El registro del teléfono Exp-C/VCS-C falla en MRA con certificados de algoritmo hash MD5

Opciones de descarga

  • PDF     (256.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (188.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (164.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:3 de diciembre de 2014
ID del documento:118672

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe un problema que puede encontrar cuando registra su teléfono a través de Mobile and Remote Access (MRA) si se utiliza el certificado del algoritmo hash Message Digest 5 (MD5) y ofrece una solución al problema.

Problema

El registro del teléfono falla sobre MRA si el certificado utilizado en Expressway-C/Video Communication Server (VCS)-C se genera con el uso del algoritmo de firma MD5. 

Causa

El uso del algoritmo hash MD5 en los certificados podría permitir que un atacante falsifique contenido, realice ataques de phishing o realice ataques de intrusos. Microsoft también publicó un aviso de seguridad el año pasado que restringía el uso de certificados con el algoritmo hash MD5. Esta restricción se limita a los certificados emitidos bajo raíz en el programa de certificados raíz de Microsoft: Asesoramiento de seguridad de Microsoft: Actualización para la desaprobación del algoritmo hash MD5 para el programa de certificado raíz de Microsoft: 13 de agosto de 2013 

El Id. de error de Cisco CSCuq95204 se ha generado para actualizar los documentos de VCS para afirmar que Cisco no soporta los certificados de algoritmo hash MD5.

Verificar el problema

Esta sección detalla cómo verificar si su registro falla debido a este problema.

Cuando Jabber intenta registrar un teléfono basado en software en la infraestructura de borde/MRA, el registro del teléfono basado en software Jabber falla si las máquinas de Expressway utilizan el certificado con hash MD5. Sin embargo, la naturaleza del error varía y depende de qué máquina utiliza el certificado MD5-hashed.

Caso 1: Expressway-C utiliza el certificado MD5-Hashed y Expressway-E tiene un certificado con un algoritmo hash seguro (algoritmo SHA)

Se encuentra este error en los registros de diagnóstico de Expressway-C:

2014-09-20T06:06:43+05:30 Expressway-C UTCTime="2014-09-20 00:36:43,837" Module=
"developer.cvs.server" Level="INFO" CodeLocation="cvs(132)" Detail="Certificate
verification failure" SubjectCommonName="Expressway-E.edge.com" Error="(SEC_ERROR_
CERT_SIGNATURE_ALGORITHM_DISABLED) The certificate was signed using a signature
algorithm that is disabled because it is not secure."

Después de este error, aparece un mensaje "437 unsupported certificate" (Certificado no admitido 437) en Expressway-E.

2014-09-20T06:06:43+05:30 Expressway-C tvcs: UTCTime="2014-09-20 00:36:43,840" 
Module="network.sip" Level="DEBUG":  Action="Sent"  Local-ip="127.0.0.1"  Local-
port="22210"  Dst-ip="127.0.0.1"  Dst-port="25011"  Msg-Hash="5047300400093470988" 
 SIPMSG:
 |SIP/2.0 437 Unsupported Certificate
 Via: SIP/2.0/TCP 127.0.0.1:5060;egress-zone=DefaultZone;branch=z9hG4bKeaaf784fd792
c156da3ff2b664a2eee751464.eb53ca5fcac328dc0f61631ec583fdf4;proxy-call-id=0e01fda1-
6704-4066-bcfd-06e2f3ded8f9;received=127.0.0.1;rport=25011
 Via: SIP/2.0/TLS 10.106.93.182:7001;egress-zone=TraversalserverzoneMRA;branch=z9hG
4bKc4ad3ddb1c5a24099882b10815ee247196.afc37861e975b930c7e624e1d5c6e967;proxy-call-id=
4436ec58-81a4-47a2-b4be-9f0b8b551209;received=10.106.93.182;rport=7001;ingress-zone=
TraversalclientzoneMRA;ingress-zone-id=1
 Via: SIP/2.0/TCP 127.0.0.1:5060;branch=z9hG4bKaa0592c35ecf47289c8efe37792f0c5095;
received=127.0.0.1;rport=25000;ingress-zone=DefaultZone
 Call-ID: 5050433d0d38b156@127.0.0.1
 CSeq: 35384 SERVICE
 From: <sip:serviceproxy@10.106.93.187>;tag=31976bf5fd009665
 To: <sip:serviceserver@10.106.93.187>;tag=f35f010a358ec6dd
 Server: TANDBERG/4130 (X8.2.1)
 Content-Length: 0

Caso 2: Expressway-E utiliza un certificado MD5-Hashed y Expressway-C tiene un certificado con un algoritmo SHA

Se encuentra este error en los registros de diagnóstico de Expressway-E:

2014-11-28T20:17:38+05:30 Expressway-E UTCTime="2014-11-28 14:47:38,393" Module=
"developer.cvs.server" Level="INFO" CodeLocation="cvs(132)" Detail="Certificate 
verification failure" SubjectCommonName="Expressway-C.edge.local" Error="(SEC_ERROR_
CERT_SIGNATURE_ALGORITHM_DISABLED) The certificate was signed using a signature 
algorithm that is disabled because it is not secure."

Después de este error, aparece el mensaje "403 Forbidden" (403 prohibido) para el cliente Jabber.

2014-11-28T20:17:38+05:30 Expressway-E tvcs: UTCTime="2014-11-28 14:47:38,395" 
Module="network.sip" Level="DEBUG": Action="Sent" Local-ip="10.106.93.182" Local-
port="5061" Dst-ip="10.106.93.185" Dst-port="49174" Msg-Hash="8732905073947938174" 
 SIPMSG:
 |SIP/2.0 403 Forbidden
 Via: SIP/2.0/TLS 10.106.93.185:49174;branch=z9hG4bK00006db3;received=10.106.93.185
 Call-ID: 005056ad-6bf90002-000038a2-00003b0a@10.106.93.185
 CSeq: 104 REGISTER
 From: <sip:8002@10.106.93.187>;tag=005056ad6bf9000200007e3c-000005e2
 To: <sip:8002@10.106.93.187>;tag=baa86af3aca9e844
 Server: TANDBERG/4130 (X8.2.1)
 Content-Length: 0

Caso 3: Expressway-E y Expressway-C ambos utilizan el certificado MD5-Hashed

Se encontró este error en los registros de diagnóstico de Expressway-C:

2014-11-28T20:50:44+05:30 Expressway-C UTCTime="2014-11-28 15:20:44,943" Module=
"developer.cvs.server" Level="INFO" CodeLocation="cvs(132)" Detail="Certificate 
verification failure" SubjectCommonName="Expressway-E.edge.com" Error="(SEC_ERROR_
CERT_SIGNATURE_ALGORITHM_DISABLED) The certificate was signed using a signature 
algorithm that is disabled because it is not secure."

Después de este error, aparece el mensaje "437 unsupported certificate" to Expressway-E.

2014-11-28T20:50:44+05:30 Expressway-C tvcs: UTCTime="2014-11-28 15:20:44,945"
 Module="network.sip" Level="DEBUG": Action="Sent" Local-ip="127.0.0.1" Local-
port="22210" Dst-ip="127.0.0.1" Dst-port="25753" Msg-Hash="136016498284976281" 
 SIPMSG:
 |SIP/2.0 437 Unsupported Certificate
 Via: SIP/2.0/TCP 127.0.0.1:5060;egress-zone=DefaultZone;branch=z9hG4bK22df47
ed2281a3bf3d88ece09bfbbc3a231977.0dbe343429e681275f6160e8c8af25fe;proxy-call-
id=2ee40ecc-4a1b-4073-87a6-07fbc3d7a6be;received=127.0.0.1;rport=25753
 Via: SIP/2.0/TLS 10.106.93.182:7001;egress-zone=TraversalserverzoneMRA;branch=
z9hG4bK35a8b2cbb77db747c94e58bbf1d16cf1108.1c42f037f9ac98c59766cb84d0d3af10;
proxy-call-id=a8938902-2e0c-4a49-b900-a3b631920553;received=10.106.93.182;rport=
7001;ingress-zone=TraversalclientzoneMRA;ingress-zone-id=1
 Via: SIP/2.0/TCP 127.0.0.1:5060;branch=z9hG4bKb2da522d9f1b5ad1bc2f415f5f01d0d2107;
received=127.0.0.1;rport=25000;ingress-zone=DefaultZone
 Call-ID: 019ed17f1344e908@127.0.0.1
 CSeq: 54313 SERVICE
 From: <sip:serviceproxy@10.106.93.187>;tag=3426bb81de53e3b6
 To: <sip:serviceserver@10.106.93.187>;tag=2128ce8a1f90cb7b
 Server: TANDBERG/4130 (X8.2.1)
 Content-Length: 0

Verificar el algoritmo del certificado

Esta captura de pantalla muestra cómo verificar el algoritmo de certificado que se utiliza.

Solución

Normalmente, la autoridad certificadora (CA) ya no proporciona certificados con el algoritmo MD5. Sin embargo, a veces los clientes utilizan un enfoque mixto en el que el certificado de Expressway-C se genera con su empresa Microsoft CA y Expressway-E utiliza un certificado emitido por una CA pública como GoDaddy.

Si la CA raíz de Microsoft Enterprise utiliza el algoritmo MD5, se produce este problema. Puede modificar la CA raíz para utilizar el algoritmo SHA1 si tiene servicios CA que se ejecutan en Microsoft Windows Server 2008. Refiérase a ¿Es posible cambiar el algoritmo hash cuando renuevo el artículo de CA raíz para modificar el algoritmo de hash?

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
03-Dec-2014
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Alok Jaiswal
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos