音声とユニファイド コミュニケーション : Cisco TelePresence Video Communication Server(VCS)

Exp.C/VCS C 電話登録は MD5 によってハッシュされるアルゴリズム 認証との MRA に失敗します

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は MD5 (MD5)ハッシュされたアルゴリズム 認証が使用される、および問題にソリューションを提供します場合モービルおよびリモートアクセス(MRA)上の電話を登録するとき直面するかもしれない問題を記述したものです。

Alok Jaiswal によって貢献される、Cisco TAC エンジニア。

問題

電話登録は MRA に MD5 署名アルゴリズムの使用と高速道路C/ビデオ コミュニケーション コミュニケーション・サーバ(VC)で使用される認証- C 生成されます失敗します。 

原因

認証の MD5 ハッシュ アルゴリズムの使用は攻撃者がコンテンツをスプーフィングするか、phishing 不正侵入を行うか、または man-in-the-middle攻撃を行うことを可能にする可能性があります。 Microsoft はまた MD5 ハッシュ アルゴリズムが付いている認証の使用 制限 された Security Advisory その昨年リリースしました。 この制約事項は Microsoft 原証明 プログラムのルートの下で発行される認証に制限されます: Microsoft Security Advisory: Microsoft 原証明 プログラムのための MD5 ハッシュアルゴリズムの非推奨のためのアップデート: 2013 年 8月 13 日 

Cisco が MD5-hashed アルゴリズム 認証をサポートしないこと Cisco バグ ID CSCuq95204 は状態に VC 文書をアップデートするために上がりました。

問題を確認して下さい

このセクション 詳細 登録が問題このような理由で失敗したかどうか確認する方法を。

Jabber が edge/MRA infrastrucure 上のソフトフォンを登録するように試みるとき Jabber ソフトフォン 登録は高速道路マシンが MD5-hashed 認証を使用する場合失敗します。 ただし、エラーの性質はによってどのマシンが MD5-hashed 認証を使用するか変わり、決まります。

Case 1: 高速道路C は MD5-Hashed 認証を使用し、高速道路E は備えていますセキュアハッシュアルゴリズム(SHA アルゴリズム)が付いている認証を

高速道路C 診断 ログのこのエラーに出会います:

2014-09-20T06:06:43+05:30 Expressway-C UTCTime="2014-09-20 00:36:43,837" Module=
"developer.cvs.server" Level="INFO" CodeLocation="cvs(132)" Detail="Certificate
verification failure" SubjectCommonName="Expressway-E.edge.com" Error="(SEC_ERROR_
CERT_SIGNATURE_ALGORITHM_DISABLED) The certificate was signed using a signature
algorithm that is disabled because it is not secure."

このエラーの後で、高速道路E メッセージへの "437 サポートされていない認証は」現われます。

2014-09-20T06:06:43+05:30 Expressway-C tvcs: UTCTime="2014-09-20 00:36:43,840" 
Module="network.sip" Level="DEBUG":  Action="Sent"  Local-ip="127.0.0.1"  Local-
port="22210"  Dst-ip="127.0.0.1"  Dst-port="25011"  Msg-Hash="5047300400093470988"
 SIPMSG:
 |SIP/2.0 437 Unsupported Certificate
 Via: SIP/2.0/TCP 127.0.0.1:5060;egress-zone=DefaultZone;branch=z9hG4bKeaaf784fd792
c156da3ff2b664a2eee751464.eb53ca5fcac328dc0f61631ec583fdf4;proxy-call-id=0e01fda1-
6704-4066-bcfd-06e2f3ded8f9;received=127.0.0.1;rport=25011
 Via: SIP/2.0/TLS 10.106.93.182:7001;egress-zone=TraversalserverzoneMRA;branch=z9hG
4bKc4ad3ddb1c5a24099882b10815ee247196.afc37861e975b930c7e624e1d5c6e967;proxy-call-id=
4436ec58-81a4-47a2-b4be-9f0b8b551209;received=10.106.93.182;rport=7001;ingress-zone=
TraversalclientzoneMRA;ingress-zone-id=1
 Via: SIP/2.0/TCP 127.0.0.1:5060;branch=z9hG4bKaa0592c35ecf47289c8efe37792f0c5095;
received=127.0.0.1;rport=25000;ingress-zone=DefaultZone
 Call-ID: 5050433d0d38b156@127.0.0.1
 CSeq: 35384 SERVICE
 From: <sip:serviceproxy@10.106.93.187>;tag=31976bf5fd009665
 To: <sip:serviceserver@10.106.93.187>;tag=f35f010a358ec6dd
 Server: TANDBERG/4130 (X8.2.1)
 Content-Length: 0

ケース 2: 高速道路E は MD5-Hashed 認証を使用し、高速道路C は SHA アルゴリズムが付いている認証を備えています

高速道路E 診断 ログのこのエラーに出会います:

2014-11-28T20:17:38+05:30 Expressway-E UTCTime="2014-11-28 14:47:38,393" Module=
"developer.cvs.server" Level="INFO" CodeLocation="cvs(132)" Detail="Certificate
verification failure" SubjectCommonName="Expressway-C.edge.local" Error="(SEC_ERROR_
CERT_SIGNATURE_ALGORITHM_DISABLED) The certificate was signed using a signature
algorithm that is disabled because it is not secure."

