Introdução
Este documento descreve o problema em que o certificado do servidor de aplicativos falha ao ser carregado com a mensagem de erro "CSR SAN and Certificate SAN does not match".
Contribuição de Anuj Bhatia, engenheiro do Cisco TAC.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos
- Processo de geração de CSR (Certificate Signed Request, solicitação assinada por certificado) na plataforma VOS (Voice Operating System, sistema operacional de voz)
- Processo para carregar certificado assinado de Autoridade de Certificação (CA) na plataforma VOS
Componentes Utilizados
As informações neste documento são baseadas no Cisco Finesse 11.0(1) e acima.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Problema: Emissão de SANs com um certificado assinado por terceiros no Finesse
Para que o servidor use certificados assinados pela CA, a primeira etapa é gerar um CSR. Ele é criado na página Gerar CSR, na qual, por padrão, o campo Nomes alternativos do assunto (SANs) é preenchido com o nome de domínio do servidor.
Após a geração de CSR, as SANs em CSR são apresentadas neste formato
Nome DNS=ora.com (dNSName)
Nome DNS=finessea.ora.com (dNSName)
Quando a CA de terceiros cria uma cadeia de certificados a partir desse CSR, pois geralmente inclui o nome dessas SANs no certificado do aplicativo, o que não corresponde ao CSR.
Nome DNS= finessea.ora.com
Nome DNS=www. finessea.ora.com
O certificado do aplicativo fornecido pela CA GoDaddy é mostrado na imagem:
Essa incompatibilidade de SANs impede o carregamento do certificado do aplicativo no armazenamento confiável tomcat e gera o erro "CSR SAN e SAN de certificado não corresponde"
Note: O problema está na plataforma VOS e se aplica a todos os produtos do Contact Center executados nesse sistema operacional, como Cisco Live Data, Cisco Unified Intelligence Center (CUIC) etc.
Solução
Há duas maneiras de abordar o problema:
- O cliente pode consultar a autoridade de CA e solicitar a obtenção da cadeia de certificados com as SANs presentes no CSR.
- A opção mais fácil é manter o campo SANs em branco ao gerar o CSR.
Ele não tem dados nas informações de SANs do CSR. Quando a autoridade de certificação fornece a cadeia de certificados, ela preenche as informações, mas durante o upload, o sistema ignora o campo que permite que o certificado seja instalado.