La modifica del certificato il 31 marzo 2021 influisce sulle licenze Smart su Expressways
Introduzione
Questo documento descrive in che modo la modifica del certificato del 31 marzo 2021 influisce su Smart Licensing on Expressways.
Cisco passa a una nuova Autorità di certificazione, IdenTrust Commercial Root CA 1 da marzo 2021. Se si utilizza Smart Licensing su Expressways, non caricare il nuovo certificato radice sui dispositivi Expressway prima del 31 marzo 2021. Se non viene caricata, la sincronizzazione della connessione tra Expressways e Cisco Smart Software Manager (CSSM) si interrompe.
Premesse
La CA radice 2 di QuoVadis Public Key Infrastructure (PKI) utilizzata dalla CCP per rilasciare certificati SSL è soggetta a un problema a livello di settore che influisce sulle capacità di revoca. A causa di questo problema, la QuoVadis Root CA 2 è smantellata il 2021-03-31. Nessun nuovo certificato è rilasciato per Cisco dalla QuoVadis Root CA 2 dopo il 2021-03-31.
I certificati rilasciati prima della CA radice QuoVadis CA 2 vengono smantellati e continuano a essere validi fino a quando non raggiungono la singola data di scadenza. Una volta scaduti, i certificati non vengono rinnovati e ciò potrebbe impedire a funzioni quali Smart Licensing di stabilire connessioni protette.
A partire dal 2021-04-01, la CA 1 principale commerciale di IdenTrust viene utilizzata per rilasciare certificati SSL precedentemente rilasciati dalla CA 2 principale di QuoVadis.
- Aggiornamento del 23 marzo 2021: i clienti che utilizzano Cloud Certificate Management non vedono il nuovo certificato IdenTrust nel loro elenco di certificati attualmente. Il certificato Quovadis esistente (O=QuoVadis Limited, CN=QuoVadis Root CA 2) è ancora valido. Il certificato IdenTrust sarà disponibile per la gestione dei certificati cloud in un futuro TBD. Se si utilizza Cloud Certificate Management, eventuali interruzioni del servizio come risultato di questo annuncio non vengono rilevate e non è necessario intraprendere alcuna azione in questo momento.
Problema
Per tutti i componenti di base e Edge di Expressways, alcuni certificati SSL (Secure Sockets Link) rilasciati dalla catena di attendibilità dell'Autorità di certificazione (CA) radice QuoVadis prima del 2021-03-31 non possono essere rinnovati da questa CA. Una volta scaduti tali certificati, funzioni quali Smart Licensing non riescono a stabilire connessioni sicure a Cisco e potrebbero non funzionare correttamente.
Sintomo
Le piattaforme interessate in Expressway Core e Edge non sono in grado di eseguire la registrazione con Smart Licensing ospitato da tools.cisco.com. Le licenze intelligenti potrebbero non essere idonee e risultare non conformi.
Soluzione
In questo video vengono anche spiegati i vari passaggi: https://video.cisco.com/video/6241489762001
Istruzioni su come caricare il nuovo certificato in Expressway-Core ed Expressway Edge:
Passaggio 1. Scaricare qui la CA 1 principale commerciale di IdenTrust e salvarla come identrust_RootCA1.pem O file cer.
1. Accedere al sito Web sopra indicato.
2. Copiare il testo nella casella.
3. Salvare il testo sul Blocco note e salvare il file. Assegnare al file il nome identrust_RootCA1.pem O identrust_RootCA1.cer
Su tutti i dispositivi Expressway, passare a Manutenzione > Protezione > Certificato CA attendibile.
Passaggio 2. Caricare il file nell'archivio attendibilità di Expressway.
Caricare il certificato CA nell'archivio di attendibilità di Expressway. Fare clic su Aggiungi CA.
Sfoglia > Carica identrust_RootCA1.pem > Aggiungi certificato CA.
Il certificato CA caricato può essere verificato di seguito.
Passaggio 3: Verificare che il certificato sia stato caricato correttamente e sia presente nell'archivio di attendibilità di VCS/Expressway
Dopo questa operazione non è necessario riavviare il sistema per rendere effettive le modifiche.
Per ulteriori informazioni, consultare questo avviso
Collegamento Notifica.
https://www.cisco.com/c/en/us/support/docs/field-notices/705/fn70557.html
Feedback