Actualizar el certificado de paraguas de DNS para que funcione en octubre de 2024

Opciones de descarga

  • PDF     (272.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (87.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (80.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de octubre de 2024
ID del documento:222467

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo resolver el problema de paraguas DNS donde los routers SD-WAN utilizan el certificado expirado en lugar del nuevo.

    Antecedentes

    El certificado digital que utilizan los routers Cisco Catalyst SD-WAN para registrarse mediante el método de autenticación Clave/Secreta de API con Cisco Umbrella DNS expiró el 30 de septiembre de 2024. Los routers Cisco SD-WAN con el certificado caducado no podrán registrarse en el servicio Cisco Umbrella DNS. Este problema no se aplica a la autenticación basada en token para el registro de Umbrella DNS.

    Consulte el vencimiento del certificado DNS de Cisco Umbrella el 30 de septiembre de 2024, en Field Notice FN74166 para obtener más detalles.

    Los dispositivos SD-WAN afectados con certificado de CA raíz de paraguas caducado no pueden establecer conexiones seguras con el DNS de Cisco Umbrella para el registro de dispositivos.  Dado que el dispositivo no está registrado en el servicio DNS de Umbrella, las solicitudes DNS de usuario final no se redirigen al servidor de dominio de Umbrella por el extremo de la SD-WAN para la aplicación de la política de seguridad de DNS. La solicitud DNS de los usuarios finales detrás del extremo de la SD-WAN no se descartará y el servicio lo proporciona el servidor de dominio DNS configurado en los dispositivos del usuario final.

    Información de defecto

    El certificado se actualizó como parte del Id. de error de Cisco CSCwi43360 : el certificado caducará en septiembre de 2024 para el registro de seguridad DNS en la nube de Umbrella.  (corregido en 17.9.6, 17.12.4, 17.15.1a)

    Incluso con el certificado actualizado, el protocolo de enlace SSL no puede establecerse, lo cual se aborda como parte del ID de bug de Cisco CSCwm73365 : el intercambio de señales SSL falla a pesar de umbrella_root_ca.ca con el último certificado presente en el dispositivo. (fijado en 17.6.8a)

    Fijo liberado

    Versiones de CCO

    Versión

    17.6.8 bis


    VERSIONES ESPECIALES DE INGENIERÍA

    Versión 17.9.05a.0.51
    Versión 17.12.04.0.31

    Matriz de corrección

    Versiones

    Pasos de remediación recomendados por Cisco

    17.3.x/17.4.x/17.5.x

    Siga los pasos de la sección 1. Dispositivos Cisco que ejecutan la versión 17.5.x o anterior del software Cisco IOS XE en modo de controlador  

    17.6.1-17.6.7, 17.7.x y 17.8.x

    Siga los pasos de la sección 2. Dispositivos de Cisco que ejecutan el software Cisco IOS XE versión 17.6.x a 17.8.x en modo controlador  

    17.6.8 bis

    El problema de vencimiento del certificado DNS de Umbrella se ha corregido en esta versión.

    17.9.1 - 17.9.4, 17.10.x, 17.11.x, 17.12.1-17.12.2, 17.13.x, 17.14.x, 17.15.1a

    Utilice Umbrella DNS Cert Script para la copia automatizada de certificados en los dispositivos periféricos. Consulte el archivo léame en el GIT para conocer los pasos que se deben seguir para ejecutar el script.

    17.9.5 a

    Siga los pasos de la sección 3  

    17.9.6

    Siga los pasos de la sección 4  

    17.12.3 bis

    Siga los pasos de la sección 5  

    17.12.4

    Siga los pasos de la sección 6  

    1. Dispositivos Cisco que ejecutan la versión 17.5.x o anterior del software Cisco IOS XE en modo controlador

    Utilice las opciones de corrección para instalar el nuevo certificado RootCA de Umbrella.

