Aktualisieren Sie das DNS Umbrella Certificate, damit es im Oktober 2024 funktioniert.

Download-Optionen

  • PDF     (273.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (88.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (80.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. Oktober 2024
Dokument-ID:222467

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie das DNS Umbrella-Problem beheben, bei dem SD-WAN-Router das abgelaufene Zertifikat anstelle des neuen verwenden.

    Hintergrundinformationen

    Das digitale Zertifikat, das von Cisco Catalyst SD-WAN-Routern zur Registrierung mithilfe der API Key/Secret-Authentifizierungsmethode mit Cisco Umbrella DNS verwendet wird, ist am 30. September 2024 abgelaufen. Cisco SD-WAN-Router mit abgelaufenem Zertifikat können sich nicht beim Cisco Umbrella DNS-Service registrieren. Dieses Problem gilt nicht für die Token-basierte Authentifizierung für die Umbrella DNS-Registrierung.

    Weitere Informationen finden Sie in der Cisco Umbrella DNS-Zertifikatablaufzeit vom 30. September 2024 in der Problemhinweis-Nr. 74166.

    Betroffene SD-WAN-Geräte mit abgelaufenem Umbrella-Root-CA-Zertifikat können keine sicheren Verbindungen mit dem Cisco Umbrella DNS für die Geräteregistrierung herstellen.  Da das Gerät nicht beim Umbrella DNS Service registriert ist, werden DNS-Anfragen von Endbenutzern nicht vom SD-WAN-Edge zur Durchsetzung der DNS-Sicherheitsrichtlinien an den Umbrella Domain Server umgeleitet. Die DNS-Anforderung von den Endbenutzern hinter dem SD-WAN-Edge wird nicht verworfen und wird vom DNS-Domänenserver verarbeitet, der auf den Endbenutzergeräten konfiguriert ist.

    Informationen zu Fehlern

    Das Zertifikat wurde als Teil der Cisco Bug-ID CSCwi43360 aktualisiert. : Auslaufen des Zertifikats am Sept. 2024 für die DNS-Sicherheitsregistrierung bei der Umbrella Cloud.  (behoben in 17.9.6, 17.12.4, 17.15.1a)

    Selbst wenn das Zertifikat aktualisiert wird, kann der SSL-Handshake nicht festgestellt werden, der als Teil der Cisco Bug-ID CSCwm73365 adressiert wird. : SSL-Handshake schlägt fehl, obwohl umbrella_root_ca.ca das neueste Zertifikat auf dem Gerät vorhanden ist. (festgelegt in 17.6.8a)

    Feste Version

    CCO-Versionen

    Version

    17.6.8a


    ENGINEERING-SONDERVERSIONEN

    Version 17,09,05a,0,51
    Version 17.12.04.0.31

    Bereinigungsmatrix

    Releases

    Von Cisco empfohlene Schritte zur Problembehebung

    17.3.x/17.4.x/17.5.x

    Befolgen Sie die Schritte in Abschnitt 1. Cisco Geräte mit Cisco IOS XE Software 17.5.x oder frühere Version im Controllermodus  

    17.6.1-17.6.7, 17.7.x, 17.8.x

    Befolgen Sie die Schritte in Abschnitt 2. Cisco Geräte mit Cisco IOS XE Software, Versionen 17.6.x bis 17.8.x, im Controllermodus  

    17.6.8a

    Das Umbrella DNS Cert-Ablaufproblem wurde in dieser Version behoben.

    17.9.1 - 17.9.4, 17.10.x, 17.11.x, 17.12.1-17.12.2, 17.13.x, 17.14.x, 17.15.1a

    Verwenden Sie das Umbrella DNS-Zertifikatskript zum automatischen Kopieren von Zertifikaten auf die Edge-Geräte. In der Readme-Datei auf dem GIT finden Sie die Schritte zur Ausführung des Skripts.

    17,9,5 a

    Befolgen Sie die Schritte in Abschnitt 3.  

    17.9.6

    Befolgen Sie die Schritte in Abschnitt 4.  

    17.12.3a

    Befolgen Sie die Schritte in Abschnitt 5.  

    17.12.4

    Befolgen Sie die Schritte in Abschnitt 6.  

    1. Cisco Geräte mit Cisco IOS XE Software 17.5.x oder frühere Version im Controllermodus

    Verwenden Sie die Wiederherstellungsoptionen, um das neue Umbrella RootCA-Zertifikat zu installieren.

    Automatisiert

    1. Verwenden Sie für SD-WAN Manager 20.9.1 oder höher das Umbrella DNS Cert-Skript für die automatische Zertifikatkopie auf die Edge-Geräte von vManage.
    2. Umbrela DNS-Zertifikatskript  
    3. In der Readme-Datei auf dem GIT finden Sie detaillierte Anweisungen zur Verwendung des Skripts.
    4. Nachdem das RootCA-Zertifikat auf das Gerät kopiert wurde, laden Sie den Router neu, um den Installationsvorgang abzuschließen.

    Manuell

    1. Laden Sie das neue nicht abgelaufene Zertifikat von der Website für das neue Umbrella-Zertifikat herunter, und platzieren Sie es auf einem Gerät, das Zugriff auf die betroffenen Router im SD-WAN-Overlay hat. 
    2. Geben Sie den Linux scp-Befehl oder einen ähnlichen Mechanismus ein, um eine sichere Dateikopie vom Download-Gerät auf jeden betroffenen Router durchzuführen.

      Beispiele:

      scp ./isrgrootx1.pem <Benutzername>@<EdgeIP>:trustidrootx3_ca.ca

      Ersetzen Sie <Username> durch einen Administrator-Benutzer und <EdgeIP> durch die IP-Adresse des betroffenen Routers.

    3. Nachdem das RootCA-Zertifikat auf das Gerät kopiert wurde, laden Sie den Router neu, um den Installationsvorgang abzuschließen.

    2. Cisco Geräte mit Cisco IOS XE Software, Versionen 17.6.x bis 17.8.x, im Controllermodus

    Verwenden Sie die Wiederherstellungsoptionen, um das neue Umbrella RootCA-Zertifikat zu installieren.

    Automatisiert

    1. Verwenden Sie für SD-WAN Manager 20.9.1 oder höher das Umbrella DNS Cert-Skript für die automatische Zertifikatkopie auf die Edge-Geräte von vManage.
    2. Umbrella DNS-Zertifikatskript  
    3. In der Readme-Datei auf dem GIT finden Sie detaillierte Anweisungen zur Verwendung des Skripts.
    4. Nachdem das RootCA-Zertifikat auf das Gerät kopiert wurde, laden Sie den Router neu, um den Installationsvorgang abzuschließen.

    Manuell

    1. Laden Sie das neue nicht abgelaufene Zertifikat von der Website für das neue Umbrella-Zertifikat herunter, und platzieren Sie es auf einem Gerät, das Zugriff auf die betroffenen Router im SD-WAN-Overlay hat.
    2. Geben Sie den Linux scp-Befehl oder einen ähnlichen Mechanismus ein, um eine sichere Dateikopie vom Download-Gerät auf jeden betroffenen Router zu erstellen.

      Beispiele:

      scp ./isrgrootx1.pem admin@<EdgeIP>:trustidrootx3_ca_092024,ca

      Ersetzen Sie <EdgeIP> durch die IP-Adresse des betroffenen Routers.

    3. Nachdem das RootCA-Zertifikat auf das Gerät kopiert wurde, laden Sie den Router neu, um die Installation abzuschließen.

    3. Cisco Geräte mit Cisco IOS XE Software, Version 17.9.5a, im Controllermodus

    Verwenden Sie die Wiederherstellungsoptionen, um das neue Umbrella RootCA-Zertifikat zu installieren, wie in diesem Abschnitt erläutert. Für die meisten Plattformen ist ein HOT SMU mit dem Fix verfügbar. Sie haben auch die Möglichkeit, das erwähnte Skript auszuführen, um das neue Umbrella RootCA-Zertifikat zu installieren.

    1. Die HOT SMU gilt für diese Plattformen - "Hitless/Recommended SMU, SSL handshake failed even umbrella_root_ca.ca with latest certificate being present on the device" :

    Integrated Services Router 4431
    Integrated Services Router 4451-X

    ASR 1001-X-Router
    Virtuelle Router
    Integrated Services Router 4331
    Integrated Services Router 4221
    Integrated Services Router 4351
    Catalyst 8500L Edge-Plattform
    ASR 1001-HX-Router
    Integrated Services Router 4321

    Catalyst 8500 Edge-Plattform

    Integrated Services Router 4461

    1. Alternativ zu SMU, führen Sie das Skript Umbrella DNS Cert Script Lesen Sie die Readme-Datei auf dem GIT für detaillierte Schritte zur Verwendung des Skripts.

    Nur Skript für:
    ASR 1002-X-Router

    Catalyst 8300 Edge-Plattform

    ISR der Serie 1000 mit Cisco IOS XE SD-WAN

    4. Cisco Geräte mit Cisco IOS XE Software Version 17.9.6 im Controller-Modus

    1. Der HOT SMU gilt für diese Plattformen - "Hitless/Recommended SMU, SSL handshake failed even umbrella_root_ca.ca with latest certificate being present on the device":

    Integrated Services Router 4221
    Integrated Services Router 4321
    Integrated Services Router 4451-X
    Catalyst 8500 Edge-Plattform
    Integrated Services Router 4431
    Virtuelle Router
    Integrated Services Router 4461
    Integrated Services Router 4331
    Integrated Services Router 4351
    ASR 1001-HX-Router
    ASR 1001-X-Router
    Catalyst 8500L Edge-Plattform

    Robuster Catalyst 1101 Router

    Robuster Catalyst IR1831 Router
    Robuster Catalyst IR1821 Router
    Robuster Catalyst IR1833 Router
    Robuster Catalyst IR1835 Router

    1. Alternativ zu SMU, führen Sie das Skript Umbrella DNS Cert Script Lesen Sie die Readme-Datei auf dem GIT für detaillierte Schritte zur Verwendung des Skripts.

    Nur Skript für:

    ASR 1002-X-Router

    Catalyst 8300 Edge-Plattform

    ISR der Serie 1000 mit Cisco IOS XE SD-WAN

    5. Cisco Geräte, die Cisco IOS XE Software Version 17.12.3a im Controllermodus sind

    1. Der HOT SMU gilt für diese Plattformen - "Hitless/Recommended SMU, SSL handshake failed even umbrella_root_ca.ca with latest certificate being present on the device":

    Integrated Services Router 4221
    Catalyst 8300 Edge-Plattform
    Integrated Services Router 4331
    Integrated Services Router 4461
    Integrated Services Router 1100
    Integrated Services Router 4351
    Integrated Services Router 4321
    Integrated Services Router 4431
    Virtuelle Router
    Integrated Services Router 4451-X

    Catalyst 8500L Edge-Plattform
    Catalyst 8500 Edge-Plattform
    ASR 1001-HX-Router

    2. Alternativ zu SMU, führen Sie das Skript Umbrella DNS Zertifikat Skript

    In der Readme-Datei auf dem GIT finden Sie detaillierte Anweisungen zur Verwendung des Skripts.

    6. Cisco Geräte mit Cisco IOS XE Software, Version 17.12.4, im Controllermodus

    1. Der HOT SMU gilt für diese Plattformen - "Hitless/Recommended SMU, SSL handshake failed even umbrella_root_ca.ca with latest certificate being present on the device":  

    Catalyst 8500 Edge-Plattform
    ASR 1001-HX-Router
    Integrated Services Router 4331
    Integrated Services Router 4321
    Integrated Services Router 4221
    Virtuelle Router
    Integrated Services Router 4351
    Integrated Services Router 4451-X
    Integrated Services Router 4461
    Catalyst 8300 Edge-Plattform
    ASR 1002-HX-Router
    Integrated Services Router 4431

    Integrated Services Router 1100

    Catalyst 8500L Edge-Plattform

    Robuster Catalyst IR1833 Router
    Robuster Catalyst IR1835 Router
    Robuster Catalyst IR1831 Router
    Robuster Catalyst IR1821 Router

    1. Die Alternative zu SMU besteht darin, das Skript Umbrella DNS Cert Script auszuführen. Weitere Informationen zur Verwendung des Skripts finden Sie in der Readme-Datei auf dem GIT.

    Achtung: Umbrella DNS Registrierungen von den Geräten weiterhin funktionieren, solange es keinen Neustart des Geräts oder keine neuen Registrierungen. 

    Achtung: Wenn die Umbrella-Konfiguration entfernt und erneut angewendet wird, löst dies die erneute Registrierung des Umbrella-DNS aus. Solange dieser Prozess nicht befolgt wird, funktioniert der Umbrella DNS ordnungsgemäß.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    14-Oct-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Ankur Kamlesh Soni
      Cisco Software Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.