Certificats personnalisés pour l'authentification TLS mutuelle entre Expressway-E et le Cloud

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode

Pour une sécurité supplémentaire, vous pouvez demander à votre Expressway de communiquer avec le Cloud via des certificats signés par une autorité de certification.

Si votre certificat TLS SIP Expressway-E a été signé par une autorité de certification privée (ou une autorité de certification non approuvée par la liste de confiance par défaut Cisco Collaboration Cloud Autorités de certification prises en charge pour Cisco Spark), vous pouvez télécharger le certificat racine de l'autorité de certification dans la liste de confiance personnalisée de votre organisation sur la page Services > Appel hybride > Paramètres.

  • Pour utiliser un certificat personnalisé, vous devez demander et vérifier tous les domaines utilisés dans votre organisation. Tous les domaines réclamés doivent être présents sur le certificat Expressway-E comme nom alternatif de sujet (SAN).

  • Lorsqu'une transaction SIP-TLS a lieu entre le Cisco Collaboration Cloud et votre Expressway-E, le Cloud analyse les domaines répertoriés dans votre liste SAN Expressway-E. Le Cloud essaie alors de trouver l'organisation qui a revendiqué des domaines dans cette liste.

  • Lorsque le Cloud trouve une correspondance, il peut utiliser la liste de certificats personnalisés configurée dans votre organisation.

  • Si le certificat Expressway-E ne contient pas votre domaine en tant que SAN, ou si vous n'avez pas vérifié le domaine, le Cloud ne peut pas identifier le magasin de certificats à utiliser. Le résultat est que les négociations TLS échouent, même si vous avez fourni les certificats appropriés sur la page Services > Appel hybride > Paramètres.

Listes de révocation des certificats

Si votre autorité de certification privée insère une liste de révocation de certificats (CRL), assurez-vous que les emplacements des CRL sont accessibles depuis l'internet public. Si une CRL est présente mais impossible à joindre, le Cisco Collaboration Cloud ne peut pas vérifier si le certificat a été révoqué.

Dans ce cas, le certificat ne doit pas tenter d'accéder à une liste de révocation de certificats.




Attachments

    Outcomes