Невозможно связать несколько точек доверия в профиле tls
-
В нашем случае не будет никаких перебоев в работе, так как новые сертификаты будут загружаться параллельно с используемыми в настоящее время. Затем, когда поставщик услуг внесет изменения со своей стороны, мы начнем использовать новые сертификаты ЦС без каких-либо дополнительных усилий с нашей стороны и без синхронизации с моментом, когда именно это будет сделано поставщиком услуг. ![Response Signature]
-
Возможно, это глупый и очевидный вопрос, но если вы уже настроили это, разве вы не можете просто посмотреть, где вы это делали раньше? ![Response Signature]
-
Я не могу добавить несколько точек доверия в один профиль TLS. Если я ввожу вторую, первая удаляется. Я не верю, что это возможно.
-
Начиная с IOS 17.3, можно создать профиль tls, связать с ним несколько точек доверия, а затем в sip-ua добавить «crypto signaling remote-addr <IP удаленного конца> 255.255.255.255 trustpoint tp_name»<<< В приведенном выше предложении sip-ua назначена только одна точка доверия. А tls-profile — несколько точек доверия. Возможно, вам нужно добавить несколько сертификатов/ключей к одной и той же точке доверия?
-
Я не могу импортировать несколько файлов .p12 в одну точку доверия. При попытке импортировать второй файл появляется следующее сообщение об ошибке: % Trustpoint 'tp_name' используется % Удалите его или используйте другой ярлык.
-
Сопоставление удаленных TLS-соединений с конкретными точками доверия При использовании
криптосигнализации по умолчанию
команды sip-ua
ALL
все входящие TLS-соединения сопоставляются с этими настройками либо через tls-profile, либо через отдельные команды post-fix. Кроме того, при проверке сертификата проверяются все доступные точки доверия. Может быть целесообразно создать определенные конфигурации профилей TLS для конкретных устройств-аналогов на основе IP-адреса, чтобы гарантировать, что к данной сессии TLS будут применены именно те параметры безопасности, которые вы определили. Для этого используйте команду
crypto signaling remote-addr
, чтобы определить подсеть IPv4 или IPv6 для сопоставления с tls-profile или набором команд postfix. Вы также можете напрямую сопоставить точку доверия проверки с помощью команд
client-vtp
), чтобы точно зафиксировать, какие точки доверия используются для проверки сертификатов одноранговых устройств. В приведенной ниже команде обобщены большинство пунктов, обсужденных до этого момента: !
voice class tls-cipher 1
cipher 1 ECDHE_RSA_AES128_GCM_SHA256
cipher 2 ECDHE_RSA_AES256_GCM_SHA384
!
voice class tls-profile 1
trustpoint CUBE-ENT
cn-san validate bidirectional
cn-san 1 *.example.com
cipher 2
client-vtp PEER-TRUSTPOINT
sni send
!
sip-ua
crypto signaling remote-addr 192.168.1.0 /24 tls-profile 1
! В более старых версиях это можно сделать следующим образом: !
sip-ua
crypto signaling remote-addr 192.168.1.0 /24 trustpoint CUBE-ENT cn-san-validate server client-vtp PEER-TRUSTPOINT strict-cipher
! Начиная с версии 17.8, вы также можете настроить tls-profile и порты прослушивания для каждого
класса голосовой связи,
чтобы обеспечить дополнительные возможности сегментации на заданном порту прослушивания. !
voice class tenant 1
tls-profile 1
listen-port secure 5062
! Принудительное применение строгого SRTP При включении SRTP в CUBE Enterprise по умолчанию запрещается переход на RTP. По возможности используйте SRTP на всех участках вызова, однако по умолчанию CUBE будет выполнять RTP-SRTP по мере необходимости. Обратите внимание, что CUBE не регистрирует ключи SRTP в отладочных журналах, начиная с версии 16.11+. !
voice service voip
srtp
!
! or
!
dial-peer voice 1 voip
srtp
! https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-border-element/220380-cisco-guide-to-harden-cisco-unified-bord.html ![Response Signature]
-
Но мне нужно всего лишь сопоставить несколько точек доверия с одним Dial-peer. Не могу поверить, что это не поддерживается. Что делать, если происходит миграция сертификатов на новый центр сертификации? Как две конечные точки должны это поддерживать? Должен быть период времени, когда по крайней мере одна конечная точка поддерживает ОБА центра сертификации. Как это можно настроить? (Я не могу найти никакой информации по этой теме.)
-
Одно уточнение: мой вопрос касается только SIP Trunk/TLS, а не IPsec.
-
В вашем вопросе, какая сторона изменяет сертификат(ы) CA? Удаленная сторона или ваша сторона? Если первая, вам необходимо добавить корневой и любой промежуточный сертификат в маршрутизатор. Они не определяются никакой конфигурацией в sip-us или на диалоговых одноранговых узлах, достаточно, чтобы сертификат(ы) присутствовали в маршрутизаторе для формирования цепочки доверия. Если это ваша сторона, я думаю, что вы сможете справиться с этой задачей, создав несколько диалоговых пар, которые используют разные профили TLS и/или арендаторов. Однако я никогда не делал такого рода настройки, поэтому это чистое предположение. Вероятно, вам лучше обратиться в TAC, чтобы узнать наверняка. ![Response Signature]
-
Это может быть любой конец. Заранее неизвестно, какая сторона перейдет первой. Я попробовал и создал 2 точки доверия, 2 профиля TLS, 2 определения арендаторов, 2 диалоговых партнера (каждый из которых был связан с разными арендаторами, каждый из которых был связан с разными профилями TLS и т. д.). Это не сработало. Оба DP были всегда заняты. Я отправлю заявку в службу поддержки. (Мне удивительно, что это не хорошо задокументировано, потому что это распространенный сценарий). Спасибо!
-
Если это ваша сторона изменила сертификат, вы узнаете об этом заранее. Все остальное маловероятно. Если вы поделитесь своей текущей конфигурацией, мы сможем легче вам помочь. ![Response Signature]
-
Как же это решается в отрасли? Допустим, две компании имеют свои SBC/CUBE и используют TLS для связи между собой. Затем одна из них получает новый сертификат, который оказывается от другого ЦС (т. е. не общий для обеих сторон) — как они обеспечивают поддержание TLS-соединения?
-
Сейчас мы находимся именно в такой ситуации, когда наш поставщик услуг меняет сертификаты CA на своей стороне. Для этого нам нужно всего лишь загрузить корневые и промежуточные сертификаты в наши маршрутизаторы. Помимо этого, нам не нужно вносить никаких дополнительных изменений в настройки. ![Response Signature]
-
Тогда единственный способ справиться с миграцией ЦС — это ручное обновление? Я знал, что мы можем сделать это вручную, но для этого требуется координация между конечными точками и (небольшой) перерыв в работе (в идеале, обе стороны сделают это одновременно, что приведет к очень короткому перерыву). Это, похоже, подтверждает мое растущее подозрение, что не существует поддерживаемого способа разрешить более 1 точки доверия (ЦС) на каждое TLS-соединение в любой данный момент времени (например, 2 одновременно). Если это так, то я приму это в качестве ответа.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти