Risoluzione dei problemi relativi ai certificati Expressway

Introduzione

In questo documento viene descritto il funzionamento dei certificati e vengono forniti i problemi e i suggerimenti più comuni per i certificati nei server Expressway.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Server Expressway e Video Communications Server (VCS)
• SSL (Secure Sockets Layer)
• Certificati
• Dispositivi Di Telepresenza
• Accesso mobile e remoto
• Implementazioni Collaboration

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Expressway x14

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

SSL e certificati sono conformi a uno standard e funzionano allo stesso modo su altri dispositivi e marchi. In questo documento viene illustrato l'utilizzo del certificato in Expressways.

Definizioni

I certificati vengono utilizzati per creare una connessione protetta tra due dispositivi. Si tratta di una firma digitale che autentica l'identità di un server o di un dispositivo. Alcuni protocolli, ad esempio HTTPS (Hypertext Transfer Protocol Secure) o TLS (Session Initiation Protocol), richiedono l'utilizzo di certificati per funzionare.

Termini diversi utilizzati per i certificati:

• Richiesta di firma del certificato (CSR): modello creato con i nomi che identificano un dispositivo in modo da poterlo successivamente firmare e convertire in un certificato client o server.
• Certificato: un CSR firmato. Si tratta di un tipo di identità installato in un dispositivo per l'utilizzo nelle negoziazioni SSL. Possono essere firmati da soli o da un'autorità di certificazione.
• Firma certificato: l'identità che verifica il certificato in questione è legittima e viene presentata sotto forma di un altro certificato.
• Certificato autofirmato: certificato client o server firmato da se stesso.
• CA (Certification Authority): entità che firma certificati.
  • Certificato intermedio: certificato CA non firmato da se stesso ma da un altro certificato CA, in genere firmato da un certificato radice, ma che può essere firmato anche da un altro certificato intermedio.
  • Certificato radice: certificato CA firmato da se stesso.

Principio di base

Quando un client comunica con un server e avvia una conversazione SSL, scambia certificati. Questi ultimi vengono usati successivamente per crittografare il traffico tra i dispositivi.

Come parte dello scambio, i dispositivi determinano anche se i certificati sono attendibili. Per stabilire se un certificato è attendibile, è necessario che siano soddisfatte più condizioni, ad esempio:

• Il nome di dominio completo (FQDN) inizialmente utilizzato per contattare il server. Deve corrispondere a un nome nel certificato presentato dal server.
  • Ad esempio, quando si apre una pagina Web in un browser, cisco.com viene risolto nell'indirizzo IP di un server che fornisce un certificato. Per essere considerato attendibile, questo certificato deve includere cisco.com come nome.

• Il certificato CA che ha firmato il certificato del server presentato dal server (o lo stesso certificato del server se autofirmato) è presente nell'elenco dei certificati attendibili CA del dispositivo.
  • I dispositivi dispongono di un elenco di certificati CA attendibili. I computer spesso includono un elenco precompilato con autorità di certificazione pubbliche note.

• La data e l'ora correnti rientrano nel periodo di validità del certificato.
  • Le autorità di certificazione firmano i CSR solo per un determinato periodo di tempo, determinato dalla CA.

• Certificato non revocato.
  • Le autorità pubbliche di certificazione includono regolarmente un URL dell'elenco di revoche di certificati all'interno del certificato. In questo modo la parte che riceve il certificato può confermare che non è stato revocato dalla CA.

Problemi comuni

Caricamento del certificato Expressway non riuscito

Ci sono un paio di condizioni che possono causare questo. Generano un errore descrittivo diverso.

Formato del certificato non valido

Questo primo errore si verifica quando il formato del certificato non è valido. L'estensione del file non ha importanza.

Se il certificato non si apre, è possibile richiederne uno nuovo alla CA nel formato corretto

Se il certificato viene aperto, effettuare le seguenti operazioni:

Passaggio 1. Aprire il certificato e passare alla scheda Dettagli.
Passaggio 2. Selezionare Copia su file.
Passaggio 3. Completare la procedura guidata e assicurarsi che sia selezionata la codifica Base 64.

Selezione formato certificato

Passaggio 4. Una volta salvato, carica il nuovo file in Expressway.

Catena di certificati CA non attendibili

Questo errore si verifica quando i certificati CA che hanno firmato il certificato server non sono attendibili. Prima di caricare un certificato server, il server deve considerare attendibili tutti i certificati CA nella catena.

In genere, la CA fornisce i certificati della CA insieme al certificato del server firmato. Se sono disponibili, andare al passaggio 6.

Se i certificati CA non sono disponibili, è possibile ottenerli dal certificato del server. Eseguire questa procedura:

Passaggio 1. Aprire il certificato server.
Passaggio 2. Passare alla scheda Percorso certificazione. Il primo certificato è considerato il certificato CA radice. In basso è riportato il certificato del server e tutti gli elementi intermedi sono considerati certificati CA intermedi.
Passaggio 3. Scegliere un certificato CA e selezionare Visualizza certificato.

Percorso certificazione

Passaggio 4. Passare alla scheda Dettagli ed eseguire i passaggi precedenti per salvare il certificato in un file separato.
Passaggio 5. Ripetere questi passaggi per tutti i certificati CA presenti.

Scheda Dettagli certificato

Dopo aver reso disponibili tutti i certificati CA, caricarli nell'elenco dei certificati CA attendibili di Expressway:

Passaggio 6. Passare a Manutenzione > Protezione > Certificato CA attendibile sul server Expressway.
Passaggio 7. Selezionare Scegli file e carica.
Passaggio 8. Ripetere il passaggio 7 per ogni certificato CA.
Passaggio 9. Una volta caricati tutti i certificati CA nell'elenco di attendibilità, caricare il certificato del server nel server.

Area trasversale inattiva con errore di negoziazione TLS

Questo errore si verifica quando lo scambio SSL tra Expressway-C ed Expressway-E non viene completato correttamente. Ecco alcuni esempi che possono causare questa situazione:

• Il nome host non corrisponde a un nome nel certificato presentato.
  • Verificare che l'indirizzo peer configurato nella zona di attraversamento Expressway-C corrisponda ad almeno uno dei nomi nel certificato del server Expressway-E.
• Il nome del soggetto di verifica TLS non corrisponde a un nome nel certificato presentato.
  • Verificare che il nome soggetto TLS Verify configurato nella zona trasversale Expressway-E corrisponda a uno dei nomi nel certificato del server Expressway-C. Se si tratta di una configurazione cluster, è consigliabile configurare il nome di dominio completo del cluster Expressway-C come TLS Verify Subject Name, in quanto tale nome deve essere presente in tutti i nodi del cluster.
• I certificati CA non sono considerati attendibili dai server.
  • Come ogni server deve considerare attendibili i propri certificati CA prima di caricarvi il certificato server, anche gli altri server devono considerare attendibili tali certificati CA per poter considerare attendibile il certificato server. A tale scopo, verificare che tutti i certificati CA del percorso di certificazione di entrambi i server Expressway siano presenti nell'elenco delle CA attendibili di tutti i server interessati. I certificati CA possono essere estratti seguendo la procedura descritta in precedenza in questo documento.

Zona di attraversamento attivo ma SSH inattivo dopo il rinnovo di un certificato

Errore del tunnel SSH

Questo errore si verifica in genere dopo il rinnovo di un certificato quando uno o più certificati CA intermedi non sono attendibili, l'attendibilità del certificato CA radice abilita la connessione alla zona trasversale, ma i tunnel SSH sono una connessione più dettagliata e possono avere esito negativo quando l'intera catena non è attendibile.

I certificati CA intermedi vengono spesso modificati dalle autorità di certificazione, pertanto il rinnovo di un certificato può causare il problema. Verificare che tutti i certificati CA intermedi siano caricati in tutti gli elenchi di attendibilità di Expressway.

Accesso a Mobile e Accesso remoto non riuscito dopo un aggiornamento o un rinnovo del certificato

Ci sono molti modi in cui un accesso può non riuscire a causa dei certificati, ma nelle versioni più recenti del software Expressway sono state implementate alcune modifiche che, per motivi di sicurezza, forzano la verifica dei certificati dove non è stato fatto prima.

Questa spiegazione è più precisa: il server del traffico applica la verifica dei certificati

Come indicato nella soluzione, verificare che i certificati CA Expressway-C vengano caricati in Cisco Unified Communications Manager come tomcat-trust e callmanager-trust, quindi riavviare i servizi richiesti.

Avviso certificato su Jabber all'accesso di Mobile e Remote Access

Avviso certificato non attendibile Jabber

Questo comportamento si verifica quando il dominio utilizzato nell'applicazione non corrisponde a un nome soggetto alternativo nel certificato del server Expressway-E.
Verificare che example.com o l'alternativa collab-edge.example.com sia uno dei nomi alternativi del soggetto presenti nel certificato.

Informazioni correlate

Supporto tecnico Cisco e download