Introduction
Ce document décrit les alertes d'expiration de certificat de l'autorité de certification personnalisée (CA) sur une passerelle de messagerie sécurisée Cisco (ESA) après la mise à niveau vers Async OS 14.x, ainsi qu'une solution de contournement.
Components Used
Les informations de ce document sont basées sur l'ESA exécutant Async OS 14.0 ou version ultérieure.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Au cours du processus de mise à niveau vers Async OS 14.x, les clients sont invités à confirmer s'ils souhaitent ajouter des certificats système plus anciens à la liste d'autorités de certification personnalisée. Ceci est également documenté dans les notes de version 14.0, comme le montre la capture d'écran ci-dessous, des notes de version complètes sont disponibles ici.
Problème
Après la mise à niveau vers 14.x, les certificats système plus anciens ajoutés à la liste personnalisée peuvent expirer et entraîner des alertes telles que ci-dessous.
26 juin 2021 11:27:29 -0400 Votre certificat « CA : Root CA Generalitat Valenciana » expirera dans 5 jours (s).
Ces alertes indiquent l'expiration des anciens certificats système qui ont été ajoutés à la liste personnalisée au moment de la mise à niveau ou à un certificat personnalisé précédemment utilisé qui approche de l'expiration.
Solution
Veuillez noter que les alertes relatives aux anciens certificats système de la liste personnalisée sont informatives et que vous pouvez choisir de les supprimer de la liste personnalisée ou de les laisser expirer.
Il s'agit d'un impact non lié au service, mais pour certains, une alerte indésirable doit être reçue.
Si vous voyez des alertes pour un certificat d'autorité de certification personnalisé requis par votre organisation et qui ne fait pas actuellement partie de la liste système, vous pouvez contacter l'autorité de certification en question pour obtenir un certificat mis à jour et le remplacer comme indiqué dans les guides de l'utilisateur final ici.
L'offre groupée de certificats de l'autorité de certification système est mise à jour automatiquement après la mise à niveau et périodiquement, l'expiration des certificats dans la liste personnalisée n'a pas d'incidence sur le fonctionnement des certificats dans la liste système.
Pour vérifier si la liste système et la liste personnalisée sont toutes deux activées, accédez à Réseau -> Certificats -> Autorités de certification : Modifier les paramètres
Vous pouvez également exporter les listes système et personnalisées à partir du même menu de navigation ou utiliser les commandes CLI certconfig -> certauthority pour consulter manuellement les certificats dans les deux listes, si nécessaire.
Si vous souhaitez supprimer le certificat générant des alertes dans la liste d'autorités de certification personnalisée, voici les étapes qu'un administrateur peut effectuer à l'aide de SSH sur l'appliance.
Note: Veuillez vérifier le nom/la position du certificat dans la liste personnalisée en fonction de l'alerte vue car elle peut différer de l'exemple de sortie vu ci-dessous.
example.com> certconfig
Choose the operation you want to perform:
- CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles
- CERTAUTHORITY - Manage System and Customized Authorities
- CRL - Manage Certificate Revocation Lists
[]> certauthority
Certificate Authority Summary
Custom List: Enabled
System List: Enabled
Choose the operation you want to perform:
- CUSTOM - Manage Custom Certificate Authorities
- SYSTEM - Manage System Certificate Authorities
[]> custom
Choose the operation you want to perform:
- DISABLE - Disable the custom certificate authorities list
- IMPORT - Import the list of custom certificate authorties
- EXPORT - Export the list of custom certificate authorties
- DELETE - Remove a certificate from the custom certificate authorty list
- PRINT - Print the list of custom certificate authorties
- CHECK_CA_FLAG - Check CA flag in uploaded custom CA certs
[]> delete
You must enter a value from 1 to 104.
1. [AAA Certificate Services]
2. [ANCERT Certificados CGN]
3. [ANCERT Certificados Notariales]
4. [ANCERT Corporaciones de Derecho Publico]
5. [Actalis Authentication Root CA]
6. [Admin-Root-CA]
7. [Agence Nationale de Certification Electronique]
8. [Agence Nationale de Certification Electronique]
9. [America Online Root Certification Authority 1]
10. [America Online Root Certification Authority 2]
11. [Autoridad Certificadora Raiz de la Secretaria de Economia]
12. [Autoridad de Certificacion de la Abogacia]
13. [Baltimore CyberTrust Root]
14. [COMODO Certification Authority]
15. [COMODO RSA Certification Authority]
16. [Certipost E-Trust TOP Root CA]
17. [Certum CA]
18. [Chambers of Commerce Root]
19. [Cisco Root CA 2048]
20. [ComSign Advanced Security CA]
21. [ComSign CA]
22. [ComSign Secured CA]
23. [Cybertrust Global Root]
24. [D-TRUST Root Class 2 CA 2007]
25. [D-TRUST Root Class 3 CA 2007]
26. [DST Root CA X3]
27. [DigiCert Assured ID Root CA]
28. [DigiCert Baltimore CA-2 G2]
29. [DigiCert Global Root CA]
30. [DigiCert Global Root G2]
31. [DigiCert High Assurance EV Root CA]
32. [E-CERT ROOT CA]
33. [Echoworx Root CA2]
34. [Entrust Root Certification Authority - G2]
35. [Entrust Root Certification Authority]
36. [GLOBALTRUST]
37. [GeoTrust Global CA]
38. [GeoTrust Primary Certification Authority - G2]
39. [GeoTrust Primary Certification Authority - G3]
40. [GeoTrust Primary Certification Authority]
41. [GeoTrust RSA CA 2018]
42. [GeoTrust SSL CA - G2]
43. [GeoTrust Universal CA 2]
44. [GeoTrust Universal CA]
45. [Global Chambersign Root]
46. [GlobalSign PersonalSign 2 CA - SHA256 - G3]
47. [GlobalSign Root CA]
48. [GlobalSign]
49. [GlobalSign]
50. [Go Daddy Root Certificate Authority - G2]
51. [Hongkong Post Root CA 1]
52. [HydrantID SSL ICA G2]
53. [InfoNotary CSP Root]
54. [NetLock Minositett Kozjegyzoi (Class QA) Tanusitvanykiado]
55. [Network Solutions Certificate Authority]
56. [OISTE WISeKey Global Root GA CA]
57. [Post. Trust Root CA]
58. [QuoVadis Root CA 2]
59. [Root CA Generalitat Valenciana] <<<<<<<<<<< Select this one based on sample alert above
60. [S-TRUST Authentication and Encryption Root CA 2005:PN]
61. [SSC Root CA A]
62. [SSC Root CA B]
63. [SSC Root CA C]
64. [Secure Global CA]
65. [SecureTrust CA]
66. [Serasa Certificate Authority III]
67. [Serasa Certificate Authority II]
68. [Serasa Certificate Authority I]
69. [Starfield Services Root Certificate Authority]
70. [SwissSign Gold CA - G2]
71. [SwissSign Platinum CA - G2]
72. [SwissSign Silver CA - G2]
73. [Swisscom Root CA 1]
74. [TC TrustCenter Class 2 CA II]
75. [TC TrustCenter Class 3 CA II]
76. [TC TrustCenter Class 4 CA II]
77. [TC TrustCenter Universal CA II]
78. [TC TrustCenter Universal CA I]
79. [TDC OCES CA]
80. [Trusted Certificate Services]
81. [UCA Global Root]
82. [UCA Root]
83. [USERTrust RSA Certification Authority]
84. [VAS Latvijas Pasts SSI(RCA)]
85. [VRK Gov. Root CA]
86. [VeriSign Class 3 Public Primary Certification Authority - G5]
87. [VeriSign Universal Root Certification Authority]
88. [Visa Information Delivery Root CA]
89. [Visa eCommerce Root]
90. [WellsSecure Public Root Certificate Authority]
91. [XRamp Global Certification Authority]
92. [thawte Primary Root CA - G3]
93. [thawte Primary Root CA]
Select the custom ca certificate you wish to delete
[]> 59
Are you sure you want to delete "Root CA Generalitat Valenciana"? [N]> Y
Custom ca certificate "Root CA Generalitat Valenciana" removed
Choose the operation you want to perform:
- DISABLE - Disable the custom certificate authorities list
- IMPORT - Import the list of custom certificate authorties
- EXPORT - Export the list of custom certificate authorties
- DELETE - Remove a certificate from the custom certificate authorty list
- PRINT - Print the list of custom certificate authorties
- CHECK_CA_FLAG - Check CA flag in uploaded custom CA certs
[]> [ENTER]
Certificate Authority Summary
Custom List: Enabled
System List: Enabled
Choose the operation you want to perform:
- CUSTOM - Manage Custom Certificate Authorities
- SYSTEM - Manage System Certificate Authorities
[]> [ENTER]
Choose the operation you want to perform:
- CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles
- CERTAUTHORITY - Manage System and Customized Authorities
- CRL - Manage Certificate Revocation Lists
[]> [ENTER]
example.com> commit
Please be sure to commit the change at the end.
Informations connexes