<![CDATA[Невозможно связать несколько точек доверия в профиле tls]]>Начиная с IOS 17.3, можно создать профиль tls, связать с ним несколько точек доверия, а затем в sip-ua добавить «crypto signaling remote-addr <IP удаленного конца> 255.255.255.255 trustpoint tp_name». Теперь, несколько дней назад я вспомнил, что создал tls-профиль и добавил к нему 2 точки доверия. Однако с тех пор я пытался повторить это, и каждый раз, когда я создаю tls-профиль и добавляю 2+ точки доверия, а затем заканчиваю и wr, в результате tls-профиль имеет только 1 точку доверия. Это какая-то известная ошибка? Или нужно сделать что-то еще, чтобы связать несколько точек доверия с одним tls-профилем? См.
Руководство по настройке Cisco Unified Border Element через Cisco IOS XE 17.5 — Поддержка SIP TLS на CUBE [Cisco Unified Border Element] — Cisco

]]>https://sla247.ru/forum/topic/1434/невозможно-связать-несколько-точек-доверия-в-профиле-tlsRSS for NodeFri, 15 May 2026 04:20:17 GMTWed, 18 Feb 2026 21:08:25 GMT60<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:39 GMT]]>Тогда единственный способ справиться с миграцией ЦС — это ручное обновление? Я знал, что мы можем сделать это вручную, но для этого требуется координация между конечными точками и (небольшой) перерыв в работе (в идеале, обе стороны сделают это одновременно, что приведет к очень короткому перерыву). Это, похоже, подтверждает мое растущее подозрение, что не существует поддерживаемого способа разрешить более 1 точки доверия (ЦС) на каждое TLS-соединение в любой данный момент времени (например, 2 одновременно). Если это так, то я приму это в качестве ответа.

]]>https://sla247.ru/forum/post/9789https://sla247.ru/forum/post/9789Wed, 18 Feb 2026 21:08:39 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:38 GMT]]>Сейчас мы находимся именно в такой ситуации, когда наш поставщик услуг меняет сертификаты CA на своей стороне. Для этого нам нужно всего лишь загрузить корневые и промежуточные сертификаты в наши маршрутизаторы. Помимо этого, нам не нужно вносить никаких дополнительных изменений в настройки. ![Response Signature]

]]>https://sla247.ru/forum/post/9788https://sla247.ru/forum/post/9788Wed, 18 Feb 2026 21:08:38 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:37 GMT]]>Как же это решается в отрасли? Допустим, две компании имеют свои SBC/CUBE и используют TLS для связи между собой. Затем одна из них получает новый сертификат, который оказывается от другого ЦС (т. е. не общий для обеих сторон) — как они обеспечивают поддержание TLS-соединения?

]]>https://sla247.ru/forum/post/9787https://sla247.ru/forum/post/9787Wed, 18 Feb 2026 21:08:37 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:36 GMT]]>Если это ваша сторона изменила сертификат, вы узнаете об этом заранее. Все остальное маловероятно. Если вы поделитесь своей текущей конфигурацией, мы сможем легче вам помочь. ![Response Signature]

]]>https://sla247.ru/forum/post/9786https://sla247.ru/forum/post/9786Wed, 18 Feb 2026 21:08:36 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:35 GMT]]>Это может быть любой конец. Заранее неизвестно, какая сторона перейдет первой. Я попробовал и создал 2 точки доверия, 2 профиля TLS, 2 определения арендаторов, 2 диалоговых партнера (каждый из которых был связан с разными арендаторами, каждый из которых был связан с разными профилями TLS и т. д.). Это не сработало. Оба DP были всегда заняты. Я отправлю заявку в службу поддержки. (Мне удивительно, что это не хорошо задокументировано, потому что это распространенный сценарий). Спасибо!

]]>https://sla247.ru/forum/post/9785https://sla247.ru/forum/post/9785Wed, 18 Feb 2026 21:08:35 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:34 GMT]]>В вашем вопросе, какая сторона изменяет сертификат(ы) CA? Удаленная сторона или ваша сторона? Если первая, вам необходимо добавить корневой и любой промежуточный сертификат в маршрутизатор. Они не определяются никакой конфигурацией в sip-us или на диалоговых одноранговых узлах, достаточно, чтобы сертификат(ы) присутствовали в маршрутизаторе для формирования цепочки доверия. Если это ваша сторона, я думаю, что вы сможете справиться с этой задачей, создав несколько диалоговых пар, которые используют разные профили TLS и/или арендаторов. Однако я никогда не делал такого рода настройки, поэтому это чистое предположение. Вероятно, вам лучше обратиться в TAC, чтобы узнать наверняка. ![Response Signature]

]]>https://sla247.ru/forum/post/9784https://sla247.ru/forum/post/9784Wed, 18 Feb 2026 21:08:34 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:33 GMT]]>Одно уточнение: мой вопрос касается только SIP Trunk/TLS, а не IPsec.

]]>https://sla247.ru/forum/post/9783https://sla247.ru/forum/post/9783Wed, 18 Feb 2026 21:08:33 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:32 GMT]]>Но мне нужно всего лишь сопоставить несколько точек доверия с одним Dial-peer. Не могу поверить, что это не поддерживается. Что делать, если происходит миграция сертификатов на новый центр сертификации? Как две конечные точки должны это поддерживать? Должен быть период времени, когда по крайней мере одна конечная точка поддерживает ОБА центра сертификации. Как это можно настроить? (Я не могу найти никакой информации по этой теме.)

