Que faire sur Expressway sur DST Root CA X3 Expiration du certificat le 30 septembre 2021

Options de téléchargement

  • PDF     (716.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (755.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (507.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:30 septembre 2021
ID du document:217415

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction


    Ce document décrit comment remplacer DST Root CA X3 qui doit expirer le 30 septembre 2021. Cela signifie que les périphériques plus anciens qui ne font pas confiance à IdenTrust DST Root CA X3 commenceront à recevoir des avertissements de certificat et les négociations TLS seront interrompues.Le 30 septembre 2021, il y aura un changement dans la façon dont les anciens logiciels et périphériques font confiance aux certificats Encrypt.

    Components Used


    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco Expressway x12.6

    Informations générales

    • Les certificats d'autorité de certification cosignés sont utilisés par les nouvelles autorités de certification publiques, afin que les périphériques existants puissent faire confiance à leurs certificats via un certificat d'autorité de certification existant généralement disponible.
    • Lorsque le certificat d’autorité de certification ” ISRG Root X1 a été émis pour la première fois en juin 2015, la plupart des périphériques n’avaient pas encore ce certificat dans leur magasin de fiducie, de sorte qu’ils avaient leur certificat d’autorité de certification “ ISRG Root X1 ” cosigné par le certificat d’autorité de certification “ DST Root CA X3, qui était en circulation depuis le 30 septembre 20000.
    • Maintenant que la plupart des périphériques doivent faire confiance au certificat d'autorité de certification racine “ ISRG Root X1 ” racine, nous devons être en mesure de mettre à jour facilement la chaîne d'autorité de certification sans avoir besoin de régénérer le certificat du serveur.

    - Par exemple, Cisco n'a pas ajouté le certificat d'autorité de certification ” autosigné ISRG Root X1 “ à notre bundle de magasin d'approbation d'intersection avant août 2019, mais la plupart de nos périphériques plus anciens pouvaient encore facilement faire confiance aux certificats émis par le certificat d'autorité de certification ” racine X1 “ ISRG signé croisé car ils faisaient tous confiance au certificat d'autorité de certification racine X3 racine “ DST Root X3.

    • Ceci est important car les téléphones IP et le logiciel CE Endpoints ne disposeront probablement pas du certificat CA ” autosigné “ ISRG Root X1 dans leur magasin de confiance intégré. Nous voulons donc nous assurer que les téléphones IP sont sur 12.7+ et que les terminaux CE sont sur CE9.8.2+ ou CE9.9.0+ afin de nous assurer qu'ils font confiance au certificat CA racine “ ISRG Root X1 ”. .. Liens de référence ci-dessous

    https://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cuipph/all_models/ca-list/CA-Trust-List.pdf

    https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/dx/series/admin/1024/DX00_BK_C12F3FF5_00_cisco-dx-series-ag1024/DX00_BK_C12F3FF5_00_cisco-dx-series-ag1024_appendix_01111.html


    Problème

    La racine « IdenTrust DST Root CA X3 » expirant le 30/09/2021, qui doit être remplacée par « IdenTrust Commercial Root CA 1 »

    CA racine expirant le 30 septembre 2021

    expire root

    DST-Root-CA-X3-Certificate

    Solution

    Supprimer l’ancienne autorité de certification racine Acme du magasin de confiance Expressway E et mettre à jour les derniers certificats racine

    Télécharger les liens : (copier-coller)

    https://letsencrypt.org/certs/isrgrootx1.pem

    https://letsencrypt.org/certs/lets-encrypt-r3.pem

    Pour être plus sûr, assurez-vous que le navigateur est mis à jour

    Comment mettre à jour le certificat racine sur les serveurs Expressway

    Naviguez jusqu’à Maintenance > Security > Trusted CA certificate.

    upload on Exp E

    Cliquez sur Parcourir et choisissez le certificat téléchargé (mentionné ci-dessus dans ce document).

    Cliquez sur Ajouter un certificat CA après avoir choisi le fichier

    Choose Root certificates

    Valider après la mise à jour des certificats dans le magasin d'approbation.

    validate

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    30-Sep-2021
    Deuxième version
    1.0
    29-Sep-2021
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Vikram Dutta
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco