» Cisco WebEx проблемы с сертификатом

Продолжение...

Если браузером открыть морду вебекса - браузер на серт ругается ?

Нет все нормально. Видит правильно подписанный сертификат.

Добавлено:


http://i008.radikal.ru/1411/ff/5aad5270bc2f.jpg

Делал так.

Получил CSR *domain.com через панель администрирования WebEx
подписал BEGIN CERTIFICATE REQUEST в Microsoft AD Certificate Services как Web сервер
Сделал my.cer из CERTIFICATE, СА CERTIFICATE, PRIVATE KEY
который успешно импортировал в WebEx.
Соответсвенно СА CERTIFICATE поместил в Current User -
Trusted Root Crtification Authorities.

Для локальных сайтов (т.е. все делаем в корпоративной сети) этого хватает, для WebEx - нет.

Добавлено:
Jabber ругается так.

Серт можете выложить ?

https://drive.google.com/file/d/0B_-qODUc2HQJQXB3QU5mbnFodU0/view?usp=sharing


Добавлено:
Пожалуйста:
в файле.
1) CA
2) Private key
3) *.domain.com certtficate

Все ноды вебекса точны имеют хостнеймы в домене snq.ru ? Их там несколько ...

Да.

Иначе бы веб морды меня бы послали...

Ад какой-то.
Огрызочные и робаты себя так-же ведут ? (если им серт корневой не забыть подпихнуть)

Огрызок работает нормально.

Мне думается, что я куда-то не туда запихнул корневой сертификат. Я тут
рассовал сертификаты по tomcat CUCM+IM+CUC так Jabber потребовал их принять,
после чего они появились в Enterprise Trust, но CA у меня точно лежит в Тrusted Root Certification Authorities!
Иначе морды бы не работали! Блин, шаманство какое-то!

Ну хорошо. А если не упираться рогом и сгенерить SAN ?

Цитата:

Ну хорошо. А если не упираться рогом и сгенерить SAN ?

Пройденный этап - убил на это 3 дня, толку нет.

CUCM+IM+CUC сгенерированы как SAN ( там просто возможности по другому-то и нет).

Единственная возникает мысль - Jabber не считает мой сертификат от ЦС предприятия - таковым !?
Хм...

r0mann
Ну джаббер - ладно.
А винда с саном себя как ведет ?

Цитата:

А винда с саном себя как ведет ?

IE (мать его) работает с сертификами SAN корректно. Firefox тоже работает нормально - только у него свое хранилище сертификатов.

r0mann
Я имею в виду вебекс под вендой при использовании санов. Ругаецца или нет ?

Цитата:

Я имею в виду вебекс под вендой при использовании санов. Ругаецца или нет ?

IE на веб морды админки и генерации собраний - НЕТ.
При запуске Цицко Плеера (когда запускаешь или присоединяешся) - ДА.

то есть получается что дело не в wildcard ?
а на других рабочих станциях ? доменных, не доменных ? должна же быть система

Да, дело не в Wildcard.

Вот сегодня, заходил c android через AnyConnect -который мой
Сертификат скушал и сообщение о подозрительности не выдал.
WebEx тоже никаких сообщений не выдал.
А вот Jabber на все сертификаты сказал что они ему не нравятся.

Как итог: в цицко что-то перемудрили их продуктам не нравятся сертификаты
подписанным корпоративным ЦС. Проблема либо в корневом сертификате либо
как-то надо по другому подписывать запросы.

r0mann
Вот и дорылись до проблемы.

Я думаю что проблема в серте. Только не могу понять - в чем.
У меня ровно такой же деплоймент с корпоративным УЦ на MS CA. И все работает. Вебекс, джаббер изнутри и джаббер через vcs-e с голосом и сообщениями.
Могу для примера свои серты выложить.

Ага, дорылись... Я тут не поленился создал церты линухом и все стало ОК!
Сейчас пробую подписать рутовым ЦА на линюхе запрос, костыль - но если работать будет
уже хорошо.

А вот на что действительно хочется посмотреть на шаблон из АД которыми подписаны Ваши церты.

p.s.
Пока писал - костыль работает! Значится мой рутовый сертификат подойдет. Можно выдохнуть.

Не откажите в просьбе - скриники от шаблона, запости а?

А я пока шаблончик по этому мануалу http://blog.networkfoo.org/2014/09/configuring-sip-tls-trunk-between-vcs.html строгану, гляну что выйдет.

Добавлено:
Мда... с шаблоном у меня беда, не работает.

https://www.dropbox.com/sh/9vlb4thximxcv21/AAARwLV0bz3Cdm5tAIohLMXZa?dl=0

Тупой вопрос - а зачем именно транк ? На это есть веские причины ?

Цитата:

Тупой вопрос - а зачем именно транк ? На это есть веские причины ?

Транк нам не нужен, интересно было только настройка шаблона для ЦС.

За картинки БОЛЬШОЕ СПАСИБО, мой шаблон на 90% был таким-же. Подправил, но все равно не работает.
Впрочем, у нас сервер 2008 а АД 2003 - может проблема где в этом, а может и в другом. Вот пусть админ по винде и разбирается (есть у нас тут один такой), я его уже озадачил.

Думаю тема иссякла.

Еще раз БОЛЬШОЕ СПАСИБО за помощь, взгляд со стороны бывает очень полезен.

Да не за что.
Если нужно - могу довыложить мои рабочие серты.
УЦ и контроллер у меня на 2012
УЦ в режиме enterprise стоит соответственно.

День добрый.


Цитата:

Если нужно - могу довыложить мои рабочие серты.

Да, если не сложно. + если не сложно SAN cert для tomcat из паблишера (если он мульти).

Кстати я тут заметил, что мой церт подписанный в ЦС имеет размер в 2 раза больше чем если
я подпишу его из командной строки.


Добавлено:
День добрый.


Цитата:

Если нужно - могу довыложить мои рабочие серты.

Да, если не сложно + еще SAN tomcat церт из паблишера от CUCM.

Я тут заметил что подписанные церты в ЦС имеют в два раза больший размер чем
те, что подписанные мной из консоли. Возможно проблема в этом.

Добавлено:
Тьфу... переход на страницу не заметил, сорри.

Спасибо, сравнивал что можно - вроде такие же как и у меня получаются, но увы не работают. Видно что-то c кармой

При добавлении сертификатов в tomcat для CUCM, IM&P, Unity - такая-же проблема, что была с WebEx. 3 дня бился, Jabber не считает сертификаты доверенным причем и под вин и под огрызок. А вот мой церт для cup-xmpp работает, - мистика.

в OpenSSL есть инструмент валидации сертов, попробуйте погонять им.
Вряди ли тут какое-то чудо, и уж точно не карма.

День добрый.

Церты у меня такие-же как и выложенные вами, проверил...
Ошибка все же была в карме в UC Services для Unity надо было проставить имя, как я
делал для WebEx. Потому, что по другому работать не должно - ну и не работало.

Теперь если можно вопрос. Где бы в CUCM поправить IP на имя чтобы Jabber совсем стало хорошо?
Честно ругается на IP паблишера. Моно конечно попробовать IP в церт запихнуть, но это корявое решение.




Добавлено:
Править CCMCIP Profile Configuration в презенсе, и будет все так как надо.

Уф... еще раз БОЛЬШОЕ СПАСИБО!

Ну слава б-гу. У меня юнити нет - видимо проскочил.
Если что - пишите

Добавлено:
Обратите внимание на System->Server на CUCM
Желательно чтобы они были объявлены по именам в FQDN-формате, иначе потом можно качественно налететь с джаббером, экспрессвеем и телефонией, так как оно для дискавери телефонных серверов UDS юзает.

Цитата:

Обратите внимание на System->Server на CUCM

Залезал, видел но вроде проблем с этим для у джаббера нет - работает. Но за совет спасибо. Вот где действильно стоит менять Enterprise Parameters Configuration/Secured Phone URL Parameters - если конечно с этим заморачиваться.

Экспрессвея у меня увы нет, хотя я если честно не спрашивал.

p.s.
Мучает меня один вопрос, в джаббере можно выделить нескольких абонентов, а потом по правой кнопке "Начать конференц-вызов". У меня получается собрать только 2х стороннюю конференцию, 3 абонента я подключить уже не могу, хотя вроде как кнопка такая есть.

Не могу понять, чтобы это работало, что для этого нужно? Данная возможность появилась после установки WebEx. У меня сейчас сборка из CUCM+ IMP + Unity + Webex, что интересно может не хватать?

Джаббер работает как девайс на стороне CUCM ? Или как-то через вебекс ?
Вообще конференция из 2 участников это обычный звонок.

Добрый день

Цитата:

Джаббер работает как девайс на стороне CUCM ?

Да.

Цитата:

Вообще конференция из 2 участников это обычный звонок.

Если не было бы написано "Начать конференц-вызов" я согласен с Вашим утверждением. Попробуйте, если есть возможность, сделать так сами. Как у вас?

Кодек какой используете на джаббере ?
Что с CFB ? Правильно настроен ? В нужном дивайс пуле сидит ? Есть иные CFB ресурсы ? BiB на устройствах включен ?

Про конфернцию из 2 участников - это был намек-ирония