本文档介绍通过安全套接字层(SSL)VPN对Communications Manager Express(CME)的IP电话注册进行故障排除的方法。
思科建议您对安全证书、数据包捕获工具和Communications Manager Express有基本的了解。
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
在Internet上的IP电话和公司网络内的CME之间设置SSL VPN有两种方法。
在这两种情况下,在Internet上的IP电话和CME之间建立SSL VPN包括类似步骤:
要验证CME已将哈希推送到IP电话,请检查为安全电话生成的配置文件。为简化此步骤,您可以配置CME以生成每部电话的配置文件并将其存储在闪存中:
R009-3945-1(config-telephony)#cnf-file perphone
R009-3945-1(config-telephony)#cnf-file location flash:
为确保生成新配置,建议重新创建配置文件:
R009-3945-1(config-telephony)#no create cnf-files
CNF files deleted
R009-3945-1(config-telephony)#create cnf-file
Creating CNF files
在闪存中显示相应的配置文件(对于已配置vpn-group的ephone)后,您应在文件内容末尾处看到以下内容:
<vpnGroup> <enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1>https://10.201.160.201/SSLVPNphone</url1>
</addresses>
<credentials>
<hashAlg>0</hashAlg>
<certHash1>fZ2xQHMBcWj/fSoNs5IkPbA2Pt8=</certHash1>
</credentials>
</vpnGroup>
certHash1值是证书的哈希值。当IP电话在TLS设置期间从VPN头端接收证书时,它期望证书的哈希值与存储的哈希值相同。如果IP电话抛出“错误证书”错误,则可能是哈希值不匹配。
要进行验证,请按照以下步骤从IP电话和VPN头端之间收集的数据包捕获中提取哈希值:
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
22-Oct-2013 |
初始版本 |