Fehlerbehebung bei Expressway-Zertifikaten

Download-Optionen

  • PDF     (495.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (353.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (319.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:5. Februar 2024
Dokument-ID:221624

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt die Funktionsweise von Zertifikaten sowie die häufigsten Probleme und Tipps für Zertifikate auf Expressway-Servern.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Expressway und Video Communications Server (VCS) Server
    • Secure Sockets Layer (SSL)
    • Zertifikate
    • Telepresence-Geräte
    • Mobiler und Remote-Zugriff
    • Collaboration-Bereitstellungen

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Expressway x14

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    SSL und Zertifikate sind Standard und funktionieren auf allen anderen Geräten und Marken gleich. Dieses Dokument konzentriert sich auf die Zertifikatverwendung in Expressways.

    Definitionen

    Zertifikate werden verwendet, um eine sichere Verbindung zwischen zwei Geräten herzustellen. Sie sind eine digitale Signatur, die eine Server- oder Geräteidentität authentifiziert. Einige Protokolle wie Hypertext Transfer Protocol Secure (HTTPS) oder Session Initiation Protocol (SIP) Transport Layer Security (TLS) erfordern die Verwendung von Zertifikaten, damit sie funktionieren.

    Unterschiedliche Begriffe, die bei Zertifikaten verwendet werden:

    • CSR (Certificate Signing Request): Eine Vorlage, die mit den Namen eines Geräts erstellt wird, um später signiert und in ein Client- oder Serverzertifikat konvertiert zu werden.
    • Zertifikat: Ein CSR, der signiert wurde. Hierbei handelt es sich um einen Identitätstyp, der auf einem Gerät installiert wird und bei SSL-Aushandlungen verwendet werden kann. Sie können von sich selbst oder von einer Zertifizierungsstelle signiert werden.
    • Zertifikatsunterschrift: Identität, die die Legitimität des betreffenden Zertifikats nachweist; diese werden in Form eines anderen Zertifikats ausgestellt.
    • Selbstsigniertes Zertifikat: ein von sich selbst signiertes Client- oder Serverzertifikat
    • Zertifizierungsstelle (Certificate Authority, CA): Stelle, die Zertifikate unterzeichnet
      • Zwischenzertifikat: Ein Zertifizierungsstellenzertifikat, das nicht von sich selbst, sondern von einem anderen Zertifizierungsstellenzertifikat signiert wird, das in der Regel von einem Stammzertifikat signiert wird, aber auch von einem anderen Zwischenzertifikat signiert werden kann.
      • Stammzertifikat: Zertifizierungsstellenzertifikat, das selbst signiert wird

    Grundprinzip

    Wenn ein Client mit einem Server kommuniziert und eine SSL-Konversation startet, tauschen sie Zertifikate aus, die später verwendet werden, um den Datenverkehr zwischen den Geräten zu verschlüsseln. Im Rahmen des Austauschs bestimmen die Geräte auch, ob die Zertifikate vertrauenswürdig sind. Um zu bestimmen, ob ein Zertifikat vertrauenswürdig ist, müssen mehrere Bedingungen erfüllt sein. Einige dieser Bedingungen sind:

    • Der FQDN (Fully Qualified Domain Name), der ursprünglich für die Kontaktaufnahme mit dem Server verwendet wurde, stimmt mit einem Namen innerhalb des vom Server vorgelegten Zertifikats überein.
      • Wenn Sie z. B. eine Webseite in einem Browser öffnen, löst cisco.com die IP-Adresse eines Servers auf, der ein Zertifikat bereitstellt. Dieses muss cisco.com als Namen enthalten, um vertrauenswürdig zu sein.
    • Das Zertifizierungsstellenzertifikat, das das vom Server bereitgestellte Serverzertifikat signiert hat (oder dasselbe Serverzertifikat, wenn es selbst signiert ist), ist in der Liste der vertrauenswürdigen Zertifikate für die Zertifizierungsstelle des Geräts vorhanden.
      • Geräte verfügen über eine Liste vertrauenswürdiger Zertifizierungsstellenzertifikate. Computer enthalten häufig eine vordefinierte Liste mit bekannten öffentlichen Zertifizierungsstellen.
    • Das aktuelle Datum und die aktuelle Uhrzeit liegen innerhalb der Gültigkeitsdauer des Zertifikats.
      • Zertifizierungsstellen signieren CSRs nur für einen bestimmten Zeitraum. Dies wird von der Zertifizierungsstelle festgelegt.
    • Das Zertifikat wird nicht widerrufen.
      • Öffentliche Zertifizierungsstellen fügen dem Zertifikat häufig eine URL für die Zertifikatsperrliste hinzu. Dadurch kann die Partei, die das Zertifikat empfängt, bestätigen, dass es nicht von der Zertifizierungsstelle widerrufen wurde.

