我有一个 lync 客户端,它正在连接到端口 5061 上的 Lync Edge 服务器。连接时出现无效证书错误。
当我运行 wireshark 时,在 TLS 设置期间,在证书内部,我看到一个意外的颁发者,其 RDN 序列为Cisco Inc, STG, _internal_pp_ctl_phoneprocy_file
我有点困惑这是什么意思,以及为什么会出现这种情况。我从头开始构建此服务器,从未在任何地方安装过思科证书。我假设这是思科防火墙或交换机的某些功能(因为思科呼叫管理器曾经存在于环境中)
有人可以提供解释和可能的补救措施吗?
预期颁发者是“用户信任”/“网络解决方案”/“网络解决方案证书颁发机构”,因为我在此 Lync 主机上使用通配符证书。
答案1
看来有人在设置时输入 phoneproxy 时无法正确拼写。
不管怎样,它都是用于 ASDM 防火墙上的 CUCM 电话代理功能。
其要点如下:
ASA 上的 Cisco 电话代理通过强制加密不受信任网络上的远程电话的数据,以安全的方式在企业 IP 电话网络和互联网之间桥接 IP 电话
基本上,用户似乎被该功能困在了防火墙上。该功能的默认端口是 5061,您可能会在防火墙中找到该端口和功能设置的 ACL。
那么如何解决或摆脱它呢?您可以在此处查看类似的讨论:https://supportforums.cisco.com/discussion/11562066/jabber-vcs-control-issue-inbound-tls-negotiation-error但您需要确保 CUCM 和此功能不再需要,并删除类映射并删除 ACL,并用适当的 ACL 替换它们,以便 Lync 改用 5061。