Expressway-E と Cloud 間の相互 TLS 認証に関するカスタム証明書

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode

さらに高いセキュリティのため、Expressway に証明機関が署名した証明書を通じて通信させることを望む場合があります。

Expressway-E SIP TLS 証明書が私的証明機関によって署名されている場合 (または証明書の証明機関が Cisco Collaboration Cloud  デフォルト信頼リストによって信頼されていない場合)、対象となる証明書の証明機関のルート証明をサービス > ハイブリッド通話 > 設定 ページ上にある組織のカスタム信頼リストにアップロードできます。

  • カスタム証明書を使用するには、組織で使用されているドメインをクレームして確認する必要があります。 クレームされたドメインは、サブジェクト代替名 (SAN) としてExpressway-E 証明書に提示される必要があります。

  • SIP-TLS 取引が Cisco Collaboration Cloud および Expressway-E の間で発生する際、クラウドは Expressway-E SAN リストにリストされているドメインを分析します。 クラウドは、このリストに掲載されているドメインをクレームした組織を見つけようとします。

  • クラウドが一致するものを見つけると、組織に設定されたカスタム証明書リストを使用できます。

  • If the Expressway-E 証明書が SAN としてのドメインを持たない場合、またはドメインが確認されていない場合、クラウドはどの証明書ストアを使用するのか識別できません。 結果として、正当な証明書を サービス > ハイブリッド通話 > 設定ページに供給したのにかかわらず、TLS 交渉が失敗します。

証明書失効のリスト

証明書の私的証明機関が証明書失効のリスト (CRL) を挿入した場合、CRL の場所がパブリックインターネットからアクセスできることを確認してください。 CRL が提示されたにかかわらずアクセスできない場合、 Cisco Collaboration Cloud はこの証明書が失効しているかどうかを確認できません。

この場合、この証明書は CRL にアクセスを試みてはいけません。




Attachments

    Outcomes