    Häufige Probleme

    Hochladen des Expressway-Zertifikats fehlgeschlagen

    Es gibt einige Bedingungen, die dies verursachen können. Sie verursachen einen anderen beschreibenden Fehler.

    Certificate Format InvalidUngültiges Format für Zertifikat

    Dieser erste Fehler tritt auf, wenn das Zertifikat nicht in einem gültigen Format vorliegt. Die Dateierweiterung spielt keine Rolle.

    Wenn sich das Zertifikat nicht öffnet, kann von der Zertifizierungsstelle ein neues Zertifikat im richtigen Format angefordert werden.


    Wenn sich das Zertifikat öffnet, gehen Sie wie folgt vor:

    Schritt 1: Öffnen Sie das Zertifikat, und navigieren Sie zur Registerkarte Details.
    Schritt 2: Wählen Sie In Datei kopieren aus.
    Schritt 3: Folgen Sie dem Assistenten, und stellen Sie sicher, dass Base-64-codiert ausgewählt ist.

    Certificate Format SelectionAuswahl des Zertifikatsformats

    Schritt 4: Laden Sie die neue Datei nach dem Speichern auf den Expressway hoch.

    Untrusted CA Certificate ChainNicht vertrauenswürdige Zertifizierungsstellenzertifikatkette

    Dieser Fehler tritt auf, wenn die Zertifizierungsstellenzertifikate, die das Serverzertifikat signiert haben, nicht vertrauenswürdig sind. Bevor Sie ein Serverzertifikat hochladen, muss der Server allen Zertifizierungsstellenzertifikaten in der Kette vertrauen.

    Normalerweise stellt die Zertifizierungsstelle die Zertifizierungsstellenzertifikate zusammen mit dem signierten Serverzertifikat bereit. Wenn diese Optionen verfügbar sind, fahren Sie mit Schritt 6 unten fort.

    Wenn die Zertifizierungsstellenzertifikate nicht verfügbar sind, können sie aus dem Serverzertifikat abgerufen werden. Gehen Sie folgendermaßen vor:

    Schritt 1: Öffnen Sie das Serverzertifikat.
    Schritt 2: Navigieren Sie zur Registerkarte Zertifizierungspfad. Das oberste Zertifikat gilt als Stammzertifizierungsstelle. Das unterste Zertifikat ist das Serverzertifikat, und alle dazwischen werden als Zwischenzertifikate betrachtet.
    Schritt 3: Wählen Sie ein Zertifizierungsstellenzertifikat aus, und wählen Sie Zertifikat anzeigen aus.

    Certification PathZertifizierungspfad


    Schritt 4: Navigieren Sie zur Registerkarte Details, und befolgen Sie die vorherigen Schritte, um das Zertifikat in einer separaten Datei zu speichern.
    Schritt 5: Wiederholen Sie diese Schritte für alle vorhandenen Zertifizierungsstellenzertifikate.

    Certificate Details TabZertifikatdetails, Registerkarte

    Laden Sie alle Zertifizierungsstellenzertifikate in die Liste der vertrauenswürdigen Zertifizierungsstellenzertifikate für Expressway hoch:

    Schritt 6: Navigieren Sie zu Maintenance > Security > Trusted CA Certificate auf dem Expressway-Server.
    Schritt 7. Wählen Sie Datei auswählen und hochladen.
    Schritt 8: Wiederholen Sie die Schritte 7 für jedes CA-Zertifikat.
    Schritt 9. Wenn alle Zertifizierungsstellenzertifikate in die Vertrauensliste hochgeladen wurden, laden Sie das Serverzertifikat auf den Server hoch.

