Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Crear un nuevo artículo
1003
Visitas
0
ÚTIL
0
Comentarios

Doc - Certificados en MRA: Guía para una Instalación sin Complicaciones

Cisco Moderador
Community Manager
Community Manager

el ‎04-03-2025 08:46 AM - fecha de última edición ‎04-04-2025 07:02 PM por Community Manager

Presentación del webinar Community Live

Certificados en MRA: Guía para una Instalación sin Complicaciones

Con la colaboración de Randy Valverde, Fabio Achí y Jefferson Madriz.

Esta sesión proveerá las herramientas para comprender a profundidad la configuración de certificados y el establecimiento de relaciones de confianza entre Cisco Expressway y Cisco Unified Communications Manager en ambientes de Mobile and Remote Access (MRA). Los participantes aprenderán sobre la importancia de los certificados en el establecimiento de conexiones seguras, incluyendo la creación y uso de certificados criptográficos X.509.

Descargue la Presentación
 
Ver el Video

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!, 

¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión
 

Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)

Pregunta: Hola, me queda la pregunta, al generar el CSR en el exp C, a que se debe la parte de CUCM, se debe poner en que momento el FQDN de los CUCM? - Juan David S. (min.30)

Respuesta (Jerson G.): Hola Juan David! Cuando se genera el CSR en el expressway-c, la sección de CUCM se refiere a los "security profiles" asociados con los dispositivos finales (Jabber, Video conferencia, teléfonos) en caso de que quieras registrar tus dispositivos en modo seguro (TLS), adjunto los requerimientos para crear un CSR para MRA: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X14-3/cert_creation_use/exwy_b_cisco-expressway-certificate-creation-and-use-deployment-guide-x14-3/exwy_m_server-certificate-requirements-for-unified.html 

Pregunta: En caso de que nos proporcionan un certificado intermediario, ¿ese también se sube, o puede ser cualquier de los 2 la root CA o la intermediaría? - José Iván (min.31)

Respuesta (Emmanuel N.): Hola José! Es necesario subir la cadena completa para evitar problemas de confianza y problemas. Lo recomendable es subir el certificado intermediario y el RootCA.

Pregunta: El CSR ¿no es necesario generarlo cada vez que se requiera renovar el certificado con la CA pública? - Manuel H. (min.35)

Respuesta (Jerson G.): Hola Manuel! No es necesario siempre y cuando tengas el mismo CSR que se creó con el primer certificado que firmaste, por lo general esto sucede cuando tienes una entidad pública y esta tiene X cantidad de años para renovar, ya que este contiene el mismo CSR, no necesitas crear uno nuevo. Asegúrate una vez que subas el certificado renovado seleccionar la opción de "reuse private key", ya que este te permite seguir usando el mismo private key que generaste cuando creaste el primer CSR.

Pregunta: En el ExpE, se comenta que la lista de nombres debe incluir los dominios de registro del CallManager. ¿Qué pasa cuando el dominio para estos es local ? - Lucio R. (min.37)

Respuesta (Emmanuel N.): Hola Lucio! En el CSR se deben agregar los dominios requeridos usados para el registro de los teléfonos de CUCM. Puedes usar herramientas como el Collab-edge Validator disponible en cway.cisco.com para verificar si tu dominio cumple y certificado cumple con todos los requerimientos la confianza de dispositivos como Jabber o IP Phones.

Pregunta: Buenos días, pregunta ¿para este tipo de logs también se pueden obtener para intentos de conexiones fallidas para poder realizar el análisis sobre por qué no logra conectarse un cliente en la solución de MRA? - Isaac Moisés R. (min.45)

Respuesta (Emmanuel N.): Hola Isaac! Por supuesto! Este es log preciso para diagnosticar cualquier tipo de conexión fallida y en general de cualquier problema que se busque diagnosticar acerca de alguna funcionalidad que este presentando fallas en el Expressway.

Pregunta: En caso de los SRV si hay call manager publisher y subscriber ¿se tiene que crear 2 Cisco uds por cada call manager y el _collab-edge.tls con el dominio de expressway E de manera externa con el puerto 8443? - Claudia H. (min.48)

Respuesta (Emmanuel N.): Hola Claudia! Para conexiones internas, el SRV de cisco-uds debería existir para cada nodo de CUCM (Publisher y Subscribers). Para conexiones externas, el collab-edge debe existir para cada nodo de Expressway-E en caso de que también exista un clúster de Expressway-E, con el dominio del Expressway-E.

