如何在我的单点登录提供程序上更改证书?

如何在我的单点登录提供程序上更改证书?

如何更新 ADFS 证书?

 

Cisco Webex 未提供对特定的单点登录提供程序执行定期维护的文档或指导。

Webex 技术支持发现,需要此信息的 ADFS 客户认为以下 Microsoft 支持文章很有用:


注:
  • Cisco Webex 无法保证该信息的准确性,也无法保证它与特定部署相关。
  • 要想获得更多帮助,您应当联系单点登录供应商以获取具体帮助。

关于证书以及 Webex 实施 SAML 2.0 规范的一般指南:

一般情况下,必须在身份管理服务(通常称为 IDP)与 Webex 站点管理或 Webex Messenger 管理门户之间建立当前有效的信任关系,SSO 才能正常运行。 (分别适用于 Cisco Webex Meetings 套件或 Cisco Webex Messenger 客户)

这是在 SAML 中让 SAML 断言方签署 SAML 响应来完成的。 Webex 不要求 SAML 断言中包含公共签名证书,但是,在 SAML 响应中包含该证书有助于进行故障排除。 Webex 需要签署断言。 请注意,也可以签署响应,但这不是必需操作,Webex 不会从对断言的响应继承证书签名。

请记住几个要点:
  • 用于签署 SAML 断言的证书必须是当前证书,并且必须与上传到当前使用的 Webex 服务的管理页面的证书匹配。
  • 证书无需由 CA 签署,因为信任关系是通过手动上传证书而不是通过 HTTPS 等协议协商建立的。
  • 为了获得最佳结果,上传到 Webex 管理的证书应采用 base-64 编码的 PEM 格式的 .cer 文件。

升级证书的最佳实践:

Cisco Webex 建议您为此次维护安排一小段停机时间。 从在 IDP 上更改证书到更改证书这段时间内,Webex 管理门户的用户将无法登录, 但不影响已经过验证的主持人/与会者以及当前验证会话中的 Jabber 用户。 注: 使用 Jabber 到 Jabber 呼叫的 Jabber 用户必须每隔 24 小时向 Webex 服务验证一次,而不管其他服务的验证会话长度如何。 如果 Jabber 用户在维护期间尝试向 Webex 服务进行验证,他们将收到“无效的响应消息 (29)”通知;如果 Webex Business Suite 主持人和与会者尝试验证帐户,他们将收到错误消息“用于验证 SAML 断言的 X.509 证书不正确 (8)”。

前提条件
  • 请准备好要上传到 IDP 和 Webex 管理页面的私钥和公钥证书。
  • Webex Business Suite 站点管理员具有其管理帐户的密码。
    • 您可以在开始维护之前设置密码。
    • 如果在开始维护后您忘记了密码,您将无权登录帐户,并且只能在另一个站点管理员或 Webex 技术支持的协助下重新获取访问权限。
  • 如果在 SSO 无法使用时您需要进行验证,还可以使用 Webex Messenger 管理员提供的用户名和密码进行登录。
有关在 Webex 站点管理上更新新证书的帮助信息,请参阅: 为 Cisco Webex 站点配置单点登录

故障排除:

如果在更新新证书后无法验证,请尝试以下操作:
  • 确保证书已成功上传到 IDP。
  • 确保 Webex 管理门户显示正确的证书。
  • 确保 IDP 会提供 SAML 响应。
    • Webex 技术支持通常使用 Chrome、Firefox 和 Internet Explorer 中的内置开发者工具来验证 IDP 是否提供 SAML 响应。
    • Webex 技术支持通常使用名为 Fiddler 的第三方应用程序来收集通过应用程序或浏览器进行 HTTPS 事务的日志。
  • 确保 SAML 响应中的证书正确。
其他协助:

如果需要协助,请联系 Cisco Webex 技术支持。

Webex 技术支持无法提供有关配置或实施 SSO 的 IDP 供应商特定说明,但可以提供有关错误消息和调试的一般指导。
 

这篇文章对您有帮助吗?

相关文章
上箭头