このエラーの後で、クライアントを早口に喋る "403 によって禁止される」メッセージが現れます。

2014-11-28T20:17:38+05:30 Expressway-E tvcs: UTCTime="2014-11-28 14:47:38,395" 
Module="network.sip" Level="DEBUG": Action="Sent" Local-ip="10.106.93.182" Local-
port="5061" Dst-ip="10.106.93.185" Dst-port="49174" Msg-Hash="8732905073947938174"
SIPMSG:
|SIP/2.0 403 Forbidden
Via: SIP/2.0/TLS 10.106.93.185:49174;branch=z9hG4bK00006db3;received=10.106.93.185
Call-ID: 005056ad-6bf90002-000038a2-00003b0a@10.106.93.185
CSeq: 104 REGISTER
From: <sip:8002@10.106.93.187>;tag=005056ad6bf9000200007e3c-000005e2
To: <sip:8002@10.106.93.187>;tag=baa86af3aca9e844
Server: TANDBERG/4130 (X8.2.1)
Content-Length: 0

ケース 3: 高速道路E および高速道路C は両方 MD5-Hashed 認証を使用します

高速道路C 診断 ログのこのエラーに出会います:

2014-11-28T20:50:44+05:30 Expressway-C UTCTime="2014-11-28 15:20:44,943" Module=
"developer.cvs.server" Level="INFO" CodeLocation="cvs(132)" Detail="Certificate
verification failure" SubjectCommonName="Expressway-E.edge.com" Error="(SEC_ERROR_
CERT_SIGNATURE_ALGORITHM_DISABLED) The certificate was signed using a signature
algorithm that is disabled because it is not secure."

このエラーの後で、高速道路E メッセージへの "437 サポートされていない認証は」現われます。

2014-11-28T20:50:44+05:30 Expressway-C tvcs: UTCTime="2014-11-28 15:20:44,945"
Module="network.sip" Level="DEBUG": Action="Sent" Local-ip="127.0.0.1" Local-
port="22210" Dst-ip="127.0.0.1" Dst-port="25753" Msg-Hash="136016498284976281"
SIPMSG:
|SIP/2.0 437 Unsupported Certificate
Via: SIP/2.0/TCP 127.0.0.1:5060;egress-zone=DefaultZone;branch=z9hG4bK22df47
ed2281a3bf3d88ece09bfbbc3a231977.0dbe343429e681275f6160e8c8af25fe;proxy-call-
id=2ee40ecc-4a1b-4073-87a6-07fbc3d7a6be;received=127.0.0.1;rport=25753
Via: SIP/2.0/TLS 10.106.93.182:7001;egress-zone=TraversalserverzoneMRA;branch=
z9hG4bK35a8b2cbb77db747c94e58bbf1d16cf1108.1c42f037f9ac98c59766cb84d0d3af10;
proxy-call-id=a8938902-2e0c-4a49-b900-a3b631920553;received=10.106.93.182;rport=
7001;ingress-zone=TraversalclientzoneMRA;ingress-zone-id=1
Via: SIP/2.0/TCP 127.0.0.1:5060;branch=z9hG4bKb2da522d9f1b5ad1bc2f415f5f01d0d2107;
received=127.0.0.1;rport=25000;ingress-zone=DefaultZone
Call-ID: 019ed17f1344e908@127.0.0.1
CSeq: 54313 SERVICE
From: <sip:serviceproxy@10.106.93.187>;tag=3426bb81de53e3b6
To: <sip:serviceserver@10.106.93.187>;tag=2128ce8a1f90cb7b
Server: TANDBERG/4130 (X8.2.1)
Content-Length: 0

認証 アルゴリズムを確認して下さい

このスクリーン ショットは使用する認証 アルゴリズムを確認する方法を示します。

解決策

通常認証局 (CA)は MD5 アルゴリズムを認証にもう与えません。 しかし時々顧客は高速道路C の認証が企業 Microsoft CA および高速道路E によって使用する GoDaddy のようなパブリック CA によって発行される認証を生成されるか混合アプローチを利用します。

企業 Microsoft ルートCA が MD5 アルゴリズムを使用する場合、この問題は発生します。 Microsoft Windows サーバ 2008 年で実行する CA サービスがある場合 SHA1 アルゴリズムを使用するためにルートCA を修正できます。 ハッシュアルゴリズムを修正するためにルートCA 技術情報を更新するときですハッシュ アルゴリズムを変更する可能な限りそれ参照して下さい。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118672