Expressway-E와 클라우드 간의 상호 TLS 인증에 대해 사용자 정의된 인증서

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode

추가 보안을 위해 Expressway가 인증 기관에서 서명한 인증서를 통해 클라우드와 통신하기를 원할 수도 있습니다.

Expressway-E SIP TLS 인증서가 비공개 인증 기관(또는Cisco 협업 클라우드 기본 신뢰 목록에서 신뢰하지 않는 인증 기관)에 의해 서명된 경우엔 서비스 > 하이브리드 통화 > 설정 페이지에서 인증 기관의 루트 인증서를 조직의 사용자 정의 신뢰 목록으로 업로드할 수 있습니다.

  • 사용자 정의 인증서를 사용하려면 조직에서 사용되는 도메인을 클레임하고 인증해야 합니다. 클레임된 모든 도메인은 Expressway-E 인증서에 SAN(subject alternate name)으로 나타나야 합니다.

  • Cisco 협업 클라우드Expressway-E 간에 SIP-TLS 거래가 발생하면 클라우드는 Expressway-E SAN 목록에 나열된 도메인을 분석합니다. 그 후 클라우드는 이 목록에서 도메인을 클레임한 조직을 찾으려고 시도합니다.

  • 클라우드에서 일치하는 결과를 찾으면 이는 조직에 구성된 사용자 정의 인증서 목록을 사용할 수 있습니다.

  • Expressway-E 인증서에 도메인이 SAN로 포함되지 않는 경우나, 도메인을 인증하지 않은 경우, 클라우드는 사용하기 위해 어떤 인증서를 저장할 지 식별할 수 없습니다. 결과적으로, 서비스 > 하이브리드 통화 > 설정 페이지에 올바른 인증서를 제공한 경우에도 TLS 협상에 실패하게 됩니다.

인증서 해지 목록

비공개 인증 기관이 인증서 해지 목록(CRL)을 삽입하는 경우, 공용 인터넷에서 CRL 위치에 연결할 수 있는지 확인하십시오. CRL이 나타나지만 연결할 수는 없는 경우 Cisco 협업 클라우드는 해당 인증서가 무효화되었는지 확인할 수 없습니다.

이러한 경우, 인증서는 CRL에 액세스를 시도하지 않아야 합니다.




Attachments

    Outcomes