Aggiornare il certificato DNS Umbrella per il funzionamento a ottobre 2024

Opzioni per il download

  • PDF     (272.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (86.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (78.3 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:14 ottobre 2024
ID documento:222467

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come risolvere il problema DNS Umbrella in cui i router SD-WAN utilizzano il certificato scaduto anziché quello nuovo.

    Premesse

    Il certificato digitale utilizzato dai router Cisco Catalyst SD-WAN per la registrazione con il metodo di autenticazione API Key/Secret con Cisco Umbrella DNS è scaduto il 30 settembre 2024. I router Cisco SD-WAN con il certificato scaduto non riusciranno a registrarsi nel servizio DNS Cisco Umbrella. Questo problema non si applica all'autenticazione basata su token per la registrazione di Umbrella DNS.

    Per ulteriori informazioni, fare riferimento alla scadenza del certificato Cisco Umbrella DNS il 30 settembre 2024 nella notifica sul campo FN74166.

    I dispositivi SD-WAN interessati con certificato CA radice ombrello scaduto non possono stabilire connessioni sicure con il DNS Cisco Umbrella per la registrazione del dispositivo.  Poiché il dispositivo non è registrato con il servizio DNS Umbrella, le richieste DNS dell'utente finale non vengono reindirizzate al server di dominio Umbrella da SD-WAN Edge per l'applicazione dei criteri di sicurezza DNS. La richiesta DNS proveniente dagli utenti finali dietro il perimetro SD-WAN non verrà eliminata e verrà servita dal server di dominio DNS configurato sui dispositivi degli utenti finali.

    Informazioni sui difetti

    Il certificato è stato aggiornato come parte dell'ID bug Cisco CSCwi43360 : scadenza del certificato nel settembre 2024 per la registrazione della sicurezza DNS nel cloud Umbrella.  (fissata in 17.9.6, 17.12.4, 17.15.1a)

    Anche se il certificato è stato aggiornato, l'handshake SSL non viene stabilito e il problema è risolto nell'ID bug Cisco CSCwm73365 : handshake SSL non riuscito nonostante umbrella_root_ca.ca con il certificato più recente presente nel dispositivo. (risolto nella release 17.6.8a)

    Fisso rilasciato

    Versioni CCO

    Release

    17.6.8 bis


    Release tecniche speciali, o ES (Engineering Special)

    Release 17.09.05a.0.51
    Release 17.12.04.0.31

    Matrice di correzione

    Releases

    Fasi consigliate per la risoluzione dei problemi da parte di Cisco

    17.3.x/17.4.x/17.5.x

    Attenersi alla procedura descritta nella sezione 1. Dispositivi Cisco con software Cisco IOS XE versione 17.5.x o precedente in modalità controller  

    17.6.1-17.6.7, 17.7.x, 17.8.x

    Attenersi alla procedura descritta nella sezione 2. Dispositivi Cisco con software Cisco IOS XE versione 17.6.x a 17.8.x in modalità controller  

    17.6.8 bis

    Il problema relativo alla scadenza del certificato DNS Umbrella è risolto in questa release.

    17.9.1 - 17.9.4, 17.10.x, 17.11.x, 17.12.1-17.12.2, 17.13.x, 17.14.x, 17.15.1a

    Usa script certificato DNS Umbrella per la copia automatica dei certificati nei dispositivi Edge. Fare riferimento al file Leggimi sul GIT per i passaggi da utilizzare per l'esecuzione dello script.

    17.9.5 bis

    Seguire le istruzioni della sezione 3  

    17.9.6

    Seguire le istruzioni della sezione 4  

    17.12.3a

    Seguire le istruzioni della sezione 5  

    17.12.4

    Seguire le istruzioni della sezione 6  

    1. Dispositivi Cisco con software Cisco IOS XE versione 17.5.x o precedente in modalità controller

    Utilizzare le opzioni di correzione per installare il nuovo certificato Umbrella RootCA.

    Automazione

    1. Per SD-WAN Manager 20.9.1 o versione successiva utilizzare lo script Umbrella DNS Cert per la copia automatizzata dei certificati sui dispositivi periferici da vManage.
    2. Script certificato DNS Umbrella  
    3. Fare riferimento al file Leggimi sul GIT per i passaggi dettagliati per l'utilizzo dello script.
    4. Dopo aver copiato il certificato RootCA nel dispositivo, ricaricare il router per completare il processo di installazione.

    Manuale

    1. Scaricare il nuovo certificato non scaduto dal sito Web New Umbrella Certificate e collocarlo su un dispositivo che abbia accesso ai router interessati nella sovrapposizione SD-WAN. 
    2. Immettere il comando Linux scp o un meccanismo simile per eseguire una copia protetta del file dal dispositivo di download su ciascun router interessato.

      Ad esempio:

      scp ./isrgrootx1.pem <Nome utente>@<EdgeIP>:trustidrootx3_ca.ca

      Sostituire <Username> con un utente admin e <EdgeIP> con l'indirizzo IP del router interessato.

    3. Dopo aver copiato il certificato RootCA nel dispositivo, ricaricare il router per completare il processo di installazione.

    2. Dispositivi Cisco con software Cisco IOS XE versione 17.6.x-17.8.x in modalità controller

    Utilizzare le opzioni di correzione per installare il nuovo certificato Umbrella RootCA.

    Automazione

    1. Per SD-WAN Manager 20.9.1 o versione successiva utilizzare lo script Umbrella DNS Cert per la copia automatizzata dei certificati sui dispositivi periferici da vManage.
    2. Script certificato DNS Umbrella  
    3. Fare riferimento al file Leggimi sul GIT per i passaggi dettagliati per l'utilizzo dello script.
    4. Dopo aver copiato il certificato RootCA nel dispositivo, ricaricare il router per completare il processo di installazione.

    Manuale

    1. Scaricare il nuovo certificato non scaduto dal sito Web New Umbrella Certificate e collocarlo su un dispositivo che abbia accesso ai router interessati nella sovrapposizione SD-WAN.
    2. Immettere il comando Linux scp o un meccanismo simile per eseguire una copia protetta del file dal dispositivo di download su ciascun router interessato.

      Ad esempio:

      scp ./isrgrootx1.pem admin@<EdgeIP>:trustidrootx3_ca_092024.ca

      Sostituire <EdgeIP> con l'indirizzo IP del router interessato.

    3. Dopo aver copiato il certificato RootCA nel dispositivo, ricaricare il router per completare il processo di installazione

    3. Dispositivi Cisco con software Cisco IOS XE versione 17.9.5a in modalità controller

    Utilizzare le opzioni di correzione per installare il nuovo certificato Umbrella RootCA come spiegato in questa sezione, per la maggior parte delle piattaforme è disponibile un HOT SMU con la correzione. È inoltre possibile eseguire lo script indicato per installare il nuovo certificato Umbrella RootCA.

    1. L'utilità HOT SMU si applica a queste piattaforme: "Hitless/Recommended SMU, SSL handshake fail while umbrella_root_ca.ca with most certificate that are presence on the device" :

    4431 Integrated Services Router
    4451-X Integrated Services Router

    ASR 1001-X Router
    Router virtuali
    4331 Integrated Services Router
    4221 Integrated Services Router
    4351 Integrated Services Router
    Catalyst 8500L Edge Platform
    ASR 1001-HX Router
    4321 Integrated Services Router

    Catalyst 8500 Edge Platform

    4461 Integrated Services Router

    1. In alternativa alla SMU, eseguire lo script Umbrella DNS Cert Script Fare riferimento al file Leggimi sul GIT per i passaggi dettagliati per utilizzare lo script.

    Opzione Solo script per:
    ASR 1002-X Router

    Catalyst 8300 Edge Platform

    ISR serie 1000 con Cisco IOS XE SD-WAN

    4. Dispositivi Cisco con software Cisco IOS XE versione 17.9.6 in modalità controller

    1. La SMU HOT si applica a queste piattaforme: "Hitless/Recommended SMU, SSL handshake fail while umbrella_root_ca.ca with last certificate that are presence on the device" (L'handshake SSL non riesce nonostante il dispositivo sia presente in umbrella_root_ca.ca con il certificato più recente):

    4221 Integrated Services Router
    4321 Integrated Services Router
    4451-X Integrated Services Router
    Catalyst 8500 Edge Platform
    4431 Integrated Services Router
    Router virtuali
    4461 Integrated Services Router
    4331 Integrated Services Router
    4351 Integrated Services Router
    ASR 1001-HX Router
    ASR 1001-X Router
    Catalyst 8500L Edge Platform

    Catalyst 1101 Rugged Router

    Catalyst IR1831 Rugged Router
    Catalyst IR1821 Rugged Router
    Catalyst IR1833 Rugged Router
    Catalyst IR1835 Rugged Router

    1. In alternativa alla SMU, eseguire lo script Umbrella DNS Cert Script Fare riferimento al file Leggimi sul GIT per i passaggi dettagliati per utilizzare lo script.

    Opzione Solo script per:

    ASR 1002-X Router

    Catalyst 8300 Edge Platform

    ISR serie 1000 con Cisco IOS XE SD-WAN

    5. Dispositivi Cisco con software Cisco IOS XE versione 17.12.3a in modalità controller

    1. La SMU HOT si applica a queste piattaforme: "Hitless/Recommended SMU, SSL handshake fail while umbrella_root_ca.ca with last certificate that are presence on the device" (L'handshake SSL non riesce nonostante il dispositivo sia presente in umbrella_root_ca.ca con il certificato più recente):

    4221 Integrated Services Router
    Catalyst 8300 Edge Platform
    4331 Integrated Services Router
    4461 Integrated Services Router
    1100 Integrated Services Router
    4351 Integrated Services Router
    4321 Integrated Services Router
    4431 Integrated Services Router
    Router virtuali
    4451-X Integrated Services Router

    Catalyst 8500L Edge Platform
    Catalyst 8500 Edge Platform
    ASR 1001-HX Router

    2. In alternativa alla SMU, eseguire lo script Umbrella DNS Cert Script

    Fare riferimento al file Leggimi sul GIT per i passaggi dettagliati per l'utilizzo dello script.

    6. Dispositivi Cisco con software Cisco IOS XE versione 17.12.4 in modalità controller

    1. La SMU HOT si applica a queste piattaforme: "Hitless/Recommended SMU, SSL handshake fail while umbrella_root_ca.ca with last certificate that are presence on the device" (L'handshake SSL non riesce nonostante il dispositivo sia presente in umbrella_root_ca.ca con il certificato più recente):  

    Catalyst 8500 Edge Platform
    ASR 1001-HX Router
    4331 Integrated Services Router
    4321 Integrated Services Router
    4221 Integrated Services Router
    Router virtuali
    4351 Integrated Services Router
    4451-X Integrated Services Router
    4461 Integrated Services Router
    Catalyst 8300 Edge Platform
    ASR 1002-HX Router
    4431 Integrated Services Router

    1100 Integrated Services Router

    Catalyst 8500L Edge Platform

    Catalyst IR1833 Rugged Router
    Catalyst IR1835 Rugged Router
    Catalyst IR1831 Rugged Router
    Catalyst IR1821 Rugged Router

    1. L'alternativa alla SMU è l'esecuzione dello script Umbrella DNS Cert Script Fare riferimento al file Leggimi sul GIT per i passaggi dettagliati per utilizzare lo script.

    Attenzione: le registrazioni DNS Umbrella dai dispositivi continuano a funzionare finché non viene riavviato il dispositivo o non vengono effettuate nuove registrazioni. 

    Attenzione: se la configurazione dell'ombrello viene rimossa e riapplicata, viene attivata la nuova registrazione del DNS dell'ombrello. Finché questo processo non viene seguito, il DNS ombrello funziona correttamente.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    14-Oct-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Ankur Kamlesh Soni
      Cisco Software Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti