Mise à jour du certificat CA racine Cisco Webex le 31/03/2021

Introduction

Ce document décrit comment Cisco Webex va passer à une nouvelle autorité de certification, IdenTrust Commercial Root CA 1. Les clients qui utilisent Expressway pour se connecter à des réunions Webex, ou l’un des connecteurs qui utilisent Expressway, doivent télécharger le nouveau certificat sur leurs périphériques Expressway avant le 31 décembre 2021.

Composants utilisés

Les informations contenues dans ce document sont basées sur Video Communication Server (VCS)-Expressway ou Expressway.

Problème

Si les certificats d’autorité de certification racine ne sont pas téléchargés sur Expressway truststore, la négociation TLS avec Webex peut échouer pour ces déploiements :

• Vous utilisez des terminaux pour vous connecter à la plate-forme vidéo Cisco Webex via un VCS-Expressway ou un Expressway Edge. Vous devez ajouter le nouveau certificat dans le magasin racine de confiance du VCS ou de l’Expressway.
• Vous utilisez un connecteur ou un service hybride sur un coeur VCS-Control ou Expressway et n’avez pas opté pour la gestion des certificats cloud. Vous devez ajouter le nouveau certificat dans le magasin racine de confiance du VCS.

• Vous utilisez Cisco Webex Edge Audio via un VCS-Expressway ou un Expressway Edge. Vous devez ajouter le certificat dans le magasin racine de confiance du VCS ou d’Expressway.
• Mise à jour du 23/03/2021 : les clients qui utilisent la gestion des certificats cloud ne verront pas le nouveau certificat IdenTrust dans leur liste de certificats actuellement. Le certificat Quovadis existant (O=QuoVadis Limited, CN=QuoVadis Root CA 2) est toujours valide. Le certificat IdenTrust sera mis à la disposition de Cloud Certificate Management à une date à définir ultérieure. Les clients qui utilisent la gestion des certificats cloud ne subiront aucune interruption de service suite à cette annonce et n'auront pas besoin de prendre de mesures pour le moment.

• Vous avez restreint l'accès aux URL pour la vérification des listes de révocation de certificats. Vous devez autoriser les clients Webex à accéder à la liste de révocation de certificats hébergée sur http://validation.identrust.com/crl/hydrantidcao1.crl.
  Cisco a également ajouté *.identrust.com à la liste des URL qui doivent être autorisées pour la vérification de certificat.
• Vous n'utilisez pas les magasins de certificats de confiance par défaut pour vos systèmes d'exploitation. Vous devez ajouter le certificat dans votre magasin racine approuvé. Ce certificat est contenu par défaut dans le magasin d'approbation par défaut de tous les principaux systèmes d'exploitation.

Solution

Ces étapes sont également expliquées dans la mise à jour du certificat CA racine Cisco Webex de mars 2021 pour la vidéo Expressway.

Afin de télécharger le nouveau certificat sur un VCS-Control, un VCS-Expressway, un Expressway-Core et un Expressway Edge, complétez ces étapes.

Étape 1 : Téléchargez l'autorité de certification commerciale racine IdenTrust 1 et enregistrez-la sous le nom identrust_RootCA1.pem ou identrust_RootCA1.cer.

a. Accédez à IdenTrust Commercial Root CA 1.

b. Copiez le texte à l'intérieur de la zone.

c. Enregistrez le texte sur le Bloc-notes et enregistrez le fichier. Nommez le fichier identrust_RootCA1.pem ou identrust_RootCA1.cer.

Sur tous vos périphériques Expressway, choisissez Maintenance > Security > Trusted CA Certificate.

Étape 2 : Téléchargez le fichier sur Expressway Trust Store.

a. Afin de télécharger le certificat CA sur Expressway Trust Store, cliquez sur Ajouter un certificat CA.

b. Cliquez sur Parcourir. Téléchargez le fichier identrust_RootCA1.pem ou identrust_RootCA1.cer. Ajoutez le certificat CA.

Étape 3 : vérifiez que le certificat a bien été téléchargé et qu’il est présent dans le VCS / Expressway Trust Store.

Aucun redémarrage ou redémarrage n'est requis après cette opération pour que les modifications prennent effet.