Introducción
Este documento describe el problema donde el certificado del servidor de aplicaciones no se carga con el mensaje de error "CSR SAN and Certificate SAN does not match".
Colaboración de Anuj Bhatia, ingeniero del TAC de Cisco.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas
- Proceso de generación de solicitud firmada de certificado (CSR) en la plataforma del sistema operativo de voz (VOS)
- Proceso para cargar el certificado firmado por la autoridad certificadora (CA) en la plataforma VOS
Componentes Utilizados
La información de este documento se basa en Cisco Finesse 11.0(1) y versiones posteriores.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Problema: Las SAN emiten un certificado firmado por terceros en Finesse
Para que el servidor utilice certificados firmados por la CA, el primer paso es generar una CSR. Se crea a partir de la página Generar CSR, donde, de forma predeterminada, el campo Nombres alternativos de asunto (SAN) se rellena con el nombre de dominio del servidor.
Después de la generación de CSR, las SAN en CSR se presentan en este formato
DNS Name=ora.com (nombreDNS)
DNS Name=finessea.ora.com (nombreDNS)
Cuando la CA de terceros crea una cadena de certificados a partir de esta CSR, ya que normalmente incluyen estos nombres de SAN en el certificado de aplicación que no coincide con la CSR.
Nombre DNS= finessea.ora.com
DNS Name=www. finessea.ora.com
El certificado de aplicación proporcionado por GoDaddy CA se muestra en la imagen:
Esta discordancia de SAN dificulta la carga del certificado de aplicación en el almacén de confianza de tomcat y genera el error "La SAN CSR y la SAN de certificado no coinciden"
Nota: El problema se encuentra en la plataforma VOS y es aplicable a todos los productos de Contact Center que se ejecutan en este sistema operativo, como Cisco Live Data, Cisco Unified Intelligence Center (CUIC), etc.
Solución
Hay dos formas de abordar el problema:
- El cliente puede consultar con la autoridad de la CA y solicitar la obtención de la cadena de certificados con las SAN, tal y como aparecen en la CSR.
- Una opción más sencilla es mantener el campo SAN en blanco al generar el CSR.
No tiene datos en la información de SAN de CSR. Cuando la autoridad de la CA proporciona la cadena de certificados, rellena la información, pero durante la carga, el sistema omite el campo que permite instalar el certificado.