Pregunta: ¿Es recomendable por temas de costos, solicitar un solo certificado para un clúster de EXP? Obviamente incluyendo el FQDN del Clúster y FQDN de EXP. - Manuel H. (min.48)

Respuesta (Jerson G.): Hola Manuel! Es correcto, se puede usar un solo certificado y el proceso es soportado por Cisco TAC, como mencionas tienes que incluir los FQDNs y dominios de todos los nombres pertinentes de los expressways, adjunto link de proceso para obtener la private key del expressway y poder subirla a los demás nodos extraer llave privada (private key) de expressway para firmar varios expressways: https://www.youtube.com/watch?v=GtPN3ha6bKM 

Pregunta: Primero se activa el log y después se replica el error, y por último se descarga el log ¿es correcto? - Isaac Moisés R. (min.48)

Respuesta (Jerson G.): Hola Isaac! Es correcto, ese es el proceso ya que el expressway requiere tomar logs recreando el problema (no históricos).

Pregunta: ¿No es necesario un CA público? Veo que en el demo están usando solo un CA privado... - Juan Gerardo M. (min.49)

Respuesta (Jerson G.): Hola Juan! El certificado público es requerido en los expressway-e ya que estos conectan con los dispositivos externos y requiere de uno público para que estos confíen en el servidor, para motivos del laboratorio del demo, usamos certificados privados por temas de facilidad.

Pregunta: Hay alguna manera de saltar el requisito de certificados firmados del CUCM en el expressway-C. En la versión anteriores a la x14.2 no era necesario, pero por lo visto ahora sí. - Felipe M. (min.50)

Respuesta (Jerson G.): Hola Felipe! esta pregunta se contestará pronto en la sesión.

Pregunta: From X14.2 onwards, even if TLS verify is set to Off on Unified Communications servers (CUCM, IM&P, CUC and CMS), the CA certificates (both Root and any intermediate CAs) for those servers must be added to Expressway-C trust store. Failure to do so can cause MRA login problems after an upgrade to X14.2 or higher. - Felipe M. (min.50)

Respuesta (Jerson G.): Adjunto link con más información sobre lo que se hablará en la sesión https://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/218018-troubleshoot-expressway-traffic-server-c.html 

Pregunta: Hola, este tipo de falla que están presentando en este momento ¿solo sería en caso de que nuestra conexión entre exp-cucm fuera por TLS y no por TCP, correcto? - Jesús Z. (min.72)

Respuesta (Jerson G.): Hola Jesús! Esto pasa usando TLS o TCP, ya que a partir de la versión x14.2 se introdujo este cambio para aumentar la seguridad entre servidores, adjunto link con explicación sobre los cambios: https://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/218018-troubleshoot-expressway-traffic-server-c.html 

Pregunta: ¿Esto se soluciona aplicando el workaround del comando? - Jesús Z. (min.77)

Respuesta (Emmanuel N.): Hola Jesús! Esta es una de las formas de solucionar este inconveniente. Sin embargo, más adelante durante la presentación se revisarán todas las alternativas posibles para solucionar este problema.

Pregunta: xConfiguration EdgeConfigServer VerifyOriginServer: OffEse comando lo tendría que aplicar en todos los nodos del clúster de Exp-C, o solo basta con aplicarlo en el Exp-C master? - Jesús Z. (min.80)

Respuesta (Emmanuel N.): Hola Jesús! Con aplicarlo en el master node sería suficiente.

Pregunta: Al tener la misma entidad certificadora (EXP-C y CUCM) ya no sería necesario subir los certificados del CUCM en el ECP-C o igual se deben subir? - Manuel H. (min.93)

Respuesta (Jerson G.): Hola Manuel! Siempre y cuando firmes en cucm el tomcat, callmanager, tomcat-ecdsa, callmanager-ecdsa firmados con la misma autoridad que firmaste el expc, no deberías tener problemas, ya que el tomcat-trust y callmanager-trust estarían seguros desde la perspectiva del expressway-c.

