Solución de Problemas de Certificado para SSL VPN con CME

Opciones de descarga

  • PDF     (439.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (362.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (359.6 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de octubre de 2013
ID del documento:116638

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe la metodología para resolver problemas de registro del teléfono IP en Communications Manager Express (CME) a través de Secure Sockets Layer (SSL) VPN.

Prerequisites

Requirements

Cisco recomienda que tenga una comprensión básica de los certificados de seguridad, la herramienta de captura de paquetes y Communications Manager Express.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Communications Manager Express versión 8.6
  • Teléfono IP Cisco 7965 versión 8.5.3

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Solución de problemas de certificados

Hay dos métodos para configurar SSL VPN entre un teléfono IP en Internet y CME dentro de la red corporativa.

  • El CME está detrás de un dispositivo de seguridad adaptable (ASA) de Cisco que actúa como cabecera de VPN. En esta situación, CME y ASA comparten el mismo certificado y el teléfono IP negocia la configuración de seguridad con el ASA.
  • El CME está conectado a Internet directamente y actúa como cabecera VPN. Negocia la configuración de seguridad directamente con el teléfono IP. 

En ambos escenarios, el establecimiento de SSL VPN entre un teléfono IP en Internet y el CME consta de pasos similares:

  1. El CME genera o obtiene un certificado de seguridad.
  2. El CME "envía" el hash del certificado en formato Base64 al teléfono a través del archivo de configuración que el teléfono descarga desde CME a través de TFTP.
  3. El teléfono IP intenta iniciar sesión con la cabecera VPN y recibe el certificado mediante el protocolo Transport Layer Security (TLS).
  4. El teléfono IP extrae el hash del certificado y lo compara con el hash que descargó de CME anteriormente. Si el hash coincide, entonces el teléfono confía en el encabezado VPN y continúa con otra negociación VPN.

Verificación

Para verificar que el CME ha enviado el hash al teléfono IP, verifique el archivo de configuración que generó para el teléfono seguro. Para simplificar este paso, puede configurar el CME para generar un archivo de configuración por teléfono y almacenarlo en flash:

R009-3945-1(config-telephony)#cnf-file perphone
R009-3945-1(config-telephony)#cnf-file location flash:

Para asegurarse de que se genere una nueva configuración, se recomienda volver a crear los archivos de configuración:

R009-3945-1(config-telephony)#no create cnf-files
CNF files deleted
R009-3945-1(config-telephony)#create cnf-file
Creating CNF files

Después de que se muestre el archivo de configuración correspondiente en la memoria flash (para un ephone con vpn-group configurado), debería ver esto cerca del final del contenido del archivo:

<vpnGroup>  <enableHostIDCheck>0</enableHostIDCheck>
  <addresses>
    <url1>https://10.201.160.201/SSLVPNphone</url1>
  </addresses>
  <credentials>
    <hashAlg>0</hashAlg>
    <certHash1>fZ2xQHMBcWj/fSoNs5IkPbA2Pt8=</certHash1>
  </credentials>
</vpnGroup>

El valor certHash1 es el hash del certificado. Cuando el teléfono IP recibe el certificado de cabecera VPN durante la configuración de TLS, espera que el hash del certificado sea el mismo que el valor hash almacenado. Si el teléfono IP produce un error de "certificado incorrecto", podría ser que los valores hash no coincidan.

Para verificar, siga estos pasos para extraer el valor hash de la captura de paquetes recolectada entre el teléfono IP y el encabezado VPN:

  1. Localice el paquete desde el dispositivo de cabecera VPN al teléfono IP que contiene el certificado. Normalmente se encuentra en el paquete Hello del servidor TLS.
  2. Expanda el contenido del paquete y localice el encabezado:
    Capa de socket seguro > Capa de registro TLS V1 > Protocolo de intercambio de señales: Certificado > Certificados > Certificado.
  3. Haga clic con el botón derecho del ratón en el encabezado Certificate y exporte los valores a un archivo .CER:

     


  4. Abra el archivo .CER, vaya a la ficha Detalles, elija Huella digital y elija los valores. Los valores son el hash en formato hexadecimal:

  5. A continuación, puede convertir el hash de hexadecimal a Base64 mediante cualquier herramienta de conversión en línea Hex-to-Base64. El valor convertido se puede comparar con el valor hash en el archivo de configuración del teléfono IP si no coinciden, significa que el hash recibido por el teléfono IP proviene de un certificado diferente al que utiliza el encabezado VPN para SSL.

Información Relacionada

>

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
22-Oct-2013
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Kurt Mai
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos