" del error de la delicadeza del Troubleshooting; SSLPeerUnverifiedException" para los gadgets recibidos en los servidores Ca-firmados

Introducción

Este documento describe los pasos para resolver problemas el decorado donde un Certificate Authority (CA) - el encadenamiento de certificado firmado se carga por teletratamiento a la delicadeza para un servidor Web externo que el gadget de los host A pero el gadget no pueda cargar cuando usted se abre una sesión a la delicadeza y usted ve el error “SSLPeerUnverifiedException”.

Contribuido por Gino Schweinsberger, ingeniero del TAC de Cisco.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Certificados SSL
• La administración de la delicadeza
• La administración de Servidor Windows
• Análisis de la captura de paquetes con Wireshark

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software:

• Centro de contacto unificado (UCCX) 11.X expreso
• Delicadeza 11.X

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Éstas son las condiciones para que el error ocurra:

• Asuma que encadenamiento de la confianza del certificado está cargado por teletratamiento a la delicadeza
• Asegúrese de que recomenzaran los servidores/a los servicios correctos
• Asuma que el gadget se ha agregado a la disposición de la delicadeza con un HTTPS URL y que el URL es accesible

Éste es el error observado cuando el agente abre una sesión a la delicadeza:

“Había problemas que rendían este gadget. javax.net.ssl.SSLPeerUnverifiedException: par no autenticado”

Problemas

Escenario 1: El servidor de recibimiento negocia TLS unsecure

Cuando el servidor de la delicadeza hace una petición de conexión al servidor de recibimiento, la delicadeza Tomcat hace publicidad de una lista de cifras del cifrado que utilice.

Algunas cifras no son utilizado debido a las vulnerabilidades de seguridad,

Si el servidor de recibimiento selecciona cualquiera de estas cifras, se rechaza la conexión:

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA

Estas cifras se saben para utilizar las claves Diffie-Hellman efímeras débiles cuando negocia la conexión, y la vulnerabilidad del amontonamiento toma éstos una mala decisión para las conexiones TLS.

Siga el proceso del apretón de manos de TLS en una captura de paquetes para ver se negocia qué cifra.

1. La delicadeza presenta su lista de cifras utilizadas en el paso de los saludos del cliente:

2. Para esta conexión TLS_DHE_RSA_WITH_AES_256_CBC_SHA fue seleccionado por el servidor de recibimiento durante el paso de los saludos del servidor porque ése es más alto en su lista de cifras preferidas.

3. La delicadeza envía una alerta fatal y termina la conexión:

Solución

Para prevenir el uso de estas cifras, el servidor de recibimiento se debe configurar para dar a éstos una prioridad baja, o deben ser quitados de la lista de cifras disponibles totalmente. Esto se puede hacer en un Servidor Windows con el editor de políticas del grupo de Windows (gpedit.msc).

Nota: Para más detalles en los efectos del amontonamiento en la delicadeza y el uso del gpedit, controle:

Escenario 2: El certificado tiene un algoritmo de firma sin apoyo

Las autoridades de certificación del Servidor Windows pueden utilizar más nuevos estándares de la firma para firmar los Certificados. Incluso ofrece la mayor Seguridad que SHA, adopción de estos estándares fuera de los productos Microsoft es baja y los administradores son probables ejecutarse en los problemas de interoperabilidad.

La delicadeza Tomcat confía en el proveedor de la Seguridad de SunMSCAPI de las Javas para activar la ayuda para los diversos algoritmos de la firma y las funciones criptográficas usados por Microsoft. Todas las versiones actuales de las Javas (1.7, 1.8, y 1.9) utilizan solamente estos algoritmos de la firma:

• MD5withRSA
• MD2withRSA
• NONEwithRSA
• SHA1withRSA
• SHA256withRSA
• SHA384withRSA
• SHA512withRSA

Es una buena idea controlar la versión de Java que se ejecuta en el servidor de la delicadeza para confirmar qué algoritmos se utilizan en esa versión. La versión se puede controlar del acceso a raíz con este comando: versión de Java

Nota: Para más detalles en el proveedor de SunMSCAPI de las Javas refiera a https://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunMSCAPI

Si un certificado se proporciona una firma con excepción de ésos enumerados arriba, la delicadeza no puede utilizar el certificado para crear una conexión TLS al servidor de recibimiento. Esto incluye los Certificados que se firman con un tipo utilizado de la firma pero fue publicada por las autoridades de certificación que hacen su propio intermedio y certificados raíz firmar con el algo más.

Si usted mira a una captura de paquetes, la delicadeza cierra la conexión con una “alerta fatal: Certifique el” error desconocido, tal y como se muestra en de la imagen.

A este punto IS-IS necesario controlar los Certificados presentados por el servidor de recibimiento y buscar los algoritmos sin apoyo de la firma. Es común ver RSASSA-PSS como el algoritmo problemático de la firma:

Si cualquier certificado en el encadenamiento se firma con RSASSA-PSS, la conexión falla. En este caso la captura de paquetes muestra que raíz CA utiliza RSASSA-PSS para su propio certificado: 

Solución

Para resolver este problema, un nuevo certificado se debe publicar de un proveedor CA que utilice solamente uno de los tipos utilizados de la firma de SunMSCAPI enumerados en la Cadena de certificados entera según lo explicado antes. 

Nota: Para más detalles en el algoritmo de la firma RSASSA-PSS, vea https://pkisolutions.com/pkcs1v2-1rsassa-pss/

Nota: Este problema se sigue en el defecto CSCve79330