Ondersteuning van SHA-256 voor UCS

Downloadopties

  • PDF     (557.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (389.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (280.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:20 april 2017
Document-id:200423

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft SHA-256-ondersteuning voor Cisco Unified Contact Center Express (UCX). SHA-1 encryptie zal binnenkort worden afgekeurd en alle ondersteunde webbrowsers voor UCCX zullen beginnen te blokkeren webpagina's van servers die certificaten met de SHA-1 encryptie aanbieden.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • Cisco Unified Contact Center Express (UCX)
  • Certificaatbeheer 

Aankondigingen van Microsoft en Mozilla

SHA-1 afschrijvingsupdate

Doorgaan met uitfaseren van SHA-1-certificaten

In deze mededelingen, hebben de browser fabrikanten verklaard de browsers zullen omzeilbare waarschuwingen voor gevonden SHA-1 certificaten tonen die met GeldigeFrom data na 1 Januari, 2016 worden uitgegeven.

Bovendien is het huidige plan van registratie is om websites te blokkeren die SHA-1 certificaten gebruiken na 1 januari 2017, ongeacht de ValidFrom-vermelding in het certificaat. Echter, met recente aanvallen die zich richten op SHA-1-certificaten, deze browsers kunnen deze tijdlijn omhoog bewegen en websites blokkeren die SHA-1-certificaten gebruiken na 1 januari 2017, ongeacht de datum van afgifte van het certificaat.

Cisco adviseert klanten om de aankondigingen in detail te lezen en op de hoogte te blijven van verdere aankondigingen van Microsoft en Mozilla over dit onderwerp.

Sommige versies van UCCX genereren SHA-1 certificaten. Als u UCCX-webpagina's opent die worden beschermd door SHA-1-certificaten, kunnen deze een waarschuwing genereren of worden geblokkeerd in overeenstemming met de eerder vermelde data en regels.

Gebruikerservaring

Wanneer een SHA-1 certificaat wordt gedetecteerd, afhankelijk van de ValidFrom-datum en de eerder genoemde regels, kan de gebruiker een bericht zien dat hierop lijkt:

Afhankelijk van de genomen beslissingen kan het zijn dat een gebruiker deze waarschuwing niet kan omzeilen.

UCS X-overwegingen

Deze tabellen beschrijven SHA-1 certificaat impact en mitigatie strategieën voor elke versie van UCCX die momenteel onder software onderhoud.

In dit document gebruikte notaties

Notatie Beschrijving
Reeds ondersteund. Geen verdere actie vereist.
Er is ondersteuning beschikbaar, maar er is regeneratie van certificaten nodig.
Er is geen ondersteuning beschikbaar.

UCS 11,5

UCS-beheer

CUIC-beheer

Live-gegevens#

 Desktop# voor finesse-beheer E-mail en chatten met SocialMiner* UCS REST-scriptstappen Opnemen met MediaSense* 11.5
Fresh Install
Upgradeversie van vorige versie

De UCCX-certificaten behouden het algoritme van oudere releases.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

De UCS Cisco Unified Intelligence Center (CUIC)-certificaten behouden het algoritme van oudere releases.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

 

De UCCX Finesse-certificaten behouden het algoritme van oudere releases.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

 

De SocialMiner en UCCX certificaten behouden het algoritme van oudere versies.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

UCCX zal geen externe webserver afwijzen die SHA-1-certificaten gebruikt als onderdeel van de communicatie van de representatieve staat (REST). De REST stappen zullen werken nadat de certificaten op UCCX worden geregenereerd.

De MediaSense en UCCX certificaten behouden het algoritme van oudere releases.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

Opmerking: *De hergebruikte MediaSense en SocialMiner-certificaten moeten opnieuw worden geïmporteerd in UCCX. 

Opmerking: #No afzonderlijke acties zijn nodig voor Finesse en CUIC. De certificaten worden slechts eenmaal geregenereerd op de UCCX-pagina voor platformbeheer.

UCS 11.0(1)

UCS-beheer Live Data# bij CUIC-beheer Desktop# voor finesse-beheer Agent Email en Chat met SocialMiner** UCS REST-scriptstappen Opnemen met MediaSense** 11.0* en 10.5*
Fresh Install

Standaard zijn alle zelfondertekende verse installatiecertificaten SHA-1-certificaten en moeten ze worden geregenereerd.

Standaard zijn alle zelfondertekende verse installatiecertificaten SHA-1-certificaten en moeten ze worden geregenereerd.

Standaard zijn alle zelfondertekende verse installatiecertificaten SHA-1-certificaten en moeten ze worden geregenereerd.

Standaard zijn alle zelfondertekende verse installatiecertificaten SHA-1-certificaten en moeten ze worden geregenereerd.

UCCX zal geen externe webserver afwijzen die SHA-1-certificaten gebruikt als onderdeel van de REST-communicatie. De REST stappen zullen werken nadat de certificaten op UCCX worden geregenereerd.

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.
Upgradeversie van vorige versie

De UCCX-certificaten behouden het algoritme van oudere releases.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

De UCCX CUIC-certificaten behouden het algoritme van oudere releases.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

 

De UCCX Finesse-certificaten behouden het algoritme van oudere releases.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

 

De SocialMiner en UCCX certificaten behouden het algoritme van oudere versies.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

UCCX zal geen externe webserver afwijzen die SHA-1-certificaten gebruikt als onderdeel van de REST-communicatie. De REST stappen zullen werken nadat de certificaten op UCCX worden geregenereerd.

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.

Opmerking: *Er wordt een Engineering Special (ES) uitgebracht om MediaSense 10.5 en 11.0 in staat te stellen SHA-256 certificaten te genereren en te accepteren.

Opmerking: **Het herwonnen MediaSense- en SocialMiner-certificaat moet opnieuw worden geïmporteerd in UCCX. 

Opmerking: #No afzonderlijke acties zijn nodig voor Finesse en CUIC. De certificaten worden slechts eenmaal geregenereerd op de UCCX-pagina voor platformbeheer.

UCS 10.5 en 10.6

UCS-beheer Live Data# bij CUIC-beheer Desktop# voor finesse-beheer E-mail en chatten met SocialMiner* UCS REST-scriptstappen Opnemen met MediaSense*** 10.0** / 10.5**
Fresh Install

Standaard zijn alle zelfondertekende verse installatiecertificaten SHA-1-certificaten en moeten ze worden geregenereerd.

Standaard zijn alle zelfondertekende verse installatiecertificaten SHA-1-certificaten en moeten ze worden geregenereerd.

Standaard zijn alle zelfondertekende verse installatiecertificaten SHA-1-certificaten en moeten ze worden geregenereerd.

Ondersteuning van SHA-256 voor agent email en chat zijn alleen beschikbaar in SocialMiner (SM) v11 en SM v11 is niet compatibel met UCCX v10.x.

UCCX zal geen externe webserver afwijzen die SHA-1-certificaten gebruikt als onderdeel van de REST-communicatie. De REST stappen zullen werken nadat de certificaten op UCCX worden geregenereerd.

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.
Upgradeversie van vorige versie

De certificaten behouden het algoritme van oudere versies.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

De certificaten behouden het algoritme van oudere versies.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

 

De certificaten behouden het algoritme van oudere versies.

Indien gegenereerd met een SHA-11-toets in oudere releases, zijn de zelf-ondertekende certificaten op SHA-1 gebaseerd en moeten ze opnieuw gegenereerd worden.

 

Ondersteuning van SHA-256 voor agent e-mail en chat zijn alleen beschikbaar in SM v11 en SM v11 is niet compatibel met UCCX v10.x.

UCCX zal geen externe webserver afwijzen die SHA-1-certificaten gebruikt als onderdeel van de REST-communicatie. De REST stappen zullen werken nadat de certificaten op UCCX worden geregenereerd.

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.

Opmerking: *Er wordt een speciale technische dienst uitgebracht om SocialMiner 10.6 in staat te stellen SHA-256-certificaten te genereren en te accepteren.

Opmerking: **Er wordt een Engineering Special (ES) uitgebracht om MediaSense 10.0 en 10.5 in staat te stellen SHA-256 certificaten te genereren en te accepteren.

Opmerking: ***De vernieuwde MediaSense en SocialMiner-certificaten moeten opnieuw worden geïmporteerd in UCCX.

Opmerking: voor Finesse en CUIC zijn #No afzonderlijke acties nodig. De certificaten worden slechts eenmaal geregenereerd op de UCCX-pagina voor platformbeheer.

UCS X 10.0

UCS-beheer** Live Data# bij CUIC-beheer Desktop# voor finesse-beheer Chatten met SocialMiner* UCS REST-scriptstappen Opnemen met MediaSense*** 10.0**
Fresh Install

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.