Pregunta: Hola, se puede subir un bundle con todos los certificados intermedios y root o se debe hacer el proceso realizado por Jefferson para separar el certificado? gracias - Juan David S. (min.99)

Respuesta (Jerson G.): Hola Juan! Se recomienda separarlos para asegurarse que estos sean válidos.

Pregunta: ¿Qué tan recomendable es firmar el certificado de Expressway Edge con ACME? se recomienda para la operación o solo para laboratorios? - Emilio G. (min.102)

Respuesta (Jimena S.): Esta pregunta fue respondida en vivo (ver el final del video).

Pregunta: En los SRV ¿cuántos son que se tendrían que crear solo MRA ? - Claudia H. (min.103)

Respuesta (Jimena S.): Esta pregunta fue respondida en vivo (ver el final del video).

Pregunta: En caso de Certificados públicos que se tengan que instalar en el expressway e , Mi pregunta seria también tendrían que instalarse en el expressway C - Juan Ramón A. (min.112)

Respuesta (Jimena S.): Esta pregunta fue respondida en vivo (ver el final del video).

Pregunta del Chat: ¿Puede nombrar una tools confiable para leer el archivo CSR, por favor? - Claudio M. (min.23)

Respuesta (Jimena S.): Esta pregunta fue respondida en vivo (ver el final del video).

Pregunta PQ#1: ¿Cuál de estos campos determina en qué capacidad puede usarse un certificado? (Cliente y Servidor)

Opciones de respuesta: a) Enhanced Key Usage b) Número de Serie c) Validez // Respuesta correcta: a) Enhanced Key Usage

Pregunta PQ#2: Cuando se configura el Unified Traversal Zone teniendo un cluster de Expressway-C, ¿qué se debe configurar como TLS verify subject name?

Opciones de respuesta: a) Host b) FQDN del Expressway-C cluster c) FQDN de cada Expressway-C // Respuesta correcta: b) FQDN del Expressway-C cluster

Pregunta PQ#3: Cuando la conexión TLS entre Expressway-C y TFTP falla, el mensaje que C envía como respuesta a Jabber es:

Opciones de respuesta: a) 200 OK b) 403 Forbidden c) 502 Connect failed // Respuesta correcta: c) 502 Connect failed

Nuestros expertos

rvalverd.jpg

Randy Valverde - En 2013 se unió a Cisco al equipo de Enterprise Video de Costa Rica, donde ascendió a Team Leader. Posteriormente se integró al equipo de backbone de Telepresencia en México (2016), dónde se ha desenvuelto como Team Leader y Team Captain desde 2019. Randy se especializa en VCS/Expressways, Mobile and Remote Access (MRA), CMS y dispositivos de telepresencia, entre otros productos de Colaboración. También ha publicado varios artículos y guías en cisco.com, así como apoyo en foros.

fachicas.jpg

Fabio Achí - Se unió a Cisco desde hace más de seis años como Technical Consulting Engineer de Cisco TAC, y desde 2022 foma parte del equipo de backbone de Cisco México. Además, Fabio se ha especializado principalmente en dispositivos de videoconferencia, servidores Expressway, Mobile and Remote Access (MRA) y Cisco Meeting Server. Además cuenta con la certificación de CCNP Collaboration.

jmadrizc.jpg

Jefferson Madriz - Actualmente, se desempeña como Ingeniero Senior en el equipo de Telepresencia de Cisco TAC, al cual se unió en 2019. Cuenta con más de ocho años de experiencia en tecnología de Colaboración de Cisco. A lo largo de su trayectoria, ha participado en proyectos enfocados en la difusión del conocimiento sobre Expressways y equipos de Telepresencia, además de brindar capacitaciones internas. Jefferson cuenta con las certificaciones de CCNA, CCNP Collaboration y DevNet Associate.

 

Próximos Eventos

Eventos Anteriores
Para obtener más información, visite los contenidos de las secciones de Colaboración, Voz y Video y Webex.
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.
Etiquetas:
Vista previa de archivo
3161 KB
0 Útil
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Visite el Foro de Video & Voz IP Videos de Video & Voz IP Comunidad de Webex
Customers Also Viewed These Support Documents