5月30日のSectigo CA証明書の期限切れによるExpressway MRAログインおよびB2Bコールの問題のトラブルシューティング

ダウンロード オプション

  • PDF     (795.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (679.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (517.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2020 年 6 月 1 日
Document ID:215561

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、5月30日のSectigo CA証明書の期限切れによるMRA(モバイルリモートアクセス)ログインおよびB2B(企業間)コールの問題のソリューションについて説明します。

    前提条件

    要件

    このドキュメントに特有の要件はありません。

    使用するコンポーネント

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

    問題

    Sectigo CA証明書パッケージは5月30日に期限切れになり、Expressway/VCSの導入が停止します。証明書/TLSネゴシエーションの失敗により、MRAログインおよびB2Bコールが停止する場合があります。これらの問題の大部分は、Sectigo証明書の有効期限が原因で発生します。Sectigoリンクによってリリースされたアドバイザリにも同じ内容が記載されています 
    https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000rgSZ

    症状

    証明書の期限切れにより、次の症状が発生します

    - MRAログイン、B2Bコールが機能しない
    – クラスタリング(ダウン)
    – トラバーサルゾーン(TLS障害あり)

    - VCS/Expressway証明書の署名に使用されるSectigo CA

    参照ログスニペット

    2020-05-31T00:02:55.897-04:00 expe tvcs: Event="Inbound TLS Negotiation Error" Service="SIP" Src-ip="10.106.102.215" Src-port="11239" Dst-ip="10.106.102.222" Dst-port="5061" Detail="No SSL error available, probably remote disconnect" Protocol="TLS" Level="1" UTCTime="2020-05-31 04:02:55,897"

2020-05-31T00:02:55.897-04:00 expe tvcs: UTCTime="2020-05-31 04:02:55,896" Module="developer.ssl" Level="ERROR" CodeLocation="ppcmains/ssl/ttssl/ttssl_openssl.cpp(68)" Method="::TTSSLErrorOutput" Thread="0x7f8dafea0700": TTSSL_continueHandshake: Failed to establish SSL connection iResult="0" error="5" bServer="true" localAddress="['IPv4''TCP''10.106.102.222:5061']" remoteAddress="['IPv4''TCP''10.106.102.215:11239']"

2020-05-31T00:02:55.897-04:00 expe tvcs: UTCTime="2020-05-31 04:02:55,897" Module="network.tcp" Level="DEBUG": Src-ip="10.106.102.215" Src-port="11239" Dst-ip="10.106.102.222" Dst-port="5061" Detail="TCP Connection Closed" Reason="Got EOF on socket"

    解決方法

    ステップ1:次のリンクから証明書をダウンロードし、すべてのピアノードで期限切れのSectigo Trust証明書に置き換える必要があります。 

    https://censys.io/certificates/52f0e1c4e58ec629291b60317f074671b85d7ea80d5b07273463534b32b40234/pem

    https://censys.io/certificates/e793c9b02fd8aa13e21c31228accb08119643b749c898964b1746d46c3d4cbd2/pem

    注:上記のドキュメントの執筆中に、Sectigoアドバイザリに従ってリダイレクトされたリンクが表示されます。

    ステップ2:[Maintenance] > [Security] > [Trusted CA Certificate]の順に移動して、ダウンロードした証明書をExpresswayにアップロードしました

    ステップ3:[Maintenance] > [Security] > [Trusted CA Certificate]に移動して、Expressway証明書信頼ストアの期限切れSectigo/AddTrust CA証明書を削除します。

    ステップ 4:  [メンテナン] > [リスタートオプション] > [リスタート]の順に移動して、Expresswayを再起動します

    関連情報

    Expressway Sectigo証明書の期限切れのトラブルシューティングのビデオ

    TAC Authored

    シスコ エンジニア提供

    • Sharan Sampath
      Cisco TAC Engineer
    • Vikram Dutta
      Cisco TAC Engineer

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています