排除Expressway证书故障

简介

本文档介绍证书的工作方式以及Expressway服务器中证书的最常见问题和提示。

先决条件

要求

Cisco 建议您了解以下主题：

• Expressway和视频通信服务器(VCS)服务器
• 安全套接字层(SSL)
• 证书
• 网真设备
• 移动和远程访问
• 协作部署

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Expressway x14

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

SSL和证书遵循一个标准，并在其他设备和品牌间以相同方式运行。本文档重点介绍Expressway中的证书用法。

定义

证书用于在两台设备之间创建安全连接。它们是验证服务器或设备身份的数字签名。某些协议(如安全超文本传输协议(HTTPS)或会话初始协议(SIP)传输层安全(TLS))需要使用证书才能运行。

当您讨论证书时，会使用不同的术语：

• 证书签名请求(CSR)：使用标识设备的名称创建的模板，以便以后签名并转换为客户端或服务器证书。
• 证书：已签名的CSR。这些是身份类型，安装在设备上以用于SSL协商。它们可以自己签名，也可以由证书颁发机构签名。
• 证书签名：验证相关证书合法性的身份；这些证书以其他证书的形式提供。
• 自签名证书：由自己签名的客户端或服务器证书。
• 证书颁发机构(CA)：签署证书的实体。
  • 中间证书：CA证书不是由自身签署，而是由另一个CA证书签署，通常由根证书签署，但也可以由另一个中间证书签署。
  • Root Certificate：由自己签名的CA证书。

基本原则

当客户端与服务器对话并开始SSL对话时，它们会交换证书。这些稍后用于加密设备之间的流量。

作为交换的一部分，设备还会确定证书是否受信任。要确定证书是否受信任，必须满足多个条件，包括：

• 最初用于联系服务器的完全限定域名(FQDN)。此名称必须与服务器提供的证书中的名称匹配。
  • 例如，当您在浏览器上打开网页时，cisco.com会解析为提供证书的服务器的IP。此证书必须包含cisco.com作为名称才能受信任。

• 对服务器提供的服务器证书（或自签名时的同一服务器证书）签名的CA证书显示在设备的CA受信任证书列表中。
  • 设备具有受信任的CA证书列表，计算机通常包含具有已知公共证书颁发机构的预建列表。

• 当前日期和时间在证书的有效期限内。
  • 证书颁发机构仅在设定的时间内签署CSR，这由CA确定。

• 证书未吊销。
  • 公共证书颁发机构通常在证书中包含证书撤销列表URL。这样，接收证书的参与方可以确认证书未被CA吊销。

常见问题

Expressway证书上传失败

有几种情况可能会导致这种情况。它们会导致不同的描述性错误。

证书格式无效

当证书的格式无效时，会发生第一个错误。文件扩展名无关紧要。

如果证书未打开，可以从CA以正确的格式请求新的证书

如果证书打开，请执行以下步骤：

步骤1:打开证书并导航到详细信息选项卡。
第二步：选择Copy to File。
第三步：完成此向导并确保已选择Base-64编码。

证书格式选择

第四步：保存后，将新文件上传到Expressway。

不受信任的CA证书链

当签署服务器证书的CA证书不受信任时会发生此错误。在上传服务器证书之前，服务器必须信任链中的所有CA证书。

通常，CA提供CA证书以及已签名的服务器证书。如果可用，请跳至下面的步骤6。

如果CA证书不可用，可以从服务器证书获取这些证书。请执行以下步骤：

步骤1:打开服务器证书。
第二步：导航到认证路径选项卡。排名靠前的证书被视为根CA证书。底部的证书是服务器证书，中间的所有证书都被视为中间CA证书。
第三步：选择CA证书并选择View Certificate。

证书路径

第四步：导航到详细信息选项卡并执行先前步骤以便将证书保存到单独的文件中。
第五步：对现有所有CA证书重复这些步骤。

Certificate Details选项卡

所有CA证书可用后，将其上传到Expressway受信任CA证书列表：

第六步：在Expressway服务器上导航到维护>安全>受信任CA证书。
步骤 7.选择选择文件并上传。
步骤 8对每个CA证书重复步骤7。
步骤 9所有CA证书上传到信任列表后，将服务器证书上传到服务器上。

穿越Zone Down，出现TLS协商错误

当Expressway-C和Expressway-E之间的SSL交换未成功完成时，会发生此错误。导致此问题的几个示例：

• 主机名与所提供证书中的名称不匹配。
  • 确保Expressway-C遍历区域上配置的对等地址与Expressway-E服务器证书上的至少一个名称匹配。
• TLS验证主题名称与所提供证书中的名称不匹配。
  • 确保Expressway-E遍历区域上配置的TLS验证主体名称与Expressway-C服务器证书的名称之一匹配。如果是集群配置，建议将Expressway-C集群FQDN配置为TLS验证主体名称，因为此名称必须存在于集群的所有节点上。
• 服务器不信任CA证书。
  • 正如在上传服务器证书之前，每台服务器都必须信任自己的CA证书，其它服务器也必须信任这些CA证书才能信任服务器证书。为此，请确保来自两个Expressway服务器的证书路径的所有CA证书都存在于所有相关服务器的受信任CA列表中。CA证书可通过本文档前面提供的步骤提取。

证书续订后，遍历区域打开，但SSH隧道关闭

SSH隧道故障

当一个或多个中间CA证书不受信任、根CA证书信任启用穿越区域连接，但SSH隧道是更详细的连接时，此错误通常会在证书续订后发生，并且当整个链不受信任时，SSH隧道可能会失败。

中间CA证书通常由证书颁发机构更改，因此证书续订可能会触发此问题。确保已在所有Expressway信任列表上传所有中间CA证书。

升级或证书续订后，移动和远程访问登录失败

登录失败的原因有很多种，但是在Expressway软件的较新版本中，进行了一些更改，出于安全原因，在以前未执行的情况下强制进行证书验证。

下面对此进行了更详细的说明：流量服务器强制进行证书验证

如解决方法所述，确保Expressway-C CA证书作为tomcat-trust和callmanager-trust上传到思科统一通信管理器，然后重新启动所需的服务。

移动和远程访问登录时Jabber上的证书警报

Jabber不可信证书警告

当应用上使用的域与Expressway E服务器证书上的主题备用名称不匹配时，会发生此行为。
确保example.com或备用collab-edge.example.com是证书上存在的其中一个主题备用名称。

相关信息

思科技术支持和下载