Este documento describe la metodología para resolver problemas de registro del teléfono IP en Communications Manager Express (CME) a través de Secure Sockets Layer (SSL) VPN.
Cisco recomienda que tenga una comprensión básica de los certificados de seguridad, la herramienta de captura de paquetes y Communications Manager Express.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Hay dos métodos para configurar SSL VPN entre un teléfono IP en Internet y CME dentro de la red corporativa.
En ambos escenarios, el establecimiento de SSL VPN entre un teléfono IP en Internet y el CME consta de pasos similares:
Para verificar que el CME ha enviado el hash al teléfono IP, verifique el archivo de configuración que generó para el teléfono seguro. Para simplificar este paso, puede configurar el CME para generar un archivo de configuración por teléfono y almacenarlo en flash:
R009-3945-1(config-telephony)#cnf-file perphone
R009-3945-1(config-telephony)#cnf-file location flash:
Para asegurarse de que se genere una nueva configuración, se recomienda volver a crear los archivos de configuración:
R009-3945-1(config-telephony)#no create cnf-files
CNF files deleted
R009-3945-1(config-telephony)#create cnf-file
Creating CNF files
Después de que se muestre el archivo de configuración correspondiente en la memoria flash (para un ephone con vpn-group configurado), debería ver esto cerca del final del contenido del archivo:
<vpnGroup> <enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1>https://10.201.160.201/SSLVPNphone</url1>
</addresses>
<credentials>
<hashAlg>0</hashAlg>
<certHash1>fZ2xQHMBcWj/fSoNs5IkPbA2Pt8=</certHash1>
</credentials>
</vpnGroup>
El valor certHash1 es el hash del certificado. Cuando el teléfono IP recibe el certificado de cabecera VPN durante la configuración de TLS, espera que el hash del certificado sea el mismo que el valor hash almacenado. Si el teléfono IP produce un error de "certificado incorrecto", podría ser que los valores hash no coincidan.
Para verificar, siga estos pasos para extraer el valor hash de la captura de paquetes recolectada entre el teléfono IP y el encabezado VPN:
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
22-Oct-2013 |
Versión inicial |