отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Сертификаты для Jabber.

Приветствую, Коллеги, срочно нужен ответ на вопрос: 

Для того чтобы Jabber не задавал вопросов на счет сертификатов при подключении, нужно внести эти сертификаты в trust list CUCM.

 

Я видел вебинар c участием Михаила Щекотилова:

https://supportforums.cisco.com/ru/video/12362936

 

Но к моему огромному сожалению, там есть провалы в видео и звуке, как раз в самых ответственных моментах на эту тему.

 

Если я правильно все понял, то нужно сгенерировать запросы на CUCM и получить соответствующие сертификаты  от СА.

 

Кроме «CallManager» и «Tomcat», я сделал запрос из «Unified IM and Presence» для «cup-xmpp» с теми же параметрами. Нужен ли он?

 

И самый большой вопрос – можно ли нарушить работу системы добавлением этих сертификатов? Или они просто добавляются в список доверенных в самом плохом раскладе, все будет продолжать работать, как до их добавления?

 

8 ОТВЕТ.
Cisco Employee

Проблем с работой джабберов

Проблем с работой джабберов быть не должно.

Кстати, можно посмотреть видео на youtube:

https://www.youtube.com/watch?v=zB3aOQgXc50

Не помню, чтобы cup-xmpp был обязательным для MRA.

Regards,

Kirill

New Member

Здравствуйте, Кирилл! 

Здравствуйте, Кирилл! 

Спасибо, что ответили. 

На youtube те же проблемы, например на 25:25 Михаил рассказывает, что делает CSR запрос, а картинка явно стоит несколько секунд и таких провалов прилично по всему видео. 

Видно такая сама запись, то есть провалы были при записи. 

То что я пытаюсь решить нельзя назвать проблемой. Это скорее нормальная работа, то есть при инсталляции  Jabber и его первом запуске он просит подтвердить, что мы доверяем сертификату. Три раза... 

Планируется достаточно большая инсталляция Jabber, порядка 1000 клиентов и нужно чтобы пользователь просто запустил и начал работать. Без тройного подтверждения...

Если я правильно понял, то именно об этом Михаил и говорил в видео. 

Примерная картинка предупреждения в аттаче.

 

Про "cup-xmpp" я видел в презентации Дамира Назарова. Но вот сам не уверен, что это нужно... Презентация также в аттаче. 

Cisco Employee

День добрый, Олег

День добрый, Олег

Это клиент проверяет сертификат сервера на предмет того - доверяет ли он ему или нет. Поэтому сертификаты (серверов или их CA) должны присутствовать в trust list на клиенте. В случае MRA - это сертификат Expressway Edge, в случае внутреннего подключения - это сертификаты CUCM и IM&P.

Добавление каких-то новых сертификатов в trust list на CUCM / IM&P на их работу не повлияет. Но замена собственного сертификата сервера - вполне может.

New Member

Михаил, очень рад, что вы

Михаил, очень рад, что вы тоже ответили! 

Прошу прощения, "Это клиент проверяет сертификат сервера на предмет того - доверяет ли он ему или нет." То есть имеется в виду сам Jabber? И как в таком случае еще ни разу не запуская сам Jabber, внести в его trust list сертификаты серверов?

И вот тут прошу поподробней: "замена собственного сертификата сервера"  - это как? Это при добавлении сертификата в раздел "CallManager" вместо "Trust list Callmanager"? 

Cisco Employee

Сертификаты хранятся не в

Сертификаты хранятся не в клиенте, а в ОС: Windows, Mac OS, iOS, Android. В каждом случае есть свой интерфейс для работы с этим хранилищем.

У сервера (а точнее конкретного сервиса на нем) может быть только один сертификат, поэтому в CallManager сертификат нельзя добавить - его там можно только заменить.

New Member

То есть, если я правильно

То есть, если я правильно понимаю, нужно через например групповые политики внести на ОС, на которую будет инсталлирован Jabber соответствующие сертификаты? 

Кстати, не подскажите какие именно сертификаты? Можно их с CUCM скачать? 

Cisco Employee

День добрый, Олег

День добрый, Олег

Да, self-signed сертификаты можно вытащить из соответствующего раздела в OS Administration. Как их распространять по пользовательским ПК - тут не подскажу, лучше спрашивать специалистов по MS.

Перечень сертификатов - да, можете взять из статьи, на которую вы дали ссылку. Но, честно говоря, я бы лучше сделал для этих сервисов сертификаты от корпоративного центра сертификации - это будет правильнее.

New Member

И еще, коллеги. 

И еще, коллеги. 

Наткнулся на статью: 

https://blog.warcop.com/2015/01/22/cisco-jabber-certificate-warning-again/

Отсюда кстати, я вычитал про "cup-xmpp"... 

129
Просмотры
0
Полезный материал
8
Ответы