Ondersteuning van SHA-256 voor agent chat is alleen beschikbaar in SM v11 en SM v11 is niet compatibel met UCCX v10.x.

UCCX zal geen externe webserver afwijzen die SHA-1-certificaten gebruikt als onderdeel van de REST-communicatie. De REST stappen zullen werken nadat de certificaten op UCCX worden geregenereerd.

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.
Upgradeversie van vorige versie

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.

 

Ondersteuning van SHA-256 voor agent chat is alleen beschikbaar in SM v11 en SM v11 is niet compatibel met UCCX v10.x.

UCCX zal geen externe webserver afwijzen die SHA-1-certificaten gebruikt als onderdeel van de REST-communicatie. De REST stappen zullen werken nadat de certificaten op UCCX worden geregenereerd.

Het standaard zelf-ondertekende certificaat is SHA-1.

Het regeneratiecertificaat biedt geen optie voor SHA-256.

Opmerking: *Er wordt een speciale technische dienst uitgebracht om SocialMiner 10.6 in staat te stellen SHA-256-certificaten te genereren en te accepteren.

Opmerking: **Er wordt een Engineering Special (ES) uitgebracht om MediaSense 10.0 in staat te stellen SHA-256-certificaten te genereren en te accepteren.

Opmerking: ***De vernieuwde MediaSense en SocialMiner-certificaten moeten opnieuw worden geïmporteerd in UCCX.

Opmerking: voor Finesse en CUIC zijn #No afzonderlijke acties nodig. De certificaten worden slechts eenmaal geregenereerd op de UCCX-pagina voor platformbeheer.

Instructies voor certificaatbeheer

Er zijn drie soorten certificaten die moeten worden geverifieerd en mogelijk geregenereerd:

  • Zelfondertekende certificaten
  • Trusted root-certificaten
  • Door derden ondertekende certificaten

Zelfondertekende certificaten

Navigeer naar de beheerpagina van het besturingssysteem. Kies Beveiliging > Navigeren naar certificaatbeheer. Klik op Zoeken.

Let op de vier certificaatcategorieën:

  • ipsec
  • ipsec-trust
  • kater
  • kater-trust

De certificaten van de categorie tomcat en type Zelfondertekend zijn de certificaten die regeneratie vereisen. In de vorige afbeelding is het derde certificaat het certificaat dat regeneratie vereist.

Voltooi deze stappen om certificaten te regenereren:

Stap 1. Klik op de algemene naam van het certificaat.

Stap 2. Klik in het pop-upvenster op Hergenereren.

Stap 3. Kies het encryptie-algoritme van SHA-256.

Voltooi voor UCCX versie 10.6 de volgende stappen om certificaten te regenereren:

Stap 1. Klik op Generate New.

Stap 2. Selecteer certificaatnaam als tomcat, sleutellengte als 2048 en hash algoritme als SHA256.

Stap 3. Klik op Generate New.

Trusted Root-certificaten

Dit zijn de certificaten die door het platform worden verstrekt. Op SHA-1 gebaseerde handtekeningen voor deze certificaten zijn geen probleem omdat deze certificaten worden vertrouwd door de TLS-clients (Transport Layer Security) op basis van hun identiteit, in plaats van de handtekening van hun hash.

Door derden ondertekende certificaten

Certificaten die door een derde partij zijn ondertekend Certificaatautoriteit met het SHA-1 algoritme moeten opnieuw worden ingevoerd met SHA-256 ondertekende certificaten. Alle certificaten in een certificaatketen moeten worden afgetreden met SHA-256.

Aanvullende opmerkingen

De nieuwste Engineering Specials worden gepost op cisco.com indien beschikbaar. Controleer regelmatig de bijbehorende productpagina's voor de speciale downloads van de Engineering.

  • Open een Cisco TAC-case voor elke ondersteuning bij het regenereren van certificaten of bijbehorende problemen.
  • Klanten die worden uitgevoerd op UCCX versies 8.x of 9.x moeten van plan zijn te upgraden naar de nieuwste ondersteunde releases om Cisco- en browserondersteuning te behouden.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
05-Apr-2016
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Abhiram Kramadhati
    Cisco engineering
  • Arundeep Nagaraj
    Cisco TAC Engineer
  • Ryan LaFountain
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco