2021年9月30日のDSTルートCA X3証明書の有効期限に関するExpresswayでの対処方法

ダウンロード オプション

  • PDF     (762.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (751.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (503.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2021 年 9 月 30 日
Document ID:217415

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要


    このドキュメントでは、2021年9月30日に期限切れになるように設定されているDSTルートCA X3を交換する方法について説明します。つまり、「Identrust DSTルートCA X3」を信頼していない古いデバイスは証明書の警告を受け取り始め、TLSネゴシエーションが失敗します。2021年9月30日に、古いソフトウェアとデバイスが証明書を信頼する変更されます。

    使用するコンポーネント


    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Cisco Expressway x12.6

    背景説明

    • クロス署名CA証明書は新しいパブリックCAによって使用されるため、既存のデバイスは、一般的に利用可能な既存のCA証明書を使用して証明書を信頼できます。
    • 「ISRGルートX1」CA証明書を暗号化する2015年6月に初めて発行された場合、ほとんどのデバイスは信頼ストアにその証明書を持っていなかったため、発行後に十分に信頼された「DSTルートCA X3」CA証明書によって証明書にを署名しました2000年9月30日。
    • ほとんどのデバイスが「ISRG Root X1」ルートCA証明書を信頼するようになったので、サーバ証明書を再生成する必要なく、CAチェーンを簡単に更新できます。

    – たとえば、シスコは2019年8月まで「ISRG Root X1」自己署名CA証明書をintersect trust storeバンドルに追加していませんでしたが、古いデバイスの多くは、すべてのDST Root CA X3」ルートCAを信頼しているため、簡単に証明書をを信頼できます証明書。

    • IP PhoneとCE Endpointsソフトウェアの組み込み信頼ストアには「ISRG Root X1」自己署名CA証明書が存在しない可能性が高いため、IP Phoneが12.7+上にあり、CE9.8.2+またはCE9.9.0+上にあることを確認しますrg Root X1" root CA証明書。以下の参照リンク

    https://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cuipph/all_models/ca-list/CA-Trust-List.pdf

    https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/dx/series/admin/1024/DX00_BK_C12F3FF5_00_cisco-dx-series-ag1024/DX00_BK_C12F3FF5_00_cisco-dx-series-ag1024_appendix_01111.html


    問題

    9/30/2021で期限切れになる「Identrust DST Root CA X3」ルート。これは「Identrust Commercial Root CA 1」に置き換える必要があります。

    2021年9月30日に期限切れになるルートCA

    expire root

    DST-Root-CA-X3-Certificate

    解決方法

    Expressway E信頼ストアから古いAcmeルートCAを削除し、最新のルート証明書を更新します

    ダウンロードリンク:(コピー&ペースト)

    https://letsencrypt.org/certs/isrgrootx1.pem

    https://letsencrypt.org/certs/lets-encrypt-r3.pem

    安全な側にいるために、ブラウザが更新されていることを確認します

    Expresswayサーバのルート証明書を更新する方法

    [メンテナンス(Maintenance)] > [セキュリティ(Security)] > [信頼済み CA 証明書(Trusted CA certificate)] に移動します。

    upload on Exp E

    [Browse]をクリックし、ダウンロードした証明書(このドキュメントで前述)を選択します。

    ファイルを選択したら、[Append CA certificate]をクリックします

    Choose Root certificates

    信頼ストアの証明書の更新後に検証します。

    validate

    更新履歴

    改定 発行日 コメント
    2.0
    30-Sep-2021
    第2リリース
    1.0
    29-Sep-2021
    初版
    TAC Authored

    シスコ エンジニア提供

    • Vikram Dutta
      Cisco TAC Engineer

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