]]>https://sla247.ru/forum/post/9782https://sla247.ru/forum/post/9782Wed, 18 Feb 2026 21:08:32 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:31 GMT]]>Сопоставление удаленных TLS-соединений с конкретными точками доверия При использовании
криптосигнализации по умолчанию
команды sip-ua
ALL
все входящие TLS-соединения сопоставляются с этими настройками либо через tls-profile, либо через отдельные команды post-fix. Кроме того, при проверке сертификата проверяются все доступные точки доверия. Может быть целесообразно создать определенные конфигурации профилей TLS для конкретных устройств-аналогов на основе IP-адреса, чтобы гарантировать, что к данной сессии TLS будут применены именно те параметры безопасности, которые вы определили. Для этого используйте команду
crypto signaling remote-addr
, чтобы определить подсеть IPv4 или IPv6 для сопоставления с tls-profile или набором команд postfix. Вы также можете напрямую сопоставить точку доверия проверки с помощью команд
client-vtp
), чтобы точно зафиксировать, какие точки доверия используются для проверки сертификатов одноранговых устройств. В приведенной ниже команде обобщены большинство пунктов, обсужденных до этого момента: !
voice class tls-cipher 1
cipher 1 ECDHE_RSA_AES128_GCM_SHA256
cipher 2 ECDHE_RSA_AES256_GCM_SHA384
!
voice class tls-profile 1
trustpoint CUBE-ENT
cn-san validate bidirectional
cn-san 1 *.example.com
cipher 2
client-vtp PEER-TRUSTPOINT
sni send
!
sip-ua
crypto signaling remote-addr 192.168.1.0 /24 tls-profile 1
! В более старых версиях это можно сделать следующим образом: !
sip-ua
crypto signaling remote-addr 192.168.1.0 /24 trustpoint CUBE-ENT cn-san-validate server client-vtp PEER-TRUSTPOINT strict-cipher
! Начиная с версии 17.8, вы также можете настроить tls-profile и порты прослушивания для каждого
класса голосовой связи,
чтобы обеспечить дополнительные возможности сегментации на заданном порту прослушивания. !
voice class tenant 1
tls-profile 1
listen-port secure 5062
! Принудительное применение строгого SRTP При включении SRTP в CUBE Enterprise по умолчанию запрещается переход на RTP. По возможности используйте SRTP на всех участках вызова, однако по умолчанию CUBE будет выполнять RTP-SRTP по мере необходимости. Обратите внимание, что CUBE не регистрирует ключи SRTP в отладочных журналах, начиная с версии 16.11+. !
voice service voip
srtp
!
! or
!
dial-peer voice 1 voip
srtp
! https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-border-element/220380-cisco-guide-to-harden-cisco-unified-bord.html ![Response Signature]

]]>https://sla247.ru/forum/post/9781https://sla247.ru/forum/post/9781Wed, 18 Feb 2026 21:08:31 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:30 GMT]]>Я не могу импортировать несколько файлов .p12 в одну точку доверия. При попытке импортировать второй файл появляется следующее сообщение об ошибке: % Trustpoint 'tp_name' используется % Удалите его или используйте другой ярлык.

]]>https://sla247.ru/forum/post/9780https://sla247.ru/forum/post/9780Wed, 18 Feb 2026 21:08:30 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:29 GMT]]>

Начиная с IOS 17.3, можно создать профиль tls, связать с ним несколько точек доверия, а затем в sip-ua добавить «crypto signaling remote-addr <IP удаленного конца> 255.255.255.255 trustpoint tp_name»<<< В приведенном выше предложении sip-ua назначена только одна точка доверия. А tls-profile — несколько точек доверия. Возможно, вам нужно добавить несколько сертификатов/ключей к одной и той же точке доверия?

]]>https://sla247.ru/forum/post/9779https://sla247.ru/forum/post/9779Wed, 18 Feb 2026 21:08:29 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:28 GMT]]>Я не могу добавить несколько точек доверия в один профиль TLS. Если я ввожу вторую, первая удаляется. Я не верю, что это возможно.

]]>https://sla247.ru/forum/post/9778https://sla247.ru/forum/post/9778Wed, 18 Feb 2026 21:08:28 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:27 GMT]]>Возможно, это глупый и очевидный вопрос, но если вы уже настроили это, разве вы не можете просто посмотреть, где вы это делали раньше? ![Response Signature]

]]>https://sla247.ru/forum/post/9777https://sla247.ru/forum/post/9777Wed, 18 Feb 2026 21:08:27 GMT<![CDATA[Reply to Невозможно связать несколько точек доверия в профиле tls on Wed, 18 Feb 2026 21:08:26 GMT]]>В нашем случае не будет никаких перебоев в работе, так как новые сертификаты будут загружаться параллельно с используемыми в настоящее время. Затем, когда поставщик услуг внесет изменения со своей стороны, мы начнем использовать новые сертификаты ЦС без каких-либо дополнительных усилий с нашей стороны и без синхронизации с моментом, когда именно это будет сделано поставщиком услуг. ![Response Signature]

]]>https://sla247.ru/forum/post/9776https://sla247.ru/forum/post/9776Wed, 18 Feb 2026 21:08:26 GMT