用於 Expressway-E 與雲端之間雙向 TLS 驗證的自訂憑證

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode

為取得額外的安全性,您可能想要 Expressway 透過由憑證授權單位簽署的憑證與雲端進行通訊。

如果 Expressway-E SIP TLS 憑證由私密憑證授權單位(或者不是 Cisco Collaboration Cloud 預設信任清單所信任的憑證授權單位)簽署,則可以在服務>混合通話>設定頁面上,將憑證授權單位根憑證上傳至組織的自訂信任清單。

  • 若要使用自訂憑證,則必須宣告並驗證組織中使用的任何網域。 在 Expressway-E 憑證上,任何宣告的網域都必須呈現為主體別名 (SAN)。

  • Cisco Collaboration CloudExpressway-E 之間進行 SIP-TLS 交易時,雲端會分析 Expressway-E SAN 清單中列出的網域。 雲端隨後會嘗試尋找已宣告此清單中任何網域的組織。

  • 當雲端找到相符項時,它可以使用組織中設定的自訂憑證清單。

  • 如果 Expressway-E 憑證並不包含您的網域作為 SAN,或者您未驗證網域,則雲端無法識別要使用的憑證儲存庫。 結果是 TLS 協商會失敗,即使您在服務>混合通話>設定頁面上提供了正確的憑證亦如此。

憑證撤銷清單

如果您的私密憑證授權單位插入憑證撤銷清單 (CRL),請確保可以從公用網際網路存取 CRL 位置。 如果 CRL 存在但無法存取,則 Cisco Collaboration Cloud 無法驗證是否已撤銷憑證。

在此情況下,憑證不得嘗試存取 CRL。




Attachments

    Outcomes