    Automatizado

    1. Para SD-WAN Manager 20.9.1 o superior, utilice la secuencia de comandos Umbrella DNS Cert para la copia automatizada de certificados en los dispositivos periféricos desde vManage.
    2. Script de certificado DNS de paraguas  
    3. Consulte el archivo léame en el GIT para conocer los pasos detallados para utilizar el script.
    4. Después de copiar el certificado de CA raíz en el dispositivo, recargue el router para completar el proceso de instalación.

    Manual

    1. Descargue el nuevo certificado no caducado del sitio web de New Umbrella Certificate y colóquelo en un dispositivo que tenga acceso al router o routers afectados en la superposición SD-WAN. 
    2. Ingrese el comando Linux scp o un mecanismo similar para realizar una copia segura del archivo desde el dispositivo de descarga en cada router afectado.

      Por ejemplo:

      scp ./isrgrootx1.pem <Nombre de usuario>@<EdgeIP>:trustidrootx3_ca.ca

      Sustituya <Username> por un usuario admin y <EdgeIP> por la dirección IP del router afectado.

    3. Después de copiar el certificado de CA raíz en el dispositivo, recargue el router para completar el proceso de instalación.

    2. Dispositivos Cisco que ejecutan el software Cisco IOS XE versión 17.6.x a 17.8.x en modo controlador

    Utilice las opciones de corrección para instalar el nuevo certificado RootCA de Umbrella.

    Automatizado

    1. Para SD-WAN Manager 20.9.1 o superior, utilice la secuencia de comandos Umbrella DNS Cert para la copia automatizada de certificados en los dispositivos periféricos desde vManage.
    2. Script de certificado DNS de paraguas  
    3. Consulte el archivo léame en el GIT para conocer los pasos detallados para utilizar el script.
    4. Después de copiar el certificado de CA raíz en el dispositivo, recargue el router para completar el proceso de instalación.

    Manual

    1. Descargue el nuevo certificado no caducado del sitio web de New Umbrella Certificate y colóquelo en un dispositivo que tenga acceso al router o routers afectados en la superposición SD-WAN.
    2. Ingrese el comando scp de Linux o un mecanismo similar para realizar una copia segura del archivo desde el dispositivo de descarga en cada router afectado.

      Por ejemplo:

      scp ./isrgrootx1.pem admin@<IPdeExtremo>:trustidrootx3_ca_092024.ca

      Sustituya <EdgeIP> por la dirección IP del router afectado.

    3. Después de copiar el certificado de CA raíz en el dispositivo, recargue el router para completar el proceso de instalación

    3. Dispositivos Cisco que ejecutan la versión 17.9.5a del software Cisco IOS XE en modo de controlador

    Utilice las opciones de corrección para instalar el nuevo certificado de Umbrella RootCA como se explica en esta sección, para la mayoría de las plataformas hay una SMU HOT disponible con la corrección. También tiene la opción de ejecutar el script mencionado para instalar el nuevo certificado de CA raíz de Umbrella.

    1. El HOT SMU se aplica a estas plataformas - "Hitless/Recommended SMU, el intercambio de señales SSL falla a pesar de umbrella_root_ca.ca con el último certificado presente en el dispositivo" :

    4431 Router de servicios integrados
    Router de servicios integrados 4451-X

    Router ASR 1001-X
    Routers virtuales
    4331 Router de servicios integrados
    Router de servicios integrados 4221
    Router de servicios integrados 4351
    Plataforma de extremo Catalyst 8500L
    Router ASR 1001-HX
    Router de servicios integrados 4321

    Plataforma de extremo Catalyst 8500

    4461 Router de servicios integrados

    1. Como alternativa a SMU, ejecute el script Umbrella DNS Cert Script Consulte el archivo léame en GIT para obtener los pasos detallados para utilizar el script.

    Opción de solo script para:
    Router ASR1002-X

    Plataforma de extremo Catalyst 8300

    ISR serie 1000 con Cisco IOS XE SD-WAN

    4. Dispositivos Cisco que ejecutan la versión 17.9.6 del software Cisco IOS XE en modo controlador

    1. El HOT SMU se aplica a estas plataformas - "Hitless/Recommended SMU, el intercambio de señales SSL falla a pesar de umbrella_root_ca.ca con el último certificado presente en el dispositivo":

    Router de servicios integrados 4221
    Router de servicios integrados 4321
    Router de servicios integrados 4451-X
    Plataforma de extremo Catalyst 8500
    4431 Router de servicios integrados
    Routers virtuales
    4461 Router de servicios integrados
    4331 Router de servicios integrados
    Router de servicios integrados 4351
    Router ASR 1001-HX
    Router ASR 1001-X
    Plataforma de extremo Catalyst 8500L

    Router robusto Catalyst 1101

    Router robusto Catalyst IR1831
    Router robusto Catalyst IR1821
    Router robusto Catalyst IR1833
    Router robusto Catalyst IR1835

    1. Como alternativa a SMU, ejecute el script Umbrella DNS Cert Script Consulte el archivo léame en GIT para obtener los pasos detallados para utilizar el script.

    Opción de solo script para:

    Router ASR1002-X

    Plataforma de extremo Catalyst 8300

    ISR serie 1000 con Cisco IOS XE SD-WAN

    5. Dispositivos Cisco que son la versión 17.12.3a del software Cisco IOS XE en modo controlador

    1. El HOT SMU se aplica a estas plataformas - "Hitless/Recommended SMU, el intercambio de señales SSL falla a pesar de umbrella_root_ca.ca con el último certificado presente en el dispositivo":

    Router de servicios integrados 4221
    Plataforma de extremo Catalyst 8300
    4331 Router de servicios integrados
    4461 Router de servicios integrados
    Router de servicios integrados 1100
    Router de servicios integrados 4351
    Router de servicios integrados 4321
    4431 Router de servicios integrados
    Routers virtuales
    Router de servicios integrados 4451-X

    Plataforma de extremo Catalyst 8500L
    Plataforma de extremo Catalyst 8500
    Router ASR 1001-HX

    2. Como alternativa a SMU, ejecute el script Umbrella DNS Cert Script

    Consulte el archivo léame en el GIT para conocer los pasos detallados para utilizar el script.

    6. Dispositivos Cisco que ejecutan la versión 17.12.4 del software Cisco IOS XE en modo controlador

    1. El HOT SMU se aplica a estas plataformas - "Hitless/Recommended SMU, el intercambio de señales SSL falla a pesar de umbrella_root_ca.ca con el último certificado presente en el dispositivo":  

    Plataforma de extremo Catalyst 8500
    Router ASR 1001-HX
    4331 Router de servicios integrados
    Router de servicios integrados 4321
    Router de servicios integrados 4221
    Routers virtuales
    Router de servicios integrados 4351
    Router de servicios integrados 4451-X
    4461 Router de servicios integrados
    Plataforma de extremo Catalyst 8300
    Router ASR 1002-HX
    4431 Router de servicios integrados

    Router de servicios integrados 1100

    Plataforma de extremo Catalyst 8500L

    Router robusto Catalyst IR1833
    Router robusto Catalyst IR1835
    Router robusto Catalyst IR1831
    Router robusto Catalyst IR1821

    1. La alternativa a SMU es ejecutar el script Umbrella DNS Cert Script Consulte el archivo léame en GIT para obtener los pasos detallados para utilizar el script.

    Precaución: los registros de Umbrella DNS de los dispositivos continúan funcionando mientras no se reinicie el dispositivo o no haya nuevos registros. 

    Precaución: Si se elimina y se vuelve a aplicar la configuración general, se activará el nuevo registro del DNS general. Mientras no se siga este proceso, el DNS general funciona correctamente.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    14-Oct-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Ankur Kamlesh Soni
      Cisco Software Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos