Información de ESA sobre alertas de vencimiento de certificados de lista de CA personalizados

Introducción

Este documento describe las alertas de vencimiento de certificados de la autoridad de certificados personalizada (CA) en un Cisco Secure Email Gateway (ESA) después de actualizar a Async OS 14.x, junto con una solución alternativa.

Componentes Utilizados

La información de este documento se basa en ESA que ejecuta Async OS 14.0 o superior.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Durante el proceso de actualización a Async OS 14.x, se solicita a los clientes que confirmen si desean agregar certificados de sistema antiguos a la lista de CA personalizada. Esto también se documenta en las notas de la versión 14.0 como se muestra en la captura de pantalla siguiente, las notas completas de la versión están disponibles aquí.

Problema

Después de actualizar a 14.x, con el tiempo, los certificados de sistema anteriores anexados en la lista personalizada pueden caducar, lo que se traduce en alertas como las siguientes.

26 Jun 2021 11:27:29 -0400 Su certificado "CA:Root CA Generalitat Valenciana" vencerá en 5 días.

Estas alertas son indicativas de certificados de sistema antiguos que vencen y que se agregaron a la lista personalizada en el momento de la actualización o de un certificado personalizado que se utilizó anteriormente y que se aproxima a la fecha de vencimiento.

Solución

Tenga en cuenta que las alertas de los certificados de sistema más antiguos de la lista personalizada son informativas y que puede optar por quitarlos de la lista personalizada o dejar que caduquen.

No se trata de un servicio que afecta, pero para algunos es necesario recibir una alerta no deseada. 

Si ve alertas para un certificado de CA personalizado que requiere su organización y que actualmente no forma parte de la lista del sistema, puede ponerse en contacto con la CA en cuestión para obtener un certificado actualizado y reemplazarlo como se describe en las guías del usuario final aquí.

El paquete de certificados de CA del sistema se actualiza automáticamente después de la actualización y, periódicamente, el vencimiento de los certificados en la lista personalizada no afecta al funcionamiento de los certificados en la lista del sistema.

Para comprobar si la lista del sistema y la lista personalizada están activadas, vaya a Red -> Certificados -> Autoridades de certificados: Editar configuración

También puede exportar el sistema y las listas personalizadas desde el mismo menú de navegación o utilizar los comandos CLI certconfig -> certAuthority para revisar manualmente los certificados de ambas listas según sea necesario.

Si desea quitar el certificado que genera alertas en la lista de CA personalizada, a continuación se muestran los pasos que puede realizar un administrador mediante SSH para el dispositivo.

Nota: Verifique el nombre/la posición del certificado en la lista personalizada basándose en la alerta vista, ya que puede diferir del ejemplo de resultado visto a continuación.

example.com> certconfig

Choose the operation you want to perform:
- CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles
- CERTAUTHORITY - Manage System and Customized Authorities
- CRL - Manage Certificate Revocation Lists
[]> certauthority

Certificate Authority Summary
Custom List: Enabled
System List: Enabled

Choose the operation you want to perform:
- CUSTOM - Manage Custom Certificate Authorities
- SYSTEM - Manage System Certificate Authorities
[]> custom

Choose the operation you want to perform:
- DISABLE - Disable the custom certificate authorities list
- IMPORT - Import the list of custom certificate authorties
- EXPORT - Export the list of custom certificate authorties
- DELETE - Remove a certificate from the custom certificate authorty list
- PRINT - Print the list of custom certificate authorties
- CHECK_CA_FLAG - Check CA flag in uploaded custom CA certs
[]> delete

You must enter a value from 1 to 104.
1. [AAA Certificate Services]
2. [ANCERT Certificados CGN]
3. [ANCERT Certificados Notariales]
4. [ANCERT Corporaciones de Derecho Publico]
5. [Actalis Authentication Root CA]
6. [Admin-Root-CA]
7. [Agence Nationale de Certification Electronique]
8. [Agence Nationale de Certification Electronique]
9. [America Online Root Certification Authority 1]
10. [America Online Root Certification Authority 2]
11. [Autoridad Certificadora Raiz de la Secretaria de Economia]
12. [Autoridad de Certificacion de la Abogacia]
13. [Baltimore CyberTrust Root]
14. [COMODO Certification Authority]
15. [COMODO RSA Certification Authority]
16. [Certipost E-Trust TOP Root CA]
17. [Certum CA]
18. [Chambers of Commerce Root]
19. [Cisco Root CA 2048]
20. [ComSign Advanced Security CA]
21. [ComSign CA]
22. [ComSign Secured CA]
23. [Cybertrust Global Root]
24. [D-TRUST Root Class 2 CA 2007]
25. [D-TRUST Root Class 3 CA 2007]
26. [DST Root CA X3]
27. [DigiCert Assured ID Root CA]
28. [DigiCert Baltimore CA-2 G2]
29. [DigiCert Global Root CA]
30. [DigiCert Global Root G2]
31. [DigiCert High Assurance EV Root CA]
32. [E-CERT ROOT CA]
33. [Echoworx Root CA2]
34. [Entrust Root Certification Authority - G2]
35. [Entrust Root Certification Authority]
36. [GLOBALTRUST]
37. [GeoTrust Global CA]
38. [GeoTrust Primary Certification Authority - G2]
39. [GeoTrust Primary Certification Authority - G3]
40. [GeoTrust Primary Certification Authority]
41. [GeoTrust RSA CA 2018]
42. [GeoTrust SSL CA - G2]
43. [GeoTrust Universal CA 2]
44. [GeoTrust Universal CA]
45. [Global Chambersign Root]
46. [GlobalSign PersonalSign 2 CA - SHA256 - G3]
47. [GlobalSign Root CA]
48. [GlobalSign]
49. [GlobalSign]
50. [Go Daddy Root Certificate Authority - G2]
51. [Hongkong Post Root CA 1]
52. [HydrantID SSL ICA G2]
53. [InfoNotary CSP Root]
54. [NetLock Minositett Kozjegyzoi (Class QA) Tanusitvanykiado]
55. [Network Solutions Certificate Authority]
56. [OISTE WISeKey Global Root GA CA]
57. [Post. Trust Root CA]
58. [QuoVadis Root CA 2]
59. [Root CA Generalitat Valenciana]                                                     <<<<<<<<<<< Select this one based on sample alert above
60. [S-TRUST Authentication and Encryption Root CA 2005:PN]
61. [SSC Root CA A]
62. [SSC Root CA B]
63. [SSC Root CA C]
64. [Secure Global CA]
65. [SecureTrust CA]
66. [Serasa Certificate Authority III]
67. [Serasa Certificate Authority II]
68. [Serasa Certificate Authority I]
69. [Starfield Services Root Certificate Authority]
70. [SwissSign Gold CA - G2]
71. [SwissSign Platinum CA - G2]
72. [SwissSign Silver CA - G2]
73. [Swisscom Root CA 1]
74. [TC TrustCenter Class 2 CA II]
75. [TC TrustCenter Class 3 CA II]
76. [TC TrustCenter Class 4 CA II]
77. [TC TrustCenter Universal CA II]
78. [TC TrustCenter Universal CA I]
79. [TDC OCES CA]
80. [Trusted Certificate Services]
81. [UCA Global Root]
82. [UCA Root]
83. [USERTrust RSA Certification Authority]
84. [VAS Latvijas Pasts SSI(RCA)]
85. [VRK Gov. Root CA]
86. [VeriSign Class 3 Public Primary Certification Authority - G5]
87. [VeriSign Universal Root Certification Authority]
88. [Visa Information Delivery Root CA]
89. [Visa eCommerce Root]
90. [WellsSecure Public Root Certificate Authority]
91. [XRamp Global Certification Authority]
92. [thawte Primary Root CA - G3]
93. [thawte Primary Root CA]

Select the custom ca certificate you wish to delete
[]> 59

Are you sure you want to delete "Root CA Generalitat Valenciana"? [N]> Y
Custom ca certificate "Root CA Generalitat Valenciana" removed

Choose the operation you want to perform:
- DISABLE - Disable the custom certificate authorities list
- IMPORT - Import the list of custom certificate authorties
- EXPORT - Export the list of custom certificate authorties
- DELETE - Remove a certificate from the custom certificate authorty list
- PRINT - Print the list of custom certificate authorties
- CHECK_CA_FLAG - Check CA flag in uploaded custom CA certs
[]> [ENTER]

Certificate Authority Summary
Custom List: Enabled
System List: Enabled
Choose the operation you want to perform:
- CUSTOM - Manage Custom Certificate Authorities
- SYSTEM - Manage System Certificate Authorities
[]> [ENTER]

Choose the operation you want to perform:
- CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles
- CERTAUTHORITY - Manage System and Customized Authorities
- CRL - Manage Certificate Revocation Lists
[]> [ENTER]

example.com> commit

Please be sure to commit the change at the end.

Información Relacionada 

• Notas de la versión de Cisco Secure Email Gateway
• Guías de usuario final de Cisco Secure Email Gateway