'exploitation de Voix (VOS) tels qu'UCCX, SocialMiner, MediaSense, etc. de version 11.5.
Plus de détails au sujet de l'algorithme elliptique de signature numérique de curve peuvent être trouvés ici : https://www.maximintegrated.com/en/app-notes/index.mvp/id/5767
En ce qui concerne la solution UCCX, quand vous améliorez à 11.5, vous êtes offert un certificat supplémentaire qui n'était pas plus tôt actuel. C'est le certificat de Tomcat-ECDSA.
Ceci a été également documenté dans la transmission de pré-version : https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/200651-UCCX-Version-11-5-Prerelease-Field-Commu.html?cachemode=refresh
Expérience d'agent
Après qu'une mise à jour à 11.5, l'agent pourrait être invitée pour recevoir des Certificats sur l'appareil de bureau de finesse basé en fonction si le certificat auto-est signé ou l'Autorité de certification (CA) signé.
Mise à jour de courrier d'expérience utilisateur à 11.5
C'est parce que l'appareil de bureau de finesse est maintenant offert un certificat ECDSA qui n'a pas été offert plus tôt.
La pratique recommandée recommandée pour ce certificat
Si vous utilisez les Certificats signés CA, ce certificat ECDSA doit être signé par un Autorité de certification (CA) avec d'autres Certificats
Note: Si le CA signe ce certificat ECDSA avec la RSA, ce certifictate ne serait pas présenté au client. Pour la sécurité optimisée, les Certificats ECDSA offerts au client sont la pratique recommandée recommandée.
Note: Si le certificat ECDSA sur SocialMiner est signé par un CA avec la RSA, il entraîne des questions avec l'email et la conversation. Ceci est documenté dans le défaut CSCvb58580 et un fichier de cop est disponible. Ce COP s'assure que des Certificats ECDSA ne sont pas offerts aux clients. Si vous avez un CA qui est capable pour signer des Certificats ECDSA avec la RSA seulement, n'utilisez pas ce certificat. Utilisez le cop de sorte que le certificat ECDSA ne soit pas offert et vous ayez un environnement RSA seulement.
Si vous utilisez les Certificats signés CA et après que la mise à jour vous n'ont pas le certificat ECDSA signé et téléchargé, les agents éprouvent un message pour recevoir le certificat supplémentaire. Quand ils cliquent sur en fonction CORRECT, ils sont réorientés au site Web. Cependant, cet échouer en raison de l'application de Sécurité du côté de navigateur puisque le certificat ECDSA est individu signé et vos autres Certificats de Web sont CA signé. Cette transmission est perçue comme risque securiry.
Terminez-vous ces étapes sur chaque noeud d'UCCX Publisher et abonné et SocialMiner, après une mise à jour à UCCX et à SocialMiner sur la version 11.5 :
Envoyez le nouveau CSR à la tierce partie CA ou signez-le avec un CA interne qui signe des Certificats EC. Ceci produirait ces Certificats signés :
Note: Si vous téléchargez les Certificats de racine et d'intermédiaire sur un éditeur (UCCX), il serait automatiquement répliqué vers l'abonné. Il n'y a aucun besoin de télécharger les Certificats de racine ou d'intermédiaire sur l'autre, des serveurs de non-Publisher dans la configuration si tous les Certificats d'application sont signés par l'intermédiaire de la même chaîne de certificat. Également vous pouvez ignorer ce téléchargement de certificat racine si le même CA signe le certificat EC et vous avez déjà fait ceci quand vous avez configuré les Certificats d'application UCCX.
Terminez-vous ces étapes sur chaque serveur d'applications afin de télécharger le certificat racine et le certificat EC aux Noeuds :
Note: Si un subalterne CA signe le certificat, téléchargez le certificat racine du subalterne CA comme certificat de Tomcat-confiance au lieu du certificat racine. Si un certificat intermédiaire est délivré, téléchargez ce certificat à la mémoire de Tomcat-confiance en plus du certificat d'application. Également vous pouvez ignorer ce téléchargement de certificat racine si le même CA signe le certificat EC et vous avez déjà fait ceci quand vous avez configuré des Certificats d'application UCCX.
