本文档介绍视频通信服务器(VCS)上的证书身份验证。证书标识VCS,并包含其已知名称和流量路由到的名称。如果VCS为这些目的而知道多个名称,例如它是集群的一部分,则必须在X.509主题数据中表示。证书必须包含VCS本身和集群的完全限定域名(FQDN)。如果证书在群集对等体之间共享,则必须列出所有可能的对等体FQDN。
VCS需要以下证书:
它使用其受信任证书颁发机构(CA)证书列表和关联的证书撤销列表(CRL)来验证连接到它的其他设备。
本文档没有任何特定的要求。
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
VCS版本8.1.1支持协作边缘移动远程访问(MRA)功能,并要求在VCS-Control和VCS-Expressway之间建立TLS连接。
要设置TLS,您需要在VCS上上传必要的证书。您可以通过以下三种方法完成此操作:
VCS-Control和VCS-Expressway之间的TLS连接需要以下两个属性:
本文档重点介绍企业CA方法,因为OpenSSL已在VCS证书部署指南中讨论。
安装CA时,默认情况下Web服务器证书。但是,此模板不能用于为VCS-Control和VCS-Expressway之间的TLS连接生成证书。如果尝试将证书上传到仅使用Web服务器属性生成的VCS,您将收到此错误。
要验证此情况,请选择“维护”>“服务器证书”。单击“Decode Certificate”。选中“扩展密钥使用”部分。
如前所述,对于TLS连接,您需要客户端和Web服务器属性。由于没有默认模板,因此可以创建一个模板。要生成具有TLS客户端身份验证和TLS Web Server身份验证属性的新模板,请完成以下步骤:
使用本部分可确认配置能否正常运行。
请完成以下步骤:
本部分提供了可用于对配置进行故障排除的信息。
如果模板不可用于Web注册,请确定访问certsrv的用户是否具有必要权限。
如前所述,Windows 2008模板将不可用于Web注册。有关详细信息,请参阅2008 Web Enrollment和Version 3 Templates。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
04-Nov-2014 |
初始版本 |