如何在我的单点登录提供程序上更改证书?
如何在我的单点登录提供程序上更改证书?
如何更新 ADFS 证书?
Cisco Webex不提供对特定的单点登录提供商执行定期维护的文档或指导。
Webex 技术支持发现,需要此信息的 ADFS 客户发现以下 Microsoft 支持文章有帮助:
注:
- Cisco Webex 无法保证该信息的准确性,也无法保证它与特定部署相关。
- 要想获得更多帮助,您应当联系单点登录供应商以获取具体帮助。
有关证书和 Webex 实施 SAML 2.0
规范的一般指南:通常,对于 SSO,您必须在身份 管理服务(通常称为 IDP)和 Webex 站点管理 或 Webex Messenger 管理门户之间具有当前有效的信任关系。 (分别适用于 Cisco Webex Meetings 套件或 Cisco Webex Messenger 客户)
这是在 SAML 中让 SAML 断言方签署 SAML 响应来完成的。 Webex 不要求 SAML 断言中包含公共签名证书,但是,在 SAML 响应中包含该证书有助于进行故障排除。 Webex 需要签署断言。 请注意,也可以签署响应,但这不是必需操作,Webex 不会从对断言的响应继承证书签名。
请记住几个要点:
- 用于签署 SAML 断言的证书必须是当前证书,并且必须与上传到当前使用的 Webex 服务的管理页面的证书匹配。
- 证书无需由 CA 签署,因为信任关系是通过手动上传证书而不是通过 HTTPS 等协议协商建立的。
- 为了获得最佳结果,上传到 Webex 管理的证书应采用 base-64 编码的 PEM 格式的 .cer 文件。
升级证书的最佳实践:
Cisco Webex 建议您为此次维护安排一小段停机时间。 在 IDP 上更改证书和更改证书的这两段时间,Webex管理门户用户将不能登录。 但不影响已经过验证的主持人/与会者以及当前验证会话中的 Jabber 用户。 注: 使用 Jabber 到 Jabber 呼叫的 Jabber 用户Webex 服务 24 小时向用户进行身份验证,不管其他服务的验证会话的长度如何。 如果 Jabber 用户在维护期间尝试向 Webex 服务进行验证,他们将收到“无效的响应消息 (29)”通知;如果 Webex Business Suite 主持人和与会者尝试验证帐户,他们将收到错误消息“用于验证 SAML 断言的 X.509 证书不正确 (8)”。
前提条件:
- 请准备好要上传到 IDP 和 Webex 管理页面的私钥和公钥证书。
- Webex Business Suite 站点管理员具有其管理帐户的密码。
- 您可以在开始维护前设置密码。
- 如果在开始维护后您忘记了密码,您将无权登录帐户,并且只能在另一个站点管理员或 Webex 技术支持的协助下重新获取访问权限。
- 即时消息Webex管理员还具有用户名和密码,可在用户无法登录时需要进行身份验证SSO登录。
故障排除:
如果在更新新证书后无法验证,请尝试以下操作:
- 确保证书已成功上传到 IDP。
- 确保 Webex 管理门户显示正确的证书。
- 确保 IDP 会提供 SAML 响应。
- Webex技术支持通常使用 Chrome 和 Firefox 中的内置开发者工具验证 IDP 是否提供 SAMLResponse。
- Webex技术支持通常使用名为 Fiddler 的第三方应用程序来收集通过应用程序或浏览器进行 HTTPS 交易日志。
- 确保 SAML 响应中的证书正确。
如果需要援助,请联系Cisco Webex技术支持。
Webex技术支持无法提供有关配置或SSO的 IDP 供应商特定说明,但是,可以提供有关错误消息和调试的一般指导。
这篇文章对您有帮助吗?