Что такое "Cisco STG" и почему он динамически заменяет групповой сертификат на порту 5061?
У меня есть клиент Lync, который подключается к серверу Lync Edge через порт 5061. При подключении я получаю неверный сертификат.
Когда я запускаю wireshark, во время настройки TLS и внутри сертификата, я вижу неожиданного источника с последовательностью RDN Cisco Inc, STG, _internal_pp_ctl_phoneprocy_file
Меня немного смущает, что это может значить и почему это присутствует. Я построил этот сервер с нуля и нигде не устанавливал сертификат cisco. Я предполагаю, что это какая-то особенность брандмауэра или коммутатора Cisco (поскольку диспетчер вызовов Cisco раньше присутствовал в среде)
Кто-нибудь может предложить объяснение и возможное исправление?
Ожидаемый эмитент - "Доверие пользователя" / "Сетевые решения" / "Центр сертификации сетевых решений", так как я использую подстановочный сертификат на этом хосте Lync.
1 ответ
Похоже, что кто-то не может правильно написать телефонный прокси, когда они вводят его при настройке.
Независимо от того, для прокси-функции телефона CUCM на межсетевом экране ASDM.
Смотрите здесь: http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/unified_comm_phoneproxy.html
Вот суть этого:
Cisco Phone Proxy на ASA надежно соединяет IP-телефонию между корпоративной сетью IP-телефонии и Интернетом, заставляя шифровать данные с удаленных телефонов в ненадежной сети.
Похоже, что эта функция задерживает пользователя на брандмауэре. Порт по умолчанию для этой функции - 5061, и вы, вероятно, найдете ACL в брандмауэре для этого порта и настройки функции.
Что касается того, как обойти это или избавиться от этого? Вы можете увидеть здесь для обсуждения аналогичного типа: https://supportforums.cisco.com/discussion/11562066/jabber-vcs-control-issue-inbound-tls-negotiation-error но вам нужно убедиться, что CUCM и это функция больше не нужна, удалите сопоставление классов, удалите списки ACL и замените их правильными, чтобы Lync вместо них использовал 5061.