Introducción
Este documento describe un problema que puede encontrar cuando registra su teléfono a través de Mobile and Remote Access (MRA) si se utiliza el certificado del algoritmo hash Message Digest 5 (MD5) y ofrece una solución al problema.
Problema
El registro del teléfono falla sobre MRA si el certificado utilizado en Expressway-C/Video Communication Server (VCS)-C se genera con el uso del algoritmo de firma MD5.
Causa
El uso del algoritmo hash MD5 en los certificados podría permitir que un atacante falsifique contenido, realice ataques de phishing o realice ataques de intrusos. Microsoft también publicó un aviso de seguridad el año pasado que restringía el uso de certificados con el algoritmo hash MD5. Esta restricción se limita a los certificados emitidos bajo raíz en el programa de certificados raíz de Microsoft: Asesoramiento de seguridad de Microsoft: Actualización para la desaprobación del algoritmo hash MD5 para el programa de certificado raíz de Microsoft: 13 de agosto de 2013
El Id. de error de Cisco CSCuq95204 se ha generado para actualizar los documentos de VCS para afirmar que Cisco no soporta los certificados de algoritmo hash MD5.
Verificar el problema
Esta sección detalla cómo verificar si su registro falla debido a este problema.
Cuando Jabber intenta registrar un teléfono basado en software en la infraestructura de borde/MRA, el registro del teléfono basado en software Jabber falla si las máquinas de Expressway utilizan el certificado con hash MD5. Sin embargo, la naturaleza del error varía y depende de qué máquina utiliza el certificado MD5-hashed.
Caso 1: Expressway-C utiliza el certificado MD5-Hashed y Expressway-E tiene un certificado con un algoritmo hash seguro (algoritmo SHA)
Se encuentra este error en los registros de diagnóstico de Expressway-C:
2014-09-20T06:06:43+05:30 Expressway-C UTCTime="2014-09-20 00:36:43,837" Module=
"developer.cvs.server" Level="INFO" CodeLocation="cvs(132)" Detail="Certificate
verification failure" SubjectCommonName="Expressway-E.edge.com" Error="(SEC_ERROR_
CERT_SIGNATURE_ALGORITHM_DISABLED) The certificate was signed using a signature
algorithm that is disabled because it is not secure."
Después de este error, aparece un mensaje "437 unsupported certificate" (Certificado no admitido 437) en Expressway-E.
2014-09-20T06:06:43+05:30 Expressway-C tvcs: UTCTime="2014-09-20 00:36:43,840"
Module="network.sip" Level="DEBUG": Action="Sent" Local-ip="127.0.0.1" Local-
port="22210" Dst-ip="127.0.0.1" Dst-port="25011" Msg-Hash="5047300400093470988"
SIPMSG:
|SIP/2.0 437 Unsupported Certificate
Via: SIP/2.0/TCP 127.0.0.1:5060;egress-zone=DefaultZone;branch=z9hG4bKeaaf784fd792
c156da3ff2b664a2eee751464.eb53ca5fcac328dc0f61631ec583fdf4;proxy-call-id=0e01fda1-
6704-4066-bcfd-06e2f3ded8f9;received=127.0.0.1;rport=25011
Via: SIP/2.0/TLS 10.106.93.182:7001;egress-zone=TraversalserverzoneMRA;branch=z9hG
4bKc4ad3ddb1c5a24099882b10815ee247196.afc37861e975b930c7e624e1d5c6e967;proxy-call-id=
4436ec58-81a4-47a2-b4be-9f0b8b551209;received=10.106.93.182;rport=7001;ingress-zone=
TraversalclientzoneMRA;ingress-zone-id=1
Via: SIP/2.0/TCP 127.0.0.1:5060;branch=z9hG4bKaa0592c35ecf47289c8efe37792f0c5095;
received=127.0.0.1;rport=25000;ingress-zone=DefaultZone
Call-ID: 5050433d0d38b156@127.0.0.1
CSeq: 35384 SERVICE
From: <sip:serviceproxy@10.106.93.187>;tag=31976bf5fd009665
To: <sip:serviceserver@10.106.93.187>;tag=f35f010a358ec6dd
Server: TANDBERG/4130 (X8.2.1)
Content-Length: 0
Caso 2: Expressway-E utiliza un certificado MD5-Hashed y Expressway-C tiene un certificado con un algoritmo SHA
Se encuentra este error en los registros de diagnóstico de Expressway-E:
2014-11-28T20:17:38+05:30 Expressway-E UTCTime="2014-11-28 14:47:38,393" Module=
"developer.cvs.server" Level="INFO" CodeLocation="cvs(132)" Detail="Certificate
verification failure" SubjectCommonName="Expressway-C.edge.local" Error="(SEC_ERROR_
CERT_SIGNATURE_ALGORITHM_DISABLED) The certificate was signed using a signature
algorithm that is disabled because it is not secure."
Después de este error, aparece el mensaje "403 Forbidden" (403 prohibido) para el cliente Jabber.
2014-11-28T20:17:38+05:30 Expressway-E tvcs: UTCTime="2014-11-28 14:47:38,395"
Module="network.sip" Level="DEBUG": Action="Sent" Local-ip="10.106.93.182" Local-
port="5061" Dst-ip="10.106.93.185" Dst-port="49174" Msg-Hash="8732905073947938174"
SIPMSG:
|SIP/2.0 403 Forbidden
Via: SIP/2.0/TLS 10.106.93.185:49174;branch=z9hG4bK00006db3;received=10.106.93.185
Call-ID: 005056ad-6bf90002-000038a2-00003b0a@10.106.93.185
CSeq: 104 REGISTER
From: <sip:8002@10.106.93.187>;tag=005056ad6bf9000200007e3c-000005e2
To: <sip:8002@10.106.93.187>;tag=baa86af3aca9e844
Server: TANDBERG/4130 (X8.2.1)
Content-Length: 0
Caso 3: Expressway-E y Expressway-C ambos utilizan el certificado MD5-Hashed
Se encontró este error en los registros de diagnóstico de Expressway-C:
2014-11-28T20:50:44+05:30 Expressway-C UTCTime="2014-11-28 15:20:44,943" Module=
"developer.cvs.server" Level="INFO" CodeLocation="cvs(132)" Detail="Certificate
verification failure" SubjectCommonName="Expressway-E.edge.com" Error="(SEC_ERROR_
CERT_SIGNATURE_ALGORITHM_DISABLED) The certificate was signed using a signature
algorithm that is disabled because it is not secure."
Después de este error, aparece el mensaje "437 unsupported certificate" to Expressway-E.
2014-11-28T20:50:44+05:30 Expressway-C tvcs: UTCTime="2014-11-28 15:20:44,945"
Module="network.sip" Level="DEBUG": Action="Sent" Local-ip="127.0.0.1" Local-
port="22210" Dst-ip="127.0.0.1" Dst-port="25753" Msg-Hash="136016498284976281"
SIPMSG:
|SIP/2.0 437 Unsupported Certificate
Via: SIP/2.0/TCP 127.0.0.1:5060;egress-zone=DefaultZone;branch=z9hG4bK22df47
ed2281a3bf3d88ece09bfbbc3a231977.0dbe343429e681275f6160e8c8af25fe;proxy-call-
id=2ee40ecc-4a1b-4073-87a6-07fbc3d7a6be;received=127.0.0.1;rport=25753
Via: SIP/2.0/TLS 10.106.93.182:7001;egress-zone=TraversalserverzoneMRA;branch=
z9hG4bK35a8b2cbb77db747c94e58bbf1d16cf1108.1c42f037f9ac98c59766cb84d0d3af10;
proxy-call-id=a8938902-2e0c-4a49-b900-a3b631920553;received=10.106.93.182;rport=
7001;ingress-zone=TraversalclientzoneMRA;ingress-zone-id=1
Via: SIP/2.0/TCP 127.0.0.1:5060;branch=z9hG4bKb2da522d9f1b5ad1bc2f415f5f01d0d2107;
received=127.0.0.1;rport=25000;ingress-zone=DefaultZone
Call-ID: 019ed17f1344e908@127.0.0.1
CSeq: 54313 SERVICE
From: <sip:serviceproxy@10.106.93.187>;tag=3426bb81de53e3b6
To: <sip:serviceserver@10.106.93.187>;tag=2128ce8a1f90cb7b
Server: TANDBERG/4130 (X8.2.1)
Content-Length: 0
Verificar el algoritmo del certificado
Esta captura de pantalla muestra cómo verificar el algoritmo de certificado que se utiliza.

Solución
Normalmente, la autoridad certificadora (CA) ya no proporciona certificados con el algoritmo MD5. Sin embargo, a veces los clientes utilizan un enfoque mixto en el que el certificado de Expressway-C se genera con su empresa Microsoft CA y Expressway-E utiliza un certificado emitido por una CA pública como GoDaddy.
Si la CA raíz de Microsoft Enterprise utiliza el algoritmo MD5, se produce este problema. Puede modificar la CA raíz para utilizar el algoritmo SHA1 si tiene servicios CA que se ejecutan en Microsoft Windows Server 2008. Refiérase a ¿Es posible cambiar el algoritmo hash cuando renuevo el artículo de CA raíz para modificar el algoritmo de hash?