Qué hacer en Expressway en el vencimiento del certificado de CA X3 raíz de DST el 30 de septiembre de 2021

Opciones de descarga

  • PDF     (715.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (757.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (510.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:30 de septiembre de 2021
ID del documento:217415

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción


    Este documento describe cómo reemplazar la CA X3 raíz DST que caduca el 30 de septiembre de 2021. Esto significa que los dispositivos más antiguos que no confían en "IdenTrust DST Root CA X3" empezarán a recibir advertencias de certificado y las negociaciones de TLS se interrumpirán. El 30 de septiembre de 2021, se producirá un cambio en la forma en que el software y los dispositivos más antiguos confían en el cifrado de certificados.

    Componentes Utilizados


    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco Expressway x12.6

    Antecedentes

    • Los certificados de CA firmados cruzados son utilizados por las nuevas CA públicas, de modo que los dispositivos existentes puedan confiar en sus certificados a través de un certificado de CA existente que normalmente está disponible.
    • Cuando se emitió por primera vez el certificado de CA "ISRG Root X1" en junio de 2015, la mayoría de los dispositivos aún no tenían ese certificado en su almacén de confianza, por lo que tenían su certificado de CA "ISRG Root X1" firmado mediante el certificado CA X3 "DST Root CA" de confianza que había estado en circulación desde el 30 de septiembre de 2000.
    • Ahora que la mayoría de los dispositivos deben confiar en el certificado de CA raíz "ISRG Root X1", deberíamos poder actualizar fácilmente la cadena de CA sin necesidad de regenerar el certificado de servidor.

    - Por ejemplo, Cisco no añadió el certificado de CA autofirmado "ISRG Root X1" a nuestro paquete de almacenamiento de confianza interseccionado hasta agosto de 2019, pero la mayoría de nuestros dispositivos más antiguos aún podían confiar fácilmente en los certificados emitidos por el certificado CA raíz X1 de "ISRG Root X1" firmado a través de la firma cruzada porque todos confiaban en el certificado CA raíz "DST Root CA X3".

    • Esto es importante porque es muy probable que los teléfonos IP y el software de terminales CE no tengan el certificado de CA autofirmado "ISRG Root X1" en su almacén de confianza integrado, por lo que queremos asegurarnos de que los teléfonos IP estén en 12.7+ y que los terminales CE estén en CE9.8.2+ o CE9.9.0+ para asegurarnos de que confían en el certificado de CA raíz "ISRG Root X1". Enlaces de referencia a continuación

    https://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cuipph/all_models/ca-list/CA-Trust-List.pdf

    https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/dx/series/admin/1024/DX00_BK_C12F3FF5_00_cisco-dx-series-ag1024/DX00_BK_C12F3FF5_00_cisco-dx-series-ag1024_appendix_01111.html


    Problema

    La raíz "IdenTrust DST Root CA X3" caducará el 30/09/2021, que debe reemplazarse por la "IdenTrust Commercial Root CA 1"

    CA raíz que caduca el 30 de septiembre de 2021

    expire root

    DST-Root-CA-X3-Certificate

    Solución

    Elimine la antigua CA raíz Acme del almacén de confianza de Expressway E y actualice los últimos certificados raíz

    Descargar enlaces: (copiar y pegar)

    https://letsencrypt.org/certs/isrgrootx1.pem

    https://letsencrypt.org/certs/lets-encrypt-r3.pem

    Para estar en un lugar más seguro, asegúrese de actualizar el navegador

    Cómo actualizar el certificado raíz en los servidores de Expressway

    Vaya a Mantenimiento > Seguridad > Certificado de CA de confianza.

    upload on Exp E

    Haga clic en Examinar y elija el certificado descargado (mencionado anteriormente en este documento).

    Haga clic en Agregar certificado de CA después de seleccionar el archivo

    Choose Root certificates

    Validar después de actualizar los certificados en el almacén de confianza.

    validate

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    30-Sep-2021
    Segunda versión
    1.0
    29-Sep-2021
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Vikram Dutta
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco