CME での SSL VPN の証明書の問題に関するトラブルシューティング

概要

このドキュメントでは、セキュア ソケット レイヤ（SSL）経由で Communications Manager Express（CME）への IP 電話の登録を行う方法について説明します。

前提条件

要件

セキュリティ証明書、パケット キャプチャ ツール、および Communications Manager Express の基本的な知識があることが推奨されます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• Communications Manager Express リリース 8.6
• Cisco 7965 IP 電話リリース 8.5.3

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。

証明書の問題のトラブルシューティング

インターネット上の IP 電話と社内ネットワーク内の CME の間の SSL VPN をセットアップする方法は 2 つあります。

• CME は、VPN ヘッドエンドとして機能する Cisco 適応型セキュリティ アプライアンス（ASA）です。 このシナリオでは、CME と ASA は同じ証明書を共有し、IP 電話は ASA のセキュリティ セットアップをネゴシエートします。
• CME はインターネットに直接接続されており、VPN ヘッドエンドとして機能します。 IP 電話のセキュリティ セットアップを直接ネゴシエートします。 

どちらのシナリオの場合も、インターネット上の IP 電話と CME の間の SSL VPN を確立するために同じ手順を行います。

1. CME は、セキュリティ証明書を生成または取得します。
2. CME は、Base64 形式で証明書のハッシュを、電話が TFTP 経由で CME からダウンロードする設定ファイル経由で電話に「プッシュ」します。
3. IP 電話は VPN ヘッドエンドでログインを試み、Transport Layer Security（TLS）プロトコル経由で証明書を受信します。
4. IP 電話は証明書からハッシュを抽出し、CME から事前にダウンロードしておいたハッシュと比較します。 ハッシュが一致すると、電話は VPN ヘッドエンドを信頼し、VPN ネゴシエーションの処理を続行します。

確認

CME が IP 電話にハッシュをプッシュしたことを確認するには、安全な電話に対して生成された設定ファイルを確認します。 この手順を簡略化するために、電話ごとに設定ファイルを生成してそれをフラッシュに保存するよう CME を設定できます。

R009-3945-1(config-telephony)#cnf-file perphone
R009-3945-1(config-telephony)#cnf-file location flash:

新しい設定が確実に生成されるようにするために、設定ファイルを再作成することをお勧めします。

R009-3945-1(config-telephony)#no create cnf-files
CNF files deleted
R009-3945-1(config-telephony)#create cnf-file
Creating CNF files

フラッシュの対応する設定ファイルが表示された後（vpn-group が設定された ephone）、ファイル コンテンツの末尾付近に次のように表示されます。

<vpnGroup>  <enableHostIDCheck>0</enableHostIDCheck>
  <addresses>
    <url1>https://10.201.160.201/SSLVPNphone</url1>
  </addresses>
  <credentials>
    <hashAlg>0</hashAlg>
    <certHash1>fZ2xQHMBcWj/fSoNs5IkPbA2Pt8=</certHash1>
  </credentials>
</vpnGroup>

certHash1 値は、証明書のハッシュです。 IP 電話が TLS セットアップ時に VPN ヘッドエンドから証明書を受信する際、証明書のハッシュが保存されたハッシュ値と同じである必要があります。 IP 電話が「Bad Certificate」エラーをスローする場合は、ハッシュ値が一致していない可能性があります。

確認するには、次の手順に従って、IP 電話と VPN ヘッドエンドの間で収集されたパケット キャプチャからハッシュ値を抽出します。

1. VPN ヘッドエンド デバイスからのパケットを、証明書が含まれる IP 電話に置きます。 これは通常、TLS サーバの Hello パケットにあります。
2. 次のように、パケットのコンテンツを展開し、ヘッダーを見つけます。
   [Secure Socket Layer] > [TLS V1 Record Layer] > [Handshake Protocol: Certificate] > [Certificates] > [Certificate] 。
3. [Certificate] ヘッダーを右クリックし、値を .CER ファイルにエクスポートします。

    

   
   

   

4. .CER ファイルを開き、[Details] タブに移動し、[Thumbprint] を選択し、値を選択します。 値は、16 進形式のハッシュです。

   

5. 次に、オンラインの Hex-to-Base64 変換ツールを使用して、ハッシュを 16 進から Base64 に変換します。 一致しない場合（これは IP 電話で受信したハッシュが、SSL の VPN ヘッドエンドで使用されるものとは異なる証明書からのものであるを意味している）は、変換した値を IP 電話の設定ファイルのハッシュ値と比較することができます。

関連情報

• SCCP IP 電話の SSL VPN クライアントの設定
• テクニカル サポートとドキュメント – Cisco Systems