使用CME排除SSL VPN的证书问题
简介
本文档介绍通过安全套接字层(SSL)VPN对Communications Manager Express(CME)的IP电话注册进行故障排除的方法。
先决条件
要求
思科建议您对安全证书、数据包捕获工具和Communications Manager Express有基本的了解。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Communications Manager Express版本8.6
- 思科7965 IP电话版本8.5.3
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
排除证书问题
在Internet上的IP电话和公司网络内的CME之间设置SSL VPN有两种方法。
- CME位于充当VPN头端的思科自适应安全设备(ASA)的后面。在此场景中,CME和ASA共享同一证书,IP电话与ASA协商安全设置。
- CME直接连接到Internet,并充当VPN头端。它直接与IP电话协商安全设置。
在这两种情况下,在Internet上的IP电话和CME之间建立SSL VPN包括类似步骤:
- CME生成或获取安全证书。
- CME通过电话通过TFTP从CME下载的配置文件将Base64格式证书的哈希值“推送”到电话。
- IP电话尝试使用VPN头端登录,并通过传输层安全(TLS)协议接收证书。
- IP电话从证书中提取哈希值,并将其与之前从CME下载的哈希值进行比较。如果哈希匹配,则电话信任VPN头端并继续进行VPN协商。
验证
要验证CME已将哈希推送到IP电话,请检查为安全电话生成的配置文件。为简化此步骤,您可以配置CME以生成每部电话的配置文件并将其存储在闪存中:
R009-3945-1(config-telephony)#cnf-file perphone
R009-3945-1(config-telephony)#cnf-file location flash:
为确保生成新配置,建议重新创建配置文件:
R009-3945-1(config-telephony)#no create cnf-files
CNF files deleted
R009-3945-1(config-telephony)#create cnf-file
Creating CNF files
在闪存中显示相应的配置文件(对于已配置vpn-group的ephone)后,您应在文件内容末尾处看到以下内容:
<vpnGroup> <enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1>https://10.201.160.201/SSLVPNphone</url1>
</addresses>
<credentials>
<hashAlg>0</hashAlg>
<certHash1>fZ2xQHMBcWj/fSoNs5IkPbA2Pt8=</certHash1>
</credentials>
</vpnGroup>
certHash1值是证书的哈希值。当IP电话在TLS设置期间从VPN头端接收证书时,它期望证书的哈希值与存储的哈希值相同。如果IP电话抛出“错误证书”错误,则可能是哈希值不匹配。
要进行验证,请按照以下步骤从IP电话和VPN头端之间收集的数据包捕获中提取哈希值:
- 找到从VPN头端设备到包含证书的IP电话的数据包。它通常在TLS服务器Hello数据包中。
- 展开数据包内容并找到报头:
安全套接字层> TLS V1记录层>握手协议:证书>证书>证书。 - 右键点击证书标头,将值导出到.CER文件:
- 打开.CER文件,转到“详细信息”选项卡,选择“指纹”,然后选择值。这些值是十六进制格式的哈希值:
- 接下来,使用任何在线Hex-to-Base64转换工具将哈希从十六进制转换为Base64。如果转换后的值与IP电话配置文件中的哈希值不匹配,则可以将其与哈希值进行比较,这意味着IP电话收到的哈希值来自与VPN头端用于SSL的证书不同的证书。
相关信息
>修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
22-Oct-2013 |
初始版本 |
反馈