Si l'utilisation UCCX ou de SocialMiner auto-signait des Certificats, les agents doivent être informés recevoir l'avertissement de certificat qu'ils sont offerts dans l'instrument de conversation-email et vivent des instruments de données.
Afin d'installer auto-a signé des Certificats sur la machine cliente, utilise un gestionnaire de stratégie de groupe ou de module, ou les installe individuellement dans le navigateur de chaque PC d'agent.
Pour l'Internet Explorer, installez le côté client les Certificats auto-signés dans la mémoire d'Autorités de certification racine approuvée.
Pour Mozilla Firefox, terminez-vous ces étapes :
Note: Vous pouvez également ajouter l'exception de Sécurité pour installer le certificat qui est équivalent au processus ci-dessus. C'est une configuration d'une fois sur le client.
Nous avons les Certificats signés CA, et voulons utiliser le certificat ECDSA qui les besoins d'être signé par une EC CA. Tandis que nous attendons le certificat signé CA pour être disponibles, nous devons avoir des données vivantes. Que puis-je faire ?
Nous ne voulons pas signer ce certificat supplémentaire ou faire recevoir des agents ce certificat supplémentaire. Que puis-je faire ?
Bien que la recommandation soit de faire présenter des Certificats ECDSA aux navigateurs, il y a une option de la désactiver. Vous pouvez installer un fichier de cop sur UCCX et SocialMiner qui s'assure que seulement les Certificats RSA sont présentés au client. Le certificat ECDSA reste toujours dans le keystore, mais ne serait pas offert aux clients.
Si j'emploie ce cop pour désactiver des Certificats ECDSA offerts aux clients, est-ce que je peux l'activer de retour ?
Oui, il y a un cop de repositionnement fourni. Une fois que c'est appliqué, vous pouvez obtenir ce certificat signé et uplaoded aux serveurs.
Est-ce que Certificats seraient tout faits à ECDSA ?
Actuellement pas, mais d'autres mises à jour de sécurité sur la plate-forme VOS à l'avenir.
Quand installez-vous le COP UCCX ?
Quand installez-vous le COP SM ?
Quels sont les Certificats qui sont offerts par différents exemples de web server par défaut ?
Combinaison/serveur Web de certificat | Une expérience par défaut d'agent après mise à jour à 11.5 (sans tout cop) | UCCX Tomcat | UCCX Openfire (le service de notification de Cisco Unified CCX) | UCCX SocketIO | SocialMiner Tomcat | SocialMiner Openfire | |
Tomcat signé par individu, individu a signé Tomcat-ECDSA | Des agents seraient invités à recevoir le certificat dans l'instrument vivant de données et l'instrument de conversation-email | Auto-signé | Auto-signé | Auto-signé | Auto-signé | Auto-signé | |
RSA Tomcat signé par CA, RSA CA a signé Tomcat-ECDSA | Les agents peuvent utiliser la finesse et les données vivantes, mais l'instrument d'email-conversation ne chargera pas et la page Web de SocialMiner ne fait pas load.* | RSA | RSA | RSA | RSA | RSA (le besoin d'installer le cop - CSCvb58580) | |
RSA Tomcat signé par CA, l'EC CA a signé Tomcat-ECDSA | Les agents peuvent utiliser la finesse avec des les deux vivent les données et le chat-email* | RSA | RSA | ECDSA | RSA | ECDSA | |
RSA Tomcat signé par CA, individu a signé Tomcat-ECDSA | Des agents seraient invités à recevoir le certificat supplémentaire dans l'instrument vivant de données et d'email-conversation. Recevez le certificat de l'instrument vivant de données échoue, reçoit le certificat de l'instrument d'email-conversation serait successful.* |
RSA | RSA | Auto-signé (les agents ne peuvent pas recevoir en raison de la mesure de sécurité imposée par navigateur. Référez-vous au tir d'écran ci-dessus. Vous devez obtenir le certificat signé par une EC CA ou installer le cop sur UCCX pour désactiver des Certificats ECDSA offerts aux clients.) |
RSA | Auto-signé |