用于 Expressway-E 和云之间的双向 TLS 认证的自定义证书

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode

为了进一步提高安全性,您可能希望让 Expressway 使用由认证中心签署的证书与云端通信。

如果您的 Expressway-E SIP TLS 证书是由私有认证中心(或不在 Cisco Collaboration Cloud 缺省信任列表中的认证中心)签署的,您可以在“服务 > Hybrid Call > 设置”页面中将该认证中心的根证书上传到组织的自定义信任列表。

  • 要使用自定义证书,您必须声明和验证组织中使用的任何域。 任何经过声明的域都必须以使用者备用名称 (SAN) 的形式出现在 Expressway-E 证书中。

  • Cisco Collaboration Cloud 和您的 Expressway-E 之间发生 SIP-TLS 事务时,云端会分析您的 Expressway-E SAN 列表中列出的域。 然后云端会尝试查找声明过此列表中的任何域的组织。

  • 当云端找到匹配的结果时,便可以使用在您的组织中配置的自定义证书列表。

  • 如果 Expressway-E 证书不包含您的 SAN 形式的域,或者您没有验证该域,云端便无法确定使用哪一个证书库。 结果是 TLS 协商失败,即使您已经在“服务 > Hybrid Call > 设置”页面上提供了正确的证书也是如此。

证书吊销列表

如果您的私有认证中心插入了证书吊销列表 (CRL),请确保该列表 (CRL) 处于可以通过公共互联网访问的位置。 如果 CRL 存在但不可访问,Cisco Collaboration Cloud 就无法验证证书是否已被吊销。

在此情况下,证书一定不会尝试访问 CRL。




Attachments

    Outcomes