    Traversal-Zone ausgefallen mit Fehler: TLS-Aushandlungsfehler

    Dieser Fehler tritt auf, wenn der SSL-Austausch zwischen Expressway-C und Expressway-E nicht erfolgreich abgeschlossen wurde. Einige Beispiele, die dies verursachen können:

    • Der Hostname stimmt nicht mit einem Namen im angegebenen Zertifikat überein.
      • Stellen Sie sicher, dass die in der Expressway-C-Überbrückungszone konfigurierte Peer-Adresse mit mindestens einem der Namen im Expressway-E-Serverzertifikat übereinstimmt.
    • Der TLS-Verifizierungsname stimmt nicht mit einem Namen im angegebenen Zertifikat überein.
      • Stellen Sie sicher, dass der für die Expressway-E-Überbrückungszone konfigurierte TLS Verify-Name mit einem der Namen im Expressway-C-Serverzertifikat übereinstimmt. Wenn es sich um eine Cluster-Konfiguration handelt, wird empfohlen, dass der FQDN des Expressway-C-Clusters als TLS konfiguriert wird. Überprüfen Sie, ob der Name wie dieser Name auf allen Knoten des Clusters vorhanden sein muss.
    • Die CA-Zertifikate werden von den Servern nicht als vertrauenswürdig angesehen
      • Ebenso wie jeder Server seinen eigenen Zertifizierungsstellenzertifikaten vertrauen muss, bevor Sie das Serverzertifikat darauf hochladen, müssen auch andere Server diesen Zertifizierungsstellenzertifikaten vertrauen, um dem Serverzertifikat zu vertrauen. Stellen Sie hierzu sicher, dass alle Zertifizierungsstellenzertifikate aus dem Zertifizierungspfad der beiden Expressway-Server in der Liste der vertrauenswürdigen Zertifizierungsstellen aller beteiligten Server vorhanden sind. Die CA-Zertifikate können mit den weiter oben in diesem Dokument beschriebenen Schritten extrahiert werden.

    Traversal-Zone aktiv, SSH-Tunnel inaktiv nach Erneuerung des Zertifikats

    SSH Tunnel FailureSSH-Tunnelfehler

    Dieser Fehler tritt in der Regel nach der Erneuerung eines Zertifikats auf, wenn eines oder mehrere der zwischengeschalteten Zertifizierungsstellenzertifikate nicht vertrauenswürdig sind, die Vertrauensstellung des Stammzertifizierungsstellenzertifikats die Verbindung mit der Überbrückungszone aktiviert, aber die SSH-Tunnel sind eine detailliertere Verbindung und können fehlschlagen, wenn die gesamte Kette nicht vertrauenswürdig ist. Zwischenzertifikate werden häufig von Zertifizierungsstellen geändert, sodass die Erneuerung eines Zertifikats dieses Problem auslösen kann. Stellen Sie sicher, dass alle Zwischenzertifikate der Zertifizierungsstelle in alle Expressway-Vertrauenslisten hochgeladen werden.

    Fehler bei der Anmeldung für mobilen Zugriff und Remote-Zugriff nach einem Upgrade oder der Erneuerung des Zertifikats.

    Es gibt viele Möglichkeiten, wie eine Anmeldung aufgrund von Zertifikaten fehlschlagen kann, aber in späteren Versionen der Expressway-Software wurden einige Softwareänderungen implementiert, die aus Sicherheitsgründen eine Zertifikatsüberprüfung dort erzwingen, wo dies zuvor nicht der Fall war.

    Hier erfahren Sie mehr: Datenverkehrsserver erzwingt die Zertifikatverifizierung

    Stellen Sie sicher, dass die Expressway-C CA-Zertifikate als "tomcat-trust" und "callmanager-trust" in den Cisco Unified Communications Manager hochgeladen werden, und starten Sie die erforderlichen Services neu.

    Zertifikatsalarm in Jabber bei Anmeldung bei mobilem und Remote-Zugriff

    Jabber Untrusted Certificate WarningNicht vertrauenswürdiges Jabber-Zertifikat

    Dieses Verhalten tritt auf, wenn die in der Anwendung verwendete Domäne nicht mit einem alternativen Antragstellernamen im Expressway-E-Serverzertifikat übereinstimmt.
    Stellen Sie sicher, dass entweder die beispiel.com- oder die alternative collab-edge.example.com-Bezeichnung zu den im Zertifikat vorhandenen alternativen Antragstellernamen gehört.

    Zugehörige Informationen

    Technischer Support und Downloads von Cisco

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    06-Feb-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Randy Eduardo Valverde Rojas
      Technischer Berater

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.