5月30日,Expressway MRA登录和B2B呼叫问题因安全CA证书到期而故障排除
简介
本文档介绍5月30日Sectigo CA证书到期导致的MRA(移动远程访问)登录和B2B(企业到企业)呼叫问题解决方案。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
问题
Sectigo CA证书包于5月30日过期,导致Expressway/VCS部署中断。由于证书/TLS协商失败,您可能会遇到MRA登录和B2B呼叫中断。这些问题大多是Sectigo证书过期的根本原因。Sectigo链接发布的建议书中记录了相同内容
https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000rgSZ
症状
证书到期将导致以下症状
- MRA登录,B2B呼叫不工作
— 集群关闭
— 穿越区域(TLS失败)
— 用于签署VCS/Expressway证书的Sectigo CA
参考日志片段
2020-05-31T00:02:55.897-04:00 expe tvcs: Event="Inbound TLS Negotiation Error" Service="SIP" Src-ip="10.106.102.215" Src-port="11239" Dst-ip="10.106.102.222" Dst-port="5061" Detail="No SSL error available, probably remote disconnect" Protocol="TLS" Level="1" UTCTime="2020-05-31 04:02:55,897" 2020-05-31T00:02:55.897-04:00 expe tvcs: UTCTime="2020-05-31 04:02:55,896" Module="developer.ssl" Level="ERROR" CodeLocation="ppcmains/ssl/ttssl/ttssl_openssl.cpp(68)" Method="::TTSSLErrorOutput" Thread="0x7f8dafea0700": TTSSL_continueHandshake: Failed to establish SSL connection iResult="0" error="5" bServer="true" localAddress="['IPv4''TCP''10.106.102.222:5061']" remoteAddress="['IPv4''TCP''10.106.102.215:11239']" 2020-05-31T00:02:55.897-04:00 expe tvcs: UTCTime="2020-05-31 04:02:55,897" Module="network.tcp" Level="DEBUG": Src-ip="10.106.102.215" Src-port="11239" Dst-ip="10.106.102.222" Dst-port="5061" Detail="TCP Connection Closed" Reason="Got EOF on socket"
解决方案
步骤1.您需要从以下链接下载证书,并在所有对等节点上将其替换为过期的安全信任证书。
https://censys.io/certificates/52f0e1c4e58ec629291b60317f074671b85d7ea80d5b07273463534b32b40234/pem
https://censys.io/certificates/e793c9b02fd8aa13e21c31228accb08119643b749c898964b1746d46c3d4cbd2/pem
步骤2.导航至“维护”>“安全”>“受信任CA证书”,将下载的证书上传到Expressway上
步骤3.导航至Maintenance > Security > Trusted CA Certificate,删除Expressway证书信任存储上过期的Sectigo/AddTurst CA证书。
第四步: 导航至维护>重新启动选项>重新启动Expressway
反馈