簡介
本文檔介紹證書的工作方式以及Expressway伺服器中證書的最常見問題和提示。
必要條件
需求
思科建議您瞭解以下主題:
- Expressway和視訊通訊伺服器(VCS)伺服器
- 安全套接字層(SSL)
- 憑證
- Telepresence裝置
- 移動和遠端訪問
- 合作部署
採用元件
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
SSL和憑證是一種標準,在其他裝置和品牌間使用的方法相同。本文檔重點介紹Expressway中的證書用途。
定義
證書用於在兩台裝置之間建立安全連線。它們是驗證伺服器或裝置身份的數位簽章。某些協定(例如超文本傳輸協定安全(HTTPS)或會話初始協定(SIP)傳輸層安全(TLS))需要使用證書才能正常工作。
談論憑證時使用的不同術語:
- 證書簽名請求(CSR):使用標識裝置的名稱建立的模板,以便以後簽名並轉換為客戶端或伺服器證書
- 證書:已簽名的CSR。這些是身份型別,安裝在裝置上用於SSL協商。它們可以由自己或證書頒發機構簽名。
- 證書簽名:驗證相關證書合法性的標識;這些標識以其他證書的形式顯示。
- 自簽名證書:由自己簽名的客戶端或伺服器證書
- 證書頒發機構(CA):簽署證書的實體
- Intermediate Certificate(中間證書):CA證書不是由自身簽名而是由另一個CA證書簽名,通常由根證書簽名,但也可以由另一個中間證書簽名
- 根證書:由自身簽名的CA證書
基本原則
當客戶端與伺服器對話並開始SSL對話時,它們會交換證書,稍後將證書用於加密裝置之間的流量。作為交換的一部分,裝置還確定證書是否受信任。要確定證書是否受信任,必須滿足多個條件,有些條件是:
- 最初用於聯絡伺服器的完全限定域名(FQDN)與伺服器提供的證書內的名稱相匹配。
- 例如,當您在瀏覽器上開啟網頁時,cisco.com會解析提供證書的伺服器的IP,該伺服器必須包含cisco.com作為名稱才能受到信任。
- 對伺服器提供的伺服器證書(或自簽名時相同的伺服器證書)進行簽名的CA證書存在於裝置的CA受信任證書清單中。
- 裝置具有受信任的CA證書清單,電腦通常包含具有公認公共證書頒發機構的預置清單。
- 當前日期和時間在證書的有效期限內。
- 憑證授權單位僅在一定的時間內簽署CSR,這由CA決定。
- 證書未吊銷。
- 公共證書頒發機構通常在證書中包含證書撤銷清單URL。這樣接收證書的參與方可以確認證書未被CA吊銷。
常見問題
Expressway證書上傳失敗
有幾個原因會導致此情況。它們會導致不同的描述性錯誤。
證書格式無效
當證書的格式無效時,會發生第一個錯誤。副檔名並不重要。
如果憑證未開啟,可以從CA以正確的格式要求新憑證
如果證書開啟,請執行以下步驟:
步驟 1.開啟證書並導航到Details頁籤。
步驟 2.選擇Copy to File。
步驟 3.按照嚮導操作,確保已選擇Base-64 encoded。
證書格式選擇
步驟 4.儲存後,將新檔案上傳到Expressway上。
不受信任的CA證書鏈
當簽署伺服器證書的CA證書不受信任時會發生此錯誤。上傳伺服器憑證之前,伺服器必須信任鏈結中的所有CA憑證。
通常CA會提供CA憑證以及已簽名的伺服器憑證。如果可用,請跳至下面的步驟6。
如果CA證書不可用,可從伺服器證書獲取這些證書。請遵循以下步驟:
步驟 1.開啟服務器證書。
步驟 2.導航到Certification Path選項卡。排名靠前的證書被視為根CA證書。底部是伺服器憑證,介於兩者之間的都視為中間CA憑證。
步驟 3.選擇CA證書並選擇View Certificate。
認證路徑
步驟 4.導覽至Details索引標籤,然後按照之前的步驟操作,以便將憑證儲存到另一個檔案中。
步驟 5.對存在的所有CA證書重複這些步驟。
Certificate Details頁籤
所有CA證書可用後,將其上傳到Expressway受信任CA證書清單:
步驟 6.在Expressway伺服器上導航到維護>安全>受信任CA證書。
步驟 7.選擇Choose File並上傳。
步驟 8.對每個CA憑證重複步驟7。
步驟 9.所有CA證書上傳到信任清單後,將伺服器證書上傳到伺服器。
遍歷區域關閉,出現錯誤TLS協商錯誤
當Expressway-C和Expressway-E之間的SSL交換未成功完成時,會發生此錯誤。可能導致此問題的幾個示例:
- 主機名與提供的證書中的名稱不匹配。
- 確保Expressway-C遍歷區域上配置的對等地址與Expressway-E伺服器證書上的至少一個名稱相匹配
- TLS驗證名稱與提供的證書中的名稱不匹配。
- 確保Expressway-E遍歷區域上配置的TLS驗證名稱與Expressway-C伺服器證書上的名稱之一匹配。如果是群集配置,建議將Expressway-C群集FQDN配置為TLS。驗證該名稱,因為此名稱必須存在於群集的所有節點上。
- 伺服器不信任CA證書
- 正如每個伺服器在上傳伺服器憑證前必須信任其自己的CA憑證,其他伺服器也必須信任這些CA憑證才能信任伺服器憑證。為此,請確保來自兩個Expressway伺服器的證書路徑的所有CA證書都存在於所有相關伺服器的受信任CA清單中。CA憑證可以按照本文前面提供的步驟擷取。
證書續訂後,遍歷區域已啟動,但SSH隧道已關閉
SSH通道故障
當一個或多個中間CA證書不可信,根CA證書信任啟用穿越區域連線,但SSH隧道是更詳細的連線,當整個鏈不受信任時可能會失敗,中間CA證書經常被證書頒發機構更改,因此證書的更新可能觸發此問題。確保所有中間CA證書都上載到所有Expressway信任清單上。
升級或證書續訂後,移動和遠端訪問登入失敗
登入可能會因證書原因而失敗,但是在較新版本的Expressway軟體上,由於安全原因,已實施了一些軟體更改,強制在以前未執行的位置進行證書驗證。
此處對此有更詳細的說明:Traffic Server Enforces Certificate Verification
解決方法中規定,確保Expressway-C CA證書作為tomcat-trust和callmanager-trust上傳到Cisco Unified Communications Manager,然後重新啟動所需的服務。
移動和遠端訪問登入時Jabber上的證書警報
Jabber不受信任的證書警告
當應用程式上使用的域與Expressway-E伺服器證書上的使用者替代名稱不匹配時,會發生此行為。
請確保example .com或備用collab-edge.example .com是證書上存在的主題替代名稱之一。
相關資訊
思科技術支援與下載