Este documento describe la metodología para resolver problemas el registro del teléfono del IP al administrador de comunicaciones expreso (CME) vía Secure Sockets Layer (SSL) VPN.
Cisco recomienda que usted tiene una comprensión básica de los Certificados de la Seguridad, el paquete que captura la herramienta, y al administrador de comunicaciones expreso.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Hay dos métodos para configurar SSL VPN entre un teléfono del IP en Internet y el CME dentro de la red corporativa.
En ambos escenarios, el establecimiento de SSL VPN entre un teléfono del IP en Internet y el CME consiste en los pasos similares:
Para verificar que el CME haya avanzado el hash al teléfono del IP, marque el archivo de configuración que generó para el teléfono seguro. Para simplificar este paso, usted puede configurar el CME para generar un archivo de configuración por el teléfono y para salvarlo en el flash:
R009-3945-1(config-telephony)#cnf-file perphone
R009-3945-1(config-telephony)#cnf-file location flash:
Para asegurarse de que la nueva configuración esté generada, se recomienda para reconstruir los archivos de configuración:
R009-3945-1(config-telephony)#no create cnf-files
CNF files deleted
R009-3945-1(config-telephony)#create cnf-file
Creating CNF files
Después de que el archivo de configuración correspondiente en las visualizaciones del flash (para un ephone con el VPN-grupo configurado), usted deba considerar esto cerca del extremo del contenido del archivo:
<vpnGroup> <enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1>https://10.201.160.201/SSLVPNphone</url1>
</addresses>
<credentials>
<hashAlg>0</hashAlg>
<certHash1>fZ2xQHMBcWj/fSoNs5IkPbA2Pt8=</certHash1>
</credentials>
</vpnGroup>
El valor certHash1 es el hash del certificado. Cuando el teléfono del IP recibe el certificado de la cabecera VPN durante la configuración de TLS, espera que el hash del certificado sea lo mismo que el valor de troceo salvado. Si el teléfono del IP lanza un error del “mún certificado”, podría ser que los valores de troceo no hacen juego.
Para verificar, siga los siguientes pasos para extraer el valor de troceo de la captura de paquetes recogida entre el teléfono del IP y la cabecera VPN: