Fehlerbehebung bei Expressway-Zertifikaten

Download-Optionen

  • PDF     (495.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (353.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (319.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:8. Juli 2024
Dokument-ID:221624

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt die Funktionsweise von Zertifikaten sowie die häufigsten Probleme und Tipps für Zertifikate auf Expressway-Servern.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Expressway und Video Communications Server (VCS) Server
    • Secure Sockets Layer (SSL)
    • Zertifikate
    • Telepresence-Geräte
    • Mobiler und Remote-Zugriff
    • Collaboration-Bereitstellungen

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Expressway x14

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    SSL und Zertifikate entsprechen einem Standard und werden auf allen anderen Geräten und Marken verwendet. Dieses Dokument konzentriert sich auf die Zertifikatverwendung in Expressways.

    Definitionen

    Zertifikate werden verwendet, um eine sichere Verbindung zwischen zwei Geräten herzustellen. Sie sind eine digitale Signatur, die eine Server- oder Geräteidentität authentifiziert. Einige Protokolle wie Hypertext Transfer Protocol Secure (HTTPS) oder Session Initiation Protocol (SIP) Transport Layer Security (TLS) erfordern die Verwendung von Zertifikaten, damit sie funktionieren.

    Unterschiedliche Begriffe, die bei Zertifikaten verwendet werden:

    • CSR (Certificate Signing Request): Eine Vorlage, die mit den Namen eines Geräts erstellt wird, um später signiert und in ein Client- oder Serverzertifikat konvertiert zu werden.
    • Zertifikat: Ein CSR, der signiert wurde. Hierbei handelt es sich um einen Identitätstyp, der auf einem Gerät installiert wird und bei SSL-Aushandlungen verwendet werden kann. Sie können von sich selbst oder von einer Zertifizierungsstelle signiert werden.
    • Zertifikatsunterschrift: Identität, die die Legitimität des betreffenden Zertifikats nachweist; diese werden in Form eines anderen Zertifikats ausgestellt.
    • Selbstsigniertes Zertifikat: ein von sich selbst signiertes Client- oder Serverzertifikat.
    • Zertifizierungsstelle (Certificate Authority, CA): Eine Stelle, die Zertifikate unterzeichnet.
      • Zwischenzertifikat: Ein Zertifizierungsstellenzertifikat, das nicht von sich selbst signiert wird, sondern von einem anderen Zertifizierungsstellenzertifikat, das normalerweise von einem Stammzertifikat signiert wird, aber auch von einem anderen Zwischenzertifikat signiert werden kann.
      • Stammzertifikat: Zertifizierungsstellenzertifikat, das von sich selbst signiert wird.

    Grundprinzip

    Wenn ein Client mit einem Server kommuniziert und eine SSL-Konversation startet, tauschen sie Zertifikate aus. Diese werden später zur Verschlüsselung des Datenverkehrs zwischen den Geräten verwendet.

    Im Rahmen des Austauschs bestimmen die Geräte auch, ob die Zertifikate vertrauenswürdig sind. Um zu bestimmen, ob ein Zertifikat vertrauenswürdig ist, müssen mehrere Bedingungen erfüllt sein. Einige dieser Bedingungen sind:

    • Der FQDN (Fully Qualified Domain Name), der ursprünglich für die Verbindung mit dem Server verwendet wurde. Dies muss mit einem Namen innerhalb des vom Server vorgelegten Zertifikats übereinstimmen.
      • Wenn Sie beispielsweise eine Webseite in einem Browser öffnen, wird cisco.com zur IP-Adresse eines Servers aufgelöst, der ein Zertifikat bereitstellt. Dieses Zertifikat muss cisco.com als Namen enthalten, damit es vertrauenswürdig ist.
    • Das Zertifizierungsstellenzertifikat, das das vom Server bereitgestellte Serverzertifikat signiert hat (oder dasselbe Serverzertifikat, wenn es selbst signiert ist), ist in der Liste der vertrauenswürdigen Zertifikate für die Zertifizierungsstelle des Geräts vorhanden.
      • Geräte verfügen über eine Liste vertrauenswürdiger Zertifizierungsstellenzertifikate. Computer enthalten häufig eine vordefinierte Liste mit bekannten öffentlichen Zertifizierungsstellen.
    • Das aktuelle Datum und die aktuelle Uhrzeit liegen innerhalb der Gültigkeitsdauer des Zertifikats.
      • Zertifizierungsstellen signieren CSRs nur für einen bestimmten Zeitraum. Dies wird von der Zertifizierungsstelle festgelegt.
    • Das Zertifikat wird nicht widerrufen.
      • Öffentliche Zertifizierungsstellen fügen dem Zertifikat regelmäßig eine URL für die Zertifikatsperrliste hinzu. Dadurch kann die Partei, die das Zertifikat empfängt, bestätigen, dass es nicht von der Zertifizierungsstelle widerrufen wurde.

    Häufige Probleme

    Upload des Expressway-Zertifikats fehlgeschlagen

    Es gibt einige Bedingungen, die dies verursachen können. Sie verursachen einen anderen beschreibenden Fehler.

    Ungültiges Format für ZertifikatUngültiges Format für Zertifikat

    Dieser erste Fehler tritt auf, wenn das Zertifikat nicht in einem gültigen Format vorliegt. Die Dateierweiterung spielt keine Rolle.

    Wenn sich das Zertifikat nicht öffnet, kann von der Zertifizierungsstelle ein neues Zertifikat im richtigen Format angefordert werden.


    Wenn sich das Zertifikat öffnet, gehen Sie wie folgt vor:

    Schritt 1: Öffnen Sie das Zertifikat, und navigieren Sie zur Registerkarte Details.
    Schritt 2: Wählen Sie In Datei kopieren aus.
    Schritt 3: Schließen Sie den Assistenten ab, und stellen Sie sicher, dass Base-64-codiert ausgewählt ist.

    Auswahl des ZertifikatsformatsAuswahl des Zertifikatsformats

    Schritt 4: Laden Sie die neue Datei nach dem Speichern auf den Expressway hoch.

    Nicht vertrauenswürdige ZertifizierungsstellenzertifikatketteNicht vertrauenswürdige Zertifizierungsstellenzertifikatkette

    Dieser Fehler tritt auf, wenn die Zertifizierungsstellenzertifikate, die das Serverzertifikat signiert haben, nicht vertrauenswürdig sind. Bevor Sie ein Serverzertifikat hochladen, muss der Server allen Zertifizierungsstellenzertifikaten in der Kette vertrauen.

    Normalerweise stellt die Zertifizierungsstelle die Zertifizierungsstellenzertifikate zusammen mit dem signierten Serverzertifikat bereit. Wenn diese Optionen verfügbar sind, fahren Sie mit Schritt 6 unten fort.

    Wenn die Zertifizierungsstellenzertifikate nicht verfügbar sind, können sie aus dem Serverzertifikat abgerufen werden. Führen Sie die folgenden Schritte aus:

    Schritt 1: Öffnen Sie das Serverzertifikat.
    Schritt 2: Navigieren Sie zur Registerkarte Zertifizierungspfad. Das oberste Zertifikat gilt als Stammzertifizierungsstelle. Das unterste Zertifikat ist das Serverzertifikat, und alle dazwischen werden als Zwischenzertifikate betrachtet.
    Schritt 3: Wählen Sie ein Zertifizierungsstellenzertifikat aus, und wählen Sie Zertifikat anzeigen aus.

    ZertifizierungspfadZertifizierungspfad


    Schritt 4: Navigieren Sie zur Registerkarte Details, und führen Sie die vorherigen Schritte aus, um das Zertifikat in einer separaten Datei zu speichern.
    Schritt 5: Wiederholen Sie diese Schritte für alle vorhandenen Zertifizierungsstellenzertifikate.

    Zertifikatdetails, RegisterkarteZertifikatdetails, Registerkarte

    Laden Sie alle Zertifizierungsstellenzertifikate in die Liste der vertrauenswürdigen Zertifizierungsstellenzertifikate für Expressway hoch:

    Schritt 6: Navigieren Sie zu Maintenance > Security > Trusted CA Certificate auf dem Expressway-Server.
    Schritt 7. Wählen Sie Datei auswählen und hochladen.
    Schritt 8: Wiederholen Sie Schritt 7 für jedes CA-Zertifikat.
    Schritt 9. Wenn alle Zertifizierungsstellenzertifikate in die Vertrauensliste hochgeladen wurden, laden Sie das Serverzertifikat auf den Server hoch.

    Traversal-Zone ausgefallen mit TLS-Aushandlungsfehler

    Dieser Fehler tritt auf, wenn der SSL-Austausch zwischen Expressway-C und Expressway-E nicht erfolgreich abgeschlossen wurde. Einige Beispiele, die dies verursachen können:

    • Der Hostname stimmt nicht mit einem Namen im angegebenen Zertifikat überein.
      • Stellen Sie sicher, dass die in der Expressway-C-Überbrückungszone konfigurierte Peer-Adresse mit mindestens einem der Namen im Expressway-E-Serverzertifikat übereinstimmt.
    • Der Betreffname für die TLS-Überprüfung stimmt nicht mit einem Namen im angegebenen Zertifikat überein.
      • Stellen Sie sicher, dass der für die Expressway-E-Überbrückungszone konfigurierte TLS-Subject-Name mit einem der Namen im Expressway-C-Serverzertifikat übereinstimmt. Wenn es sich um eine Cluster-Konfiguration handelt, wird empfohlen, dass der FQDN des Expressway-C-Clusters als TLS-Prüf-Antragstellername konfiguriert wird, da dieser Name auf allen Knoten des Clusters vorhanden sein muss.
    • Die CA-Zertifikate werden von den Servern nicht als vertrauenswürdig eingestuft.
      • Ebenso wie jeder Server seinen eigenen Zertifizierungsstellenzertifikaten vertrauen muss, bevor Sie das Serverzertifikat darauf hochladen, müssen auch andere Server diesen Zertifizierungsstellenzertifikaten vertrauen, um dem Serverzertifikat zu vertrauen. Stellen Sie hierzu sicher, dass alle Zertifizierungsstellenzertifikate aus dem Zertifizierungspfad der beiden Expressway-Server in der Liste der vertrauenswürdigen Zertifizierungsstellen aller beteiligten Server vorhanden sind. Die CA-Zertifikate können mit den weiter oben in diesem Dokument beschriebenen Schritten extrahiert werden.

    Traversal-Zone aktiviert, SSH-Tunnel deaktiviert, nachdem das Zertifikat erneuert wurde

    SSH-TunnelfehlerSSH-Tunnelfehler

    Dieser Fehler tritt in der Regel nach der Erneuerung eines Zertifikats auf, wenn mindestens eines der Zwischenzertifikate nicht vertrauenswürdig ist, die Stammzertifizierungsstelle die Verbindung mit der Zone aktiviert, die SSH-Tunnel jedoch detaillierter sind und fehlschlagen können, wenn die gesamte Kette nicht vertrauenswürdig ist.

    Zwischenzertifikate werden häufig von Zertifizierungsstellen geändert, sodass die Erneuerung eines Zertifikats dieses Problem auslösen kann. Stellen Sie sicher, dass alle Zwischenzertifikate der Zertifizierungsstelle in alle Expressway-Vertrauenslisten hochgeladen werden.

    Anmeldung für mobilen und Remote-Zugriff schlägt nach Upgrade oder Erneuerung des Zertifikats fehl

    Es gibt viele Möglichkeiten, wie eine Anmeldung aufgrund von Zertifikaten fehlschlagen kann, aber in späteren Versionen der Expressway-Software wurden einige Änderungen implementiert, die aus Sicherheitsgründen eine Zertifikatsüberprüfung dort erzwingen, wo sie zuvor nicht durchgeführt wurde.

    Hier erfahren Sie mehr: Datenverkehrsserver erzwingt die Zertifikatverifizierung

    Stellen Sie sicher, dass die Expressway-C-Zertifizierungsstellenzertifikate als "tomcat-trust" und "callmanager-trust" in den Cisco Unified Communications Manager hochgeladen werden, und starten Sie dann die erforderlichen Dienste neu.

    Zertifikatsalarm in Jabber bei mobilem und Remote-Zugriff Anmelden

    Nicht vertrauenswürdiges Jabber-ZertifikatNicht vertrauenswürdiges Jabber-Zertifikat

    Dieses Verhalten tritt auf, wenn die in der Anwendung verwendete Domäne nicht mit einem alternativen Antragstellernamen im Expressway-E-Serverzertifikat übereinstimmt.
    Stellen Sie sicher, dass entweder example.com oder die Alternative collab-edge.example.com einer der im Zertifikat vorhandenen alternativen Antragstellernamen ist.

    Zugehörige Informationen

    Technischer Support und Downloads von Cisco

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    08-Jul-2024
    Der Autor nahm Updates vor, um die Anforderungen des Cisco.com zu erfüllen und sich als Self-Publisher zu qualifizieren.
    1.0
    06-Feb-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Randy Eduardo Valverde Rojas
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.