Ce document décrit la méthodologie utilisée pour dépanner l'enregistrement des téléphones IP vers Communications Manager Express (CME) via VPN SSL (Secure Sockets Layer).
Cisco recommande que vous ayez une compréhension de base des certificats de sécurité, de l'outil de capture de paquets et de Communications Manager Express.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Il existe deux méthodes pour configurer le VPN SSL entre un téléphone IP sur Internet et CME dans le réseau de l'entreprise.
Dans les deux scénarios, l'établissement d'un VPN SSL entre un téléphone IP sur Internet et le CME se compose d'étapes similaires :
Afin de vérifier que le CME a poussé le hachage sur le téléphone IP, vérifiez le fichier de configuration qu'il a généré pour le téléphone sécurisé. Afin de simplifier cette étape, vous pouvez configurer le CME pour générer un fichier de configuration par téléphone et le stocker dans la mémoire Flash :
R009-3945-1(config-telephony)#cnf-file perphone
R009-3945-1(config-telephony)#cnf-file location flash:
Afin de s'assurer que la nouvelle configuration est générée, il est recommandé de recréer les fichiers de configuration :
R009-3945-1(config-telephony)#no create cnf-files
CNF files deleted
R009-3945-1(config-telephony)#create cnf-file
Creating CNF files
Une fois le fichier de configuration correspondant affiché dans la mémoire Flash (pour un ephone avec groupe VPN configuré), vous devriez voir ceci près de la fin du contenu du fichier :
<vpnGroup> <enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1>https://10.201.160.201/SSLVPNphone</url1>
</addresses>
<credentials>
<hashAlg>0</hashAlg>
<certHash1>fZ2xQHMBcWj/fSoNs5IkPbA2Pt8=</certHash1>
</credentials>
</vpnGroup>
La valeur certHash1 est le hachage du certificat. Lorsque le téléphone IP reçoit le certificat de VPN Headend lors de la configuration de TLS, il s'attend à ce que le hachage du certificat soit identique à la valeur de hachage stockée. Si le téléphone IP émet une erreur « Mauvais certificat », il se peut que les valeurs de hachage ne correspondent pas.
Afin de vérifier, suivez ces étapes pour extraire la valeur de hachage de la capture de paquets collectée entre le téléphone IP et la tête de réseau VPN :
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
22-Oct-2013 |
Première publication |