Risoluzione dei problemi relativi all'accesso MRA Expressway e alle chiamate B2B a causa della scadenza del certificato CA Sectigo il 30 maggio

Opzioni per il download

  • PDF     (714.3 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (687.9 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (525.3 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:1 giugno 2020
ID documento:215561

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive le soluzioni per il problema di login MRA (Mobile Remote Access) e chiamate B2B (Business-to-Business) a causa della scadenza del certificato CA Sectigo il 30 maggio.

    Prerequisiti

    Requisiti

    Nessun requisito specifico previsto per questo documento.

    Componenti usati

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Problema

    Il pacchetto di certificati CA Sectigo è scaduto il 30 maggio e ciò ha causato interruzioni per la distribuzione di Expressway/VCS. È possibile che si verifichino interruzioni delle chiamate B2B e di login MRA dovute a errori di negoziazione certificato/TLS. La maggior parte di questi problemi è causata dalla scadenza del certificato Sectigo. Lo stesso è stato documentato sull'advisory rilasciato da Sectigo link 
    https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000rgSZ

    Sintomi

    La scadenza del certificato causerà i seguenti sintomi

    - Accesso MRA, chiamate B2B non funzionanti
    - Clustering non attivo
    - Zona trasversale (con errori TLS)

    - CA Sectigo utilizzata per firmare il certificato VCS/Expressway

    Frammenti di log di riferimento

    2020-05-31T00:02:55.897-04:00 expe tvcs: Event="Inbound TLS Negotiation Error" Service="SIP" Src-ip="10.106.102.215" Src-port="11239" Dst-ip="10.106.102.222" Dst-port="5061" Detail="No SSL error available, probably remote disconnect" Protocol="TLS" Level="1" UTCTime="2020-05-31 04:02:55,897"

2020-05-31T00:02:55.897-04:00 expe tvcs: UTCTime="2020-05-31 04:02:55,896" Module="developer.ssl" Level="ERROR" CodeLocation="ppcmains/ssl/ttssl/ttssl_openssl.cpp(68)" Method="::TTSSLErrorOutput" Thread="0x7f8dafea0700": TTSSL_continueHandshake: Failed to establish SSL connection iResult="0" error="5" bServer="true" localAddress="['IPv4''TCP''10.106.102.222:5061']" remoteAddress="['IPv4''TCP''10.106.102.215:11239']"

2020-05-31T00:02:55.897-04:00 expe tvcs: UTCTime="2020-05-31 04:02:55,897" Module="network.tcp" Level="DEBUG": Src-ip="10.106.102.215" Src-port="11239" Dst-ip="10.106.102.222" Dst-port="5061" Detail="TCP Connection Closed" Reason="Got EOF on socket"

    Soluzione

    Passaggio 1. È necessario scaricare il certificato dai collegamenti seguenti e sostituirlo con certificati Sectigo Trust scaduti su tutti i nodi peer. 

    https://censys.io/certificates/52f0e1c4e58ec629291b60317f074671b85d7ea80d5b07273463534b32b40234/pem

    https://censys.io/certificates/e793c9b02fd8aa13e21c31228accb08119643b749c898964b1746d46c3d4cbd2/pem

    Nota: Durante la stesura del documento, vengono forniti i collegamenti reindirizzati in base all'advisory della sezione.

    Passaggio 2. Il certificato scaricato è stato caricato in Expressway passando a Manutenzione > Sicurezza > Certificato CA attendibile

    Passaggio 3. Eliminare il certificato CA Sectigo/AddTrust scaduto nell'archivio certificati di Expressways selezionando Manutenzione > Protezione > Certificato CA attendibile.

    Passaggio 4.  Riavviare Expressway selezionando Manutenzione > Opzioni di riavvio > Riavvia

    Informazioni correlate

    Risoluzione dei problemi relativi alla scadenza del certificato Expressway Sectigo

    TAC Authored

    Contributo dei tecnici Cisco

    • Sharan Sampath
      Cisco TAC Engineer
    • Vikram Dutta
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti