Benutzerdefinierte Zertifikate für die Mutual TLS-Authentifizierung zwischen Expressway-E und der Cloud

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode

Für zusätzliche Sicherheit können Sie Ihren Expressway über Zertifikate mit der Cloud kommunizieren lassen, die von einer Zertifizierungsstelle signiert wurden.

Wenn Ihr Expressway-E-SIP-TLS-Zertifikat von einer privaten Zertifizierungsstelle signiert wurde (oder einer Zertifizierungsstelle, die von der Cisco Collaboration Cloud Standard-Vertrauensliste nicht als vertrauenswürdig eingestuft wurde), dann können Sie das Stammzertifikat der Zertifizierungsstelle unter Dienste > Hybrid-Anruf > Einstellungen zu der benutzerdefinierten Vertrauensliste Ihrer Organisation hinzufügen.

  • Damit Sie ein benutzerdefiniertes Zertifikat verwenden können, müssen Sie alle Domänen anfordern und verifizieren, die in Ihrer Organisation verwendet werden. Angeforderte Domänen müssen als alternativer Antragstellername (Subject Alternate Name, SAN) Teil des Expressway-E-Zertifikats sein.

  • Wenn eine SIP-TLS-Transaktion zwischen der Cisco Collaboration Cloud und Ihrem Expressway-E stattfindet, analysiert die Cloud die in Ihrer Expressway-E-SAN-Liste aufgeführten Domänen. Anschließend versucht die Cloud, die Organisation zu finden, die in dieser Liste aufgeführte Domänen angefordert hat.

  • Wenn die Cloud eine Übereinstimmung findet, kann sie die benutzerdefinierte Zertifikatsliste verwenden, die in Ihrer Organisation konfiguriert ist.

  • Wenn das Expressway-E-Zertifikat Ihre Domäne nicht als SAN enthält, oder Sie die Domäne nicht verifiziert haben, kann die Cloud nicht ermitteln, welcher Zertifikatsspeicher verwendet werden soll. Daraus folgt, dass die TLS-Aushandlungen fehlschlagen, selbst wenn Sie unter Dienste > Hybrid-Anruf > Einstellungen die korrekten Zertifikate angegeben haben.

Zertifikatssperrliste

Wenn Ihre private Zertifizierungsstelle eine Zertifikatssperrliste einfügt (Certificate Revocation List, CRL), vergewissern Sie sich, dass die CRL-Speicherorte über das öffentliche Internet erreichbar sind. Wenn eine CRL vorhanden, jedoch nicht erreichbar ist, kann die Cisco Collaboration Cloud nicht überprüfen, ob das Zertifikat gesperrt wurde.

In diesem Fall darf das Zertifikat auf keine CRL zugreifen.




Attachments

    Outcomes