SSL更新失败导致话机和 Hotdesking 配置失败

SSL 更新失败导致话机和 Hotdesking 配置失败

1. 问题现象

• 环境：云部署，使用 SBCs 连接多个站点。
• 故障：自某夜起，多台话机无法进行自动 Provisioning，也无法进行 Hotdesking 登录。
• 已登录用户仍正常使用。
• 话机重置后，话机无法重新配置（Hotdesking 或普通分机分配均失败）。
• 受影响设备主要为 Yealink T73W（有线）。
• 服务器状态正常：2 vCPU、4GB RAM，磁盘空间充足，防火墙设置正常。

日志显示话机可以访问服务器，但没有获取到正确的 Provisioning 文件，怀疑 Provisioning 数据库或文件夹异常。

2. 初步排查建议

3CX专家建议排查以下内容：

1. 防火墙与端口

• Provisioning 通常通过 443 或 5001 端口。
• 检查是否防火墙策略被强化或内容过滤启用。

2. 证书状态

• 检查是否有 SSL 证书续期（尤其是 Let’s Encrypt）。
• 中间证书变化可能导致部分实例证书链不完整，话机无法验证 HTTPS，阻止 Provisioning。

3. 根本原因

• 论坛确认问题由 SSL 证书链不完整引起：

• 证书续期后某些中间证书变化导致链不完整。
• 已登录用户正常，因为已有 session 不依赖即时 Provisioning。
• 新设备或重置设备无法 Provisioning，Hotdesking 登录失败。

4. 解决方案

1. 强制执行 3CX SSL 证书续期

• 官方文档：https://www.3cx.cn/blog/docs/ssl-certificate-renewal/

2. 证书续期后，系统会自动将 TEMPORARY_SELF_SIGNED_CERTIFICATE_GENERATED 切回 0，无需手动修改。
3. 验证：

• 管理端可重新远程重启话机。
• 新设备或 Hotdesking 用户可正常登录。

5. 技术结论

• 故障与 SBC、话机型号、服务器性能无关。
• 核心问题：SSL 证书链异常导致话机无法验证 Provisioning HTTPS。
• 若出现大量话机无法 Provisioning / Hotdesking 登录，首要检查：

1. SSL 证书链完整性
2. 443 / 5001 端口可达性
3. 防火墙与内容过滤状态
4. 证书续期流程是否已完成