تحديث شهادة DNS Umbrella إلى العمل في أكتوبر 2024

خيارات التنزيل

  • PDF     (291.9 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (83.5 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (76.7 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٤ أكتوبر ٢٠٢٤
معرّف المستند:222467

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية حل مشكلة مظلة DNS حيث تستخدم موجهات SD-WAN الشهادة التي انتهت صلاحيتها بدلا من الشهادة الجديدة.

    معلومات أساسية

    انتهت صلاحية الشهادة الرقمية التي تستخدمها موجهات Cisco Catalyst SD-WAN للتسجيل باستخدام مفتاح API/طريقة المصادقة السرية مع Cisco Umbrella DNS في 30 سبتمبر 2024. سيفشل تسجيل موجهات Cisco SD-WAN ذات الشهادة منتهية الصلاحية مع خدمة Cisco Umbrella DNS. لا تنطبق هذه المشكلة على المصادقة المستندة إلى الرمز المميز لتسجيل DNS ل Umbrella.

    ارجع إلى انتهاء صلاحية شهادة Cisco Umbrella DNS في 30 سبتمبر 2024، في إشعار ميداني FN74166 للحصول على مزيد من التفاصيل.

    لا يمكن لأجهزة SD-WAN المتأثرة التي تحتوي على شهادة CA الجذر الخاص بالمظلة منتهية الصلاحية إنشاء إتصالات آمنة مع Cisco Umbrella DNS لتسجيل الجهاز.  بما أن الجهاز غير مسجل بخدمة Umbrella DNS، فإن طلبات DNS الخاصة بالمستخدم النهائي لا يتم إعادة توجيهها إلى خادم مجال Umbrella بواسطة SD-WAN Edge لتنفيذ نهج أمان DNS. لن يتم إسقاط طلب DNS من المستخدمين النهائيين خلف SD-WAN Edge ويتم صيانته بواسطة خادم مجال DNS المكون على أجهزة المستخدم النهائي.

    معلومات العيوب

    تم تحديث الشهادة كجزء من معرف تصحيح الأخطاء من Cisco CSCwi43360 : انتهاء صلاحية CERT في سبتمبر 2024 لتسجيل أمان DNS إلى Umbrella Cloud.  (ثابت في 17.9.6 و 17.12.4 و 17.15.1a)

    حتى مع فشل إنشاء الشهادة التي يتم تحديثها، والتي يتم معالجتها كجزء من معرف تصحيح الأخطاء من Cisco CSCwm73365 : يفشل تأكيد اتصال SSL بالرغم من UMBRELLA_ROOT_CA مع وجود أحدث شهادة على الجهاز. (ثابت في 17.6.8a)

    تم الإصدار الثابت

    إصدارات CCO

    الإصدار

    17٫6٫8 أمبير


    الإصدارات الخاصة الهندسية

    الإصدار 17٫09٫05 اس 0٫51
    الإصدار 17.12.04.0.31

    مصفوفة الإصلاح

    الإصدارات

    خطوات المعالجة الموصى بها من Cisco

    17.3.x/17.4.x/17.5.x

    اتبع الخطوات الواردة في القسم 1. أجهزة Cisco التي تشغل برنامج Cisco IOS XE الإصدار 17.5.x أو إصدار أقدم في وضع وحدة التحكم  

    17.6.1-17.6.7 و 17.7.x و 17.8.x

    اتبع الخطوات الواردة في القسم 2. أجهزة Cisco التي تشغل برنامج Cisco IOS XE الإصدار 17.6.x إلى 17.8.x في وضع وحدة التحكم  

    17٫6٫8 أمبير

    تم إصلاح إصدار انتهاء صلاحية شهادة DNS الخاصة بالمظلة في هذا الإصدار.

    17.9.1 - 17.9.4 و 17.10.x و 17.11.x و 17.12.1-17.12.2 و 17.13.x و 17.14.x و 17.15.1a

    إستخدام برنامج Umbrella DNS Cert Script لنسخ الشهادة المؤتمتة إلى أجهزة Edge. راجع الملف التمهيدي على GIT للخطوات التي ستستخدم لتشغيل البرنامج النصي.

    17٫9٫5 أمبير

    اتبع الخطوات الواردة في القسم 3  

    17.9.6

    اتبع الخطوات الواردة في القسم 4  

    17٫12٫3 أمبير

    اتبع الخطوات الواردة في القسم 5  

    17.12.4

    اتبع الخطوات الواردة في القسم 6  

    1. أجهزة Cisco التي تشغل برنامج Cisco IOS XE الإصدار 17.5.x أو إصدار أقدم في وضع وحدة التحكم

    أستخدم خيارات الإصلاح لتثبيت شهادة Umbrella RootCA الجديدة.

    مؤتمت

    1. بالنسبة لبرنامج SD-WAN Manager 20.9.1 أو إصدار أحدث، أستخدم برنامج Umbrella DNS Cert النصي لنسخ الشهادة المؤتمتة إلى الأجهزة الطرفية من vManage.
    2. البرنامج النصي ل DNS Umbrela  
    3. راجع الملف التمهيدي على GIT للحصول على خطوات تفصيلية لاستخدام النص التنفيذي.
    4. بعد نسخ شهادة RootCA إلى الجهاز، أعد تحميل الموجه لإكمال عملية التثبيت.

    يدوي

    1. قم بتنزيل الشهادة الجديدة غير منتهية الصلاحية من موقع شهادة المظلة الجديد على الويب ووضعها على جهاز لديه حق الوصول إلى الموجه (الموجهات) المتأثرة في تغشية SD-WAN. 
    2. أدخل أمر Linux SCP أو آلية مماثلة لإجراء نسخة ملف آمنة من جهاز التنزيل على كل موجه يتأثر.

      على سبيل المثال:

      scp ./isrgrootx1.pem <username>@<EdgeIP>:trustidrootx3_ca.ca

      استبدلت <username> مع مسؤول مستعمل و <EdgeIP> مع العنوان من المسحاج تخديد يتأثر.

    3. بعد نسخ شهادة RootCA إلى الجهاز، أعد تحميل الموجه لإكمال عملية التثبيت.

    2. أجهزة Cisco التي تشغل برنامج Cisco IOS XE الإصدار 17.6.x إلى 17.8.x في وضع وحدة التحكم

    أستخدم خيارات الإصلاح لتثبيت شهادة Umbrella RootCA الجديدة.

    مؤتمت

    1. بالنسبة لبرنامج SD-WAN Manager 20.9.1 أو إصدار أحدث، أستخدم برنامج Umbrella DNS Cert النصي لنسخ الشهادة المؤتمتة إلى الأجهزة الطرفية من vManage.
    2. Umbrella DNS Cert Script  
    3. راجع الملف التمهيدي على GIT للحصول على خطوات تفصيلية لاستخدام النص التنفيذي.
    4. بعد نسخ شهادة RootCA إلى الجهاز، أعد تحميل الموجه لإكمال عملية التثبيت.

    يدوي

    1. قم بتنزيل الشهادة الجديدة غير منتهية الصلاحية من موقع شهادة المظلة الجديد على الويب ووضعها على جهاز لديه حق الوصول إلى الموجه (الموجهات) المتأثرة في تغشية SD-WAN.
    2. أدخل أمر Linux scp أو آلية مماثلة لإجراء نسخة آمنة من الملف من جهاز التنزيل على كل موجه يتأثر.

      على سبيل المثال:

      scp ./isrgrootx1.pem admin@<EdgeIP>:trustidrootx3_ca_092024.ca

      قم باستبدال <EdgeIP> بعنوان IP الخاص بالموجه المتأثر.

    3. بعد نسخ شهادة RootCA إلى الجهاز، أعد تحميل الموجه لإكمال عملية التثبيت

    3. أجهزة Cisco التي تشغل برنامج Cisco IOS XE الإصدار 17.9.5a في وضع وحدة التحكم

    أستخدم خيارات الإصلاح لتثبيت شهادة Umbrella RootCA الجديدة كما هو موضح في هذا القسم، بالنسبة لمعظم الأنظمة الأساسية هناك وحدة SMU HOT متوفرة مع الإصلاح. لديك أيضا خيار تشغيل البرنامج النصي المذكور لتثبيت شهادة Umbrella RootCA الجديدة.

    1. وتنطبق وحدة إدارة الهيكل (SMU) الساخنة على هذه الأنظمة الأساسية - SMU التي لا أساس لها/موصى بها، يفشل تأكيد اتصال SSL على الرغم من وجود UMBRELLA_ROOT_CA.ca مع وجود أحدث شهادة على الجهاز :

    موجه الخدمات المدمجة 4431 Integrated Services Router
    موجه الخدمات المدمجة 4451-X

    الموجه ASR 1001-X Router
    الموجهات الظاهرية
    موجه الخدمات المدمجة 4331 Integrated Services Router
    موجه الخدمات المدمجة 4221 Integrated Services Router
    موجه الخدمات المدمجة 4351 Integrated Services Router
    النظام الأساسي Catalyst 8500L Edge
    الموجه ASR 1001-HX
    موجه الخدمات المدمجة 4321 Integrated Services Router

    النظام الأساسي Catalyst 8500 Edge

    موجه الخدمات المدمجة 4461 Integrated Services Router

    1. بدلا من SMU، قم بتشغيل البرنامج النصي Umbrella DNS Cert ارجع إلى الملف التمهيدي على GIT للحصول على الخطوات التفصيلية لاستخدام البرنامج النصي.

    خيار البرنامج النصي فقط ل:
    موجه ASR1002-X

    النظام الأساسي Catalyst 8300 Edge

    ISR 1000 Series التي تشغل Cisco IOS XE SD-WAN

    4. أجهزة Cisco التي تشغل برنامج Cisco IOS XE الإصدار 17.9.6 في وضع وحدة التحكم

    1. وتنطبق وحدة SMU المباشرة على هذه الأنظمة الأساسية - "SMU التي لا تحتوي على أية عناصر/موصى بها، يفشل تأكيد اتصال SSL على الرغم من UMBRELLA_ROOT_CA.ca مع وجود أحدث شهادة على الجهاز":

    موجه الخدمات المدمجة 4221 Integrated Services Router
    موجه الخدمات المدمجة 4321 Integrated Services Router
    موجه الخدمات المدمجة 4451-X
    النظام الأساسي Catalyst 8500 Edge
    موجه الخدمات المدمجة 4431 Integrated Services Router
    الموجهات الظاهرية
    موجه الخدمات المدمجة 4461 Integrated Services Router
    موجه الخدمات المدمجة 4331 Integrated Services Router
    موجه الخدمات المدمجة 4351 Integrated Services Router
    الموجه ASR 1001-HX
    الموجه ASR 1001-X Router
    النظام الأساسي Catalyst 8500L Edge

    الموجه Catalyst 1101 المتميز بالمتانة

    الموجه Catalyst IR1831 المتميز بالمتانة
    الموجه Catalyst IR1821 المتميز بالمتانة
    الموجه Catalyst IR1833 المتميز بالمتانة
    الموجه Catalyst IR1835 المتميز بالمتانة

    1. بدلا من SMU، قم بتشغيل البرنامج النصي Umbrella DNS Cert ارجع إلى الملف التمهيدي على GIT للحصول على الخطوات التفصيلية لاستخدام البرنامج النصي.

    خيار البرنامج النصي فقط ل:

    موجه ASR1002-X

    النظام الأساسي Catalyst 8300 Edge

    ISR 1000 Series التي تشغل Cisco IOS XE SD-WAN

    5. أجهزة Cisco التي هي برنامج Cisco IOS XE، الإصدار 17.12.3a في وضع وحدة التحكم

    1. وتنطبق وحدة SMU المباشرة على هذه الأنظمة الأساسية - "SMU التي لا تحتوي على أية عناصر/موصى بها، يفشل تأكيد اتصال SSL على الرغم من UMBRELLA_ROOT_CA.ca مع وجود أحدث شهادة على الجهاز":

    موجه الخدمات المدمجة 4221 Integrated Services Router
    النظام الأساسي Catalyst 8300 Edge
    موجه الخدمات المدمجة 4331 Integrated Services Router
    موجه الخدمات المدمجة 4461 Integrated Services Router
    موجه الخدمات المدمجة 1100 Integrated Services Router
    موجه الخدمات المدمجة 4351 Integrated Services Router
    موجه الخدمات المدمجة 4321 Integrated Services Router
    موجه الخدمات المدمجة 4431 Integrated Services Router
    الموجهات الظاهرية
    موجه الخدمات المدمجة 4451-X

    النظام الأساسي Catalyst 8500L Edge
    النظام الأساسي Catalyst 8500 Edge
    الموجه ASR 1001-HX

    2. بديل عن SMU، شغل Umbrella DNS Cert Script

    راجع الملف التمهيدي على GIT للحصول على خطوات تفصيلية لاستخدام النص التنفيذي.

    6. أجهزة Cisco التي تشغل برنامج Cisco IOS XE الإصدار 17.12.4 في وضع وحدة التحكم

    1. وتنطبق وحدة SMU المباشرة على هذه الأنظمة الأساسية - "SMU التي لا تحتوي على أية عناصر/موصى بها، يفشل تأكيد اتصال SSL على الرغم من UMBRELLA_ROOT_CA.ca مع وجود أحدث شهادة على الجهاز":  

    النظام الأساسي Catalyst 8500 Edge
    الموجه ASR 1001-HX
    موجه الخدمات المدمجة 4331 Integrated Services Router
    موجه الخدمات المدمجة 4321 Integrated Services Router
    موجه الخدمات المدمجة 4221 Integrated Services Router
    الموجهات الظاهرية
    موجه الخدمات المدمجة 4351 Integrated Services Router
    موجه الخدمات المدمجة 4451-X
    موجه الخدمات المدمجة 4461 Integrated Services Router
    النظام الأساسي Catalyst 8300 Edge
    الموجه ASR 1002-HX
    موجه الخدمات المدمجة 4431 Integrated Services Router

    موجه الخدمات المدمجة 1100 Integrated Services Router

    النظام الأساسي Catalyst 8500L Edge

    الموجه Catalyst IR1833 المتميز بالمتانة
    الموجه Catalyst IR1835 المتميز بالمتانة
    الموجه Catalyst IR1831 المتميز بالمتانة
    الموجه Catalyst IR1821 المتميز بالمتانة

    1. البديل ل SMU أن يركض Umbrella DNS نص تنفيذي يشير إلى الملف التمهيدي على GIT لخطوات مفصلة لاستخدام النص التنفيذي.

    تحذير: تستمر عمليات تسجيل DNS من Umbrella من الأجهزة في العمل طالما لا توجد عمليات إعادة تشغيل للجهاز أو لا توجد عمليات تسجيل جديدة. 

    تحذير: إذا تمت إزالة تكوين المظلة وإعادة تطبيقه، يؤدي ذلك إلى تشغيل إعادة تسجيل DNS المظلة. طالما لا يتم اتباع هذه العملية، فإن DNS المظلة تعمل بشكل صحيح.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    14-Oct-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Ankur Kamlesh Soni
      Cisco Software Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات