2020년 1월 1일 IOS 자체 서명 인증서 만료

소개

이 문서에서는 Cisco 소프트웨어 시스템에서 SSC(Self-Signed Certificate)가 만료되어 발생하는 오류에 대해 설명하고 해결 방법을 제공합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• SSC(자체 서명 인증서)
• Cisco IOS® 버전 12.x 이상

사용되는 구성 요소

구성 요소는 SSC 만료의 영향을 받는 소프트웨어 시스템입니다.

자체 서명 인증서를 사용하거나, Cisco 버그 ID CSCvi48253 수정이 없거나, SSC 생성 시 Cisco 버그 ID CSCvi48253 수정이 없는 모든 Cisco IOS 및 Cisco IOS XE 시스템 여기에는 다음 항목이 포함됩니다.

• 모든 Cisco IOS 12.x
• 모든 Cisco IOS 15.x 15.6(3)M7, 15.7(3)M5, 15.8(3)M3, 15.9(3)M 이전
• 모든 Cisco IOS XE 16.9.1 이전

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경

참고: 이 문서에는 추가 컨텍스트, 예, 업데이트 및 Q&A와 함께 FN40789의 내용이 포함되어 있습니다.

2020년 1월 1일 UTC의 00:00에 Cisco IOS 및 Cisco IOS XE 시스템에서 생성된 모든 SSC(Self-Signed Certificates)가 만료되도록 설정되었습니다. 단, SSC가 생성될 때 시스템에서 Cisco IOS 및 Cisco IOS XE의 고정 버전을 실행한 경우는 예외입니다. 그 이후에는 수정되지 않은 Cisco IOS 시스템에서 새 SSC를 생성할 수 없습니다. 보안 연결을 설정하거나 종료하기 위해 이러한 자체 서명 인증서를 사용하는 모든 서비스는 인증서가 만료된 후 작동하지 않습니다.

이 문제는 Cisco IOS 또는 Cisco IOS XE 디바이스에서 생성되어 디바이스의 서비스에 적용된 자체 서명 인증서에만 영향을 줍니다. Cisco IOS CA(Certificate Authority) 기능에 의해 생성된 인증서가 포함된 CA에서 생성된 인증서는 이 문제의 영향을 받지 않습니다.

Cisco IOS 및 Cisco IOS XE 소프트웨어의 특정 기능은 암호화 ID 검증을 위해 디지털 서명 X.509 인증서를 사용합니다. 이러한 인증서는 외부 서드파티 CA에 의해 생성되거나 Cisco IOS 또는 Cisco IOS XE 디바이스 자체에서 자체 서명 인증서로 생성됩니다. 영향을 받는 Cisco IOS 및 Cisco IOS XE 소프트웨어 릴리스는 자체 서명 인증서 만료 날짜를 2020-01-01 00:00:00 UTC로 설정합니다. 이 날짜 이후에 인증서가 만료되어 유효하지 않습니다.

자체 서명 인증서를 사용할 수 있는 서비스는 다음과 같습니다.

일반 기능

• HTTP Server over TLS (HTTPS) - HTTPS는 브라우저에 인증서가 만료 되었음을 나타내는 오류를 생성합니다.
• SSH 서버 - X.509 인증서를 사용하여 SSH 세션을 인증하는 사용자는 인증에 실패할 수 있습니다. (X.509 인증서는 거의 사용되지 않습니다. 사용자 이름/비밀번호 인증 및 공개/개인 키 인증은 영향을 받지 않습니다.
• RESTCONF - RESTCONF 연결이 실패할 수 있습니다.

협업 기능

• SIP(Session Initiation Protocol) over TLS
• 암호화된 신호 처리가 활성화된 Cisco CME(Unified Communications Manager Express)
• 암호화된 신호 처리가 활성화된 Cisco Unified SRST(Survivable Remote Site Telephony)
• Cisco IOS란 dspfarm 암호화된 신호 처리가 활성화된 리소스(컨퍼런스, 미디어 종료 지점 또는 트랜스코딩)
• 암호화된 시그널링으로 구성된 SCCP(Skinny Client Control Protocol) STCAPP(Telephony Control Application) 포트
• MGCP(Media Gateway Control Protocol) 및 H.323 사전 공유 키 없이 IPSec(Call Signaling over IP Security)
• 보안 모드의 Cisco Unified Communications Gateway Services API(HTTPS 사용)

무선 기능

• 이전 Cisco IOS 액세스 포인트(2005년 이전 제품)와 무선 LAN 컨트롤러 간의 LWAPP/CAPWAP 연결 자세한 내용은 Cisco Field Notice FN63942를 참조하십시오.

문제

2020-01-01 00:00:00 UTC 이후 영향을 받는 Cisco IOS 또는 Cisco IOS XE 소프트웨어 릴리스에서 자체 서명 인증서를 생성하려고 하면 다음 오류가 발생합니다.

../cert-c/source/certobj.c(535) : E_VALIDITY : validity period start later than end

자체 서명 인증서를 사용하는 모든 서비스는 작동하지 않습니다. 예를 들면 다음과 같습니다.

• SIP over TLS 호출이 완료되지 않습니다.
• 암호화된 신호 처리가 활성화된 상태에서 Cisco Unified CME에 등록된 디바이스는 더 이상 작동하지 않습니다.
• 암호화된 신호 처리가 활성화된 Cisco Unified SRST에서는 디바이스의 등록을 허용하지 않습니다.
• 암호화된 신호 처리가 활성화된 Cisco IOS dspfarm 리소스(컨퍼런스, 미디어 종료 지점 또는 트랜스코딩)는 더 이상 등록되지 않습니다.
• 암호화된 시그널링으로 구성된 STCAPP 포트는 더 이상 등록되지 않습니다.
• MGCP 또는 H.323에서 사전 공유 키 없이 IPSec을 통한 통화 신호 처리를 수행하는 게이트웨이를 통한 호출은 실패할 수 있습니다.
• 보안 모드(HTTPS 사용)에서 Cisco Unified Communications Gateway Services API를 사용하는 API 호출은 실패할 수 있습니다.
• RESTCONF가 실패할 수 있습니다.
• 디바이스를 관리하기 위한 HTTPS 세션에는 인증서가 만료되었음을 나타내는 브라우저 경고가 표시됩니다.
• AnyConnect SSL VPN 세션이 유효하지 않은 인증서를 설정하거나 보고하지 못합니다.
• IPSec 연결을 설정하지 못할 수 있습니다.

영향을 받는 제품을 식별하는 방법

참고: 이 필드 알림의 영향을 받으려면 디바이스에 자체 서명 인증서가 정의되어 있어야 하며 아래 설명된 대로 하나 이상의 기능에 자체 서명 인증서를 적용해야 합니다. 자체 서명 인증서만 있으면 인증서가 만료될 때 디바이스의 작업에 영향을 주지 않으며 즉각적인 조치가 필요하지 않습니다. 영향을 받는 디바이스는 아래의 3단계와 4단계의 기준을 모두 충족해야 합니다.

자체 서명 인증서를 사용하는지 확인하려면

1. 다음을 입력합니다. show running-config | begin crypto 명령을 사용합니다.

2. crypto PKI trust-point 컨피그레이션을 찾습니다.

3. crypto PKI trust-point 컨피그레이션에서 trust-point enrollment 컨피그레이션을 찾습니다. "자체 서명"을 적용하려면 신뢰 지점 등록을 구성해야 합니다. 또한 자체 서명 인증서도 컨피그레이션에 나타나야 합니다. 신뢰 지점 이름에는 다음 예에 표시된 대로 "자체 서명"이라는 단어가 포함되지 않습니다.

   crypto pki trust-point TP-self-signed-XXXXXXXX
     enrollment selfsigned
     subject-name cn=IOS-Self-Signed-Certificate-662415686   revocation-check none   
   rsakeypair TP-self-signed-662415686 ! ! crypto pki certificate chain TP-self-signed-XXXXXXXX certificate self-signed 01  
   3082032E 31840216 A0030201 02024101 300D0609 2A864886 F70D0101 05050030   30312E30 2C060355 04031325 494A531D 53656C66 
   2D536967 6E65642D 43657274   ...   ECA15D69 11970A66 252D34DC 760294A6 D1EA2329 F76EB905 6A5153C9 24F2958F   
   D19BFB22 9F89EE23 02D22D9D 2186B1A1 5AD4

   
   

   신뢰 지점 등록이 "셀프 서명됨"에 대해 구성되지 않은 경우, 이 필드 알림의 영향을 받지 않습니다. 추가 작업은 필요하지 않습니다.

   신뢰 지점 등록이 "셀프 서명됨"에 대해 구성되어 있고 셀프 서명된 인증서가 컨피그레이션에 표시되는 경우, 이 필드 알림의 영향을 받을 수 있습니다. 4단계로 이동합니다.

4. 3단계에서 신뢰 지점 등록이 "자체 서명됨"에 대해 구성되어 있고 자체 서명된 인증서가 컨피그레이션에 나타나는 경우, 자체 서명된 인증서가 디바이스의 기능에 적용되는지 확인합니다.

   SSC에 연결할 수 있는 다양한 기능은 다음 샘플 컨피그레이션에 나와 있습니다.

• HTTPS 서버의 경우 다음 텍스트가 있어야 합니다.
  
  

  ip http secure-server

또한 다음 코드 예제와 같이 신뢰 지점을 정의할 수도 있습니다. 이 명령이 없으면 기본 동작은 자체 서명 인증서를 사용하는 것입니다.

ip http secure-trust-point TP-self-signed-XXXXXXXX

신뢰 지점이 정의되고 자체 서명 인증서가 아닌 인증서를 가리키는 경우 영향을 받지 않습니다.

HTTPS 서버의 경우 자체 서명 인증서가 웹 브라우저에서 이미 신뢰할 수 없고 만료되지 않은 경우에도 경고를 생성하기 때문에 만료된 인증서의 영향은 미미합니다. 만료된 인증서가 있으면 브라우저에서 수신하는 경고를 변경할 수 있습니다.

• SIP over TLS의 경우 이 텍스트는 컨피그레이션 파일에 있습니다.

  voice service voip
   sip
    session transport tcp tls
  !
  sip-ua
  crypto signaling default trust-point <self-signed-trust-point-name>
  ! or
  crypto signaling remote-addr a.b.c.d /nn trust-point <self-signed-trust-point-name>
  !

• 암호화된 신호가 활성화된 Cisco Unified CME의 경우 이 텍스트가 컨피그레이션 파일에 있습니다.

telephony-service
 secure-signaling trust-point <self-signed-trust-point-name>
 tftp-server-credentials trust-point <self-signed-trust-point-name>

• 암호화된 신호가 활성화된 Cisco Unified SRST의 경우 이 텍스트는 구성 파일에 있습니다.

  credentials
   trust-point <self-signed-trust-point-name>
  

• 대상 Cisco IOS란 dspfarm 자원암호화된 신호 처리가 활성화된 의 경우(컨퍼런스, 미디어 종료 지점 또는 트랜스코딩) 이 텍스트는 컨피그레이션 파일에 있습니다.

  dspfarm profile 1 conference security
  trust-point <self-signed-trust-point-name>
  !
  dspfarm profile 2 mtp security
  trust-point <self-signed-trust-point-name>
  !
  dspfarm profile 3 transcode security
   trust-point <self-signed-trust-point-name>
  !
  sccp ccm 127.0.0.1 identifier 1 priority 1 version 7.0 trust-point <self-signed-trust-point-name>
  !

• 암호화된 신호로 구성된 STCAPP 포트의 경우 이 텍스트는 컨피그레이션 파일에 있습니다.

  stcapp security trust-point <self-signed-trust-point-name>
  stcapp security mode encrypted

• 보안 모드의 Cisco Unified Communications Gateway Services API의 경우 이 텍스트는 구성 파일에 있습니다.

  uc secure-wsapi
  ip http secure-server
  ip http secure-trust-point TP-self-signed-XXXXXXXX

• SSLVPN의 경우 이 텍스트는 구성 파일에 있습니다.

  webvpn gateway <gw name>
   ssl trust-point TP-self-signed-XXXXXXXX
  
  OR
  
  crypto ssl policy <policy-name>
    pki trust-point <trust-point-name> sign

• ISAKMP 및 IKEv2의 경우 컨피그레이션이 있는 경우 자체 서명 인증서를 사용할 수 있습니다(이 기능에서 다른 인증서에 대해 자체 서명 인증서를 사용하는지 확인하려면 컨피그레이션을 추가로 분석해야 함).

  crypto isakmp policy <number>
   authentication pre-share | rsa-encr < NOT either of these
  !
  crypto ikev2 profile <prof name>
   authentication local rsa-sig
   pki trust-point TP-self-signed-xxxxxx
  !
  crypto isakmp profile <prof name>
   ca trust-point TP-self-signed-xxxxxx

• SSH 서버의 경우 인증서를 사용하여 SSH 세션을 인증할 수 있는 가능성은 극히 낮습니다. 그러나 컨피그레이션을 확인하여 이를 확인할 수 있습니다. 영향을 받으려면 다음 코드 예제에 표시된 세 행이 모두 표시되어야 합니다. 

  참고: 사용자 이름과 비밀번호를 조합하여 디바이스에 SSH를 사용한 경우 영향을 받지 않습니다.

  ip ssh server certificate profile
   ! Certificate used by server 
   server
    trust-point sign TP-self-signed-xxxxxx

• RESTCONF의 경우 이 텍스트는 구성 파일에 있습니다.

  restconf
  ! And one of the following
  ip http secure-trust-point TP-self-signed-XXXXXXXXX
  ! OR
  ip http client secure-trust-point TP-self-signed-XXXXXXXX

솔루션

해결 방법은 Cisco IOS 또는 Cisco IOS XE 소프트웨어를 다음 수정 사항이 포함된 릴리스로 업그레이드하는 것입니다.

• Cisco IOS XE 소프트웨어 릴리스 16.9.1 이상
• Cisco IOS Software 릴리스 15.6(3)M7 이상, 15.7(3)M5 이상 또는 15.8(3)M3 이상

소프트웨어를 업그레이드한 후에는 자체 서명 인증서를 다시 생성하고 해당 신뢰 저장소에 인증서가 필요한 모든 디바이스로 내보내야 합니다.

즉각적인 소프트웨어 업그레이드가 불가능한 경우 다음과 같은 세 가지 해결 방법을 사용할 수 있습니다.

1. 서드파티 CA(Certificate Authority)에서 유효한 인증서를 가져옵니다.
2. Cisco IOS CA 서버를 사용하여 새 인증서를 생성합니다.
3. OpenSSL을 사용하여 새 자체 서명 인증서를 생성합니다.

1. 타사 CA(Certificate Authority)로부터 유효한 인증서를 가져옵니다.

인증 기관에서 인증서를 설치합니다. 공통 CA: Comodo, Let's 암호화, RapidSSL, Thawte, Sectigo, GeoTrust, Symantec 등이 있습니다. 이 방법을 사용하면 Cisco IOS에서 인증서 요청을 생성하여 표시합니다. 그런 다음 관리자가 요청을 복사하여 타사 CA에 제출하고 결과를 검색합니다.

참고: CA를 사용하여 인증서를 서명하는 것이 보안 모범 사례로 간주됩니다. 이 절차는 이 필드 알림의 해결 방법으로 제공됩니다. 그러나 이 해결 방법을 적용한 후에도 자체 서명 인증서를 사용하는 것보다 서드파티 CA 서명 인증서를 사용하는 것이 좋습니다.

서드파티 CA에서 인증서를 설치하려면

1. CSR(Certificate Signing Request) 생성:

   Router#configure terminal
   Enter configuration commands, one per line. End with CNTL/Z.
   Router(config)#crypto pki trustpoint TEST
   Router(ca-trustpoint)#enrollment term pem
   Router(ca-trustpoint)#subject-name CN=TEST
   Router(ca-trustpoint)#revocation-check none
   Router(ca-trustpoint)#rsakeypair TEST
   Router(ca-trustpoint)#exit
   Router(config)#crypto pki enroll TEST
      % Start certificate enrollment ..
      % The subject name in the certificate will include: CN=TEST
      % The subject name in the certificate will include: Router.cisco.com
      % The serial number in the certificate will be: FTX1234ABCD
      % Include an IP address in the subject name? [no]: n
      Display Certificate Request to terminal? [yes/no]: yes
      Certificate Request follows:
   
      -----BEGIN CERTIFICATE REQUEST-----
   A Base64 Certificate is displayed here. Copy it, along with the ---BEGIN and ---END lines.
      -----END CERTIFICATE REQUEST-----
   
      ---End - This line not part of the certificate request---

2. 타사 CA에 CSR을 제출합니다.

참고: CSR을 서드파티 CA에 제출하고, 사용되는 CA에 따라 결과가 달라지는 인증서를 검색하는 절차. 이 단계를 수행하는 방법에 대한 지침은 CA의 설명서를 참조하십시오.

3. CA 인증서와 함께 라우터의 새 ID 인증서를 다운로드합니다.

4. 장치에 CA 인증서를 설치합니다.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#crypto pki auth TEST
	
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
	
-----BEGIN CERTIFICATE-----
REMOVED
-----END CERTIFICATE-----
	
Certificate has the following attributes:
   Fingerprint MD5: 79D15A9F C7EB4882 83AC50AC 7B0FC625
   Fingerprint SHA1: 0A80CC2C 9C779D20 9071E790 B82421DE B47E9006
	   
% Do you accept this certificate? [yes/no]: yes
trust-point CA certificate accepted.
% Certificate successfully imported
	

5. 장치에 ID 인증서를 설치합니다.

Router(config)#crypto pki import TEST certificate
	
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
	
-----BEGIN CERTIFICATE-----
REMOVED
-----END CERTIFICATE-----
	
% Router Certificate successfully imported

2. Cisco IOS CA 서버를 사용하여 새 인증서 생성

로컬 Cisco IOS Certificate Authority 서버를 사용하여 새 인증서를 생성하고 서명합니다.

참고:로컬 CA 서버 기능은 일부 제품에서 사용할 수 없습니다.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#ip http server
Router(config)#crypto pki server IOS-CA
Router(cs-server)#grant auto
Router(cs-server)#database level complete
Router(cs-server)#no shut
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key
% or type Return to exit
Password: 
    
     
     
 Re-enter password: 
      
      
% Generating 1024 bit RSA keys, keys will be non-exportable... 
      
[OK] (elapsed time was 1 seconds) 
      
 % Certificate Server enabled. 
      
    

Router#show crypto pki server IOS-CA Certificates
Serial Issued date Expire date Subject Name
1 21:31:40 EST Jan 1 2020 21:31:40 EST Dec 31 2022 cn=IOS-CA

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#crypto pki trustpoint TEST
Router(ca-trustpoint)#enrollment url http:// 
     
       :80 
          <<<< Replace 
    
    
      with the IP address of an interface on the router 
     
Router(ca-trustpoint)# 
     subject-name CN=TEST 
     
Router(ca-trustpoint)# 
     revocation-check none 
     
Router(ca-trustpoint)# 
     rsakeypair TEST 
     
Router(ca-trustpoint)# 
     exit 
     
 Router# 
     configure terminal 
     
Enter configuration commands, one per line.  End with CNTL/Z. 
     
Router(config)# 
     crypto pki auth TEST 
     
Certificate has the following attributes: 
     
Fingerprint MD5: C281D9A0 337659CB D1B03AA6 11BD6E40 
     
Fingerprint SHA1: 1779C425 3DCEE86D 2B11C880 D92361D6 8E2B71FF 
     
 % Do you accept this certificate? [yes/no]: 
     yes 
     
Trustpoint CA certificate accepted. 
     
 Router(config)# 
     crypto pki enroll TEST 
     
% 
     
% Start certificate enrollment .. 
     
% Create a challenge password. You will need to verbally provide this 
     
password to the CA Administrator in order to revoke your certificate. 
     
For security reasons your password will not be saved in the configuration. 
     
Please take note of it. 
     
 Password: 
      
      
Re-enter password: 
       
       
 % The subject name in the certificate will include: CN=TEST 
       
% The subject name in the certificate will include: Router.cisco.com 
       
% Include the router serial number in the subject name? [yes/no]: yes 
       
% The serial number in the certificate will be: FTX1234ABCD 
       
% Include an IP address in the subject name? [no]: no 
       
 Request certificate from CA? [yes/no]: 
       yes 
       
 % Certificate request sent to Certificate Authority 
       
% The 'show crypto pki certificate verbose TEST' command will show the fingerprint 
       
      
    

3. OpenSSL을 사용하여 새 자체 서명 인증서 생성

OpenSSL을 사용하여 PKCS12 인증서 번들을 생성하고 번들을 Cisco IOS로 가져옵니다.

LINUX, UNIX 또는 MAC(OSX) 예

User@linux-box$ openssl req -newkey rsa:2048 -nodes -keyout tmp.key -x509 -days 4000 -out tmp.cer -subj
"/CN=SelfSignedCert" &> /dev/null && openssl pkcs12 -export -in tmp.cer -inkey tmp.key -out tmp.bin
-passout pass:Cisco123 && openssl pkcs12 -export -out certificate.pfx -password pass:Cisco123 -inkey
tmp.key -in tmp.cer && rm tmp.bin tmp.key tmp.cer && openssl base64 -in certificate.pfx

MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQIGnxm
t5r28FECAggAgIIDEKyw10smucdQGt1c0DdfYXwUo8BwaBnzQvN0ClawXNQln2bT
vrhus6LfRvVxBNPeQz2ADgLikGxatwV5EDgooM+IEucKDURGLEotaRrVU5Wk3EGM
mjC6Ko9OaM30vhAGEEXrk26cq+OWsEuF3qudggRYv2gIBcrJ2iUQNFsBIrvlGHRo
FphOTqhVaAPxZS7hOB30cK1tMKHOIa8EwygyBvQPfjjBT79QFgeexIJFmUtqYX/P

tT6r4SuibYKu6HV45ffjSzOimcJI+D9LKhLWR6pK/k5ge8v7aK9/rsVbjavbdy7b
CSqGSIb3DQEJFTEWBBS96DY/gRfN1dSx46P1EqjPvSYiETAxMCEwCQYFKw4DAhoF
AAQU+EX0kNvuNz6XmFxXER8wlqKTGvgECA+D+Z81uwafAgIIAA==

Cisco IOS 또는 Cisco IOS XE Router 예

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#crypto pki trustpoint TEST
Router(ca-trustpoint)#enrollment terminal
Router(ca-trustpoint)#revocation-check none
Router(ca-trustpoint)#exit

R1(config)#crypto pki import TEST pkcs12 terminal password Cisco123
Enter the base 64 encoded pkcs12.
End with a blank line or the word "quit" on a line by itself:
MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQItyCo
Vh05+0QCAggAgIIDENUWY+UeuY5sIRZuoBi2nEhdIPd1th/auBYtX79aXGiz/iEW

IY1l273y9bC3qPVJ0UGoQW8SGfarqEjaqxdAet66E5V6u9Yvd4oMsIYGsa70m+FN
CsUVj+ll5hzGjK78L0ycXWpH4gDOGYBVf+D7mgWqaqZvxYUoEkOrTMmW5zElMCMG
CSqGSIb3DQEJFTEWBBSgiBJIYpJLzo/GYN0sesZh3wGmPTAxMCEwCQYFKw4DAhoF
AAQUdeUrLIC2uo/mbyE86he5+qEjmPYECKu76GWaeKb7AgIIAA==
quit
 CRYPTO_PKI: Imported PKCS12 file successfully.

R1(config)#

4. 새 인증서가 설치되었는지 확인합니다

R1#show crypto pki certificates TEST
Load for five secs: 5%/1%; one minute: 2%; five minutes: 3%
Time source is SNTP, 15:04:37.593 UTC Mon Dec 16 2019
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 00A16966E46A435A99
  Certificate Usage: General Purpose
  Issuer:
    cn=SelfSignedCert
  Subject:
    cn=SelfSignedCert
  Validity Date:
    start date: 14:54:46 UTC Dec 16 2019
    end   date: 14:54:46 UTC Nov 28 2030

참고: 자체 서명 인증서는 00:00 1월 2020 UTC에 만료되며 그 이후에는 만들 수 없습니다.

질문과 대답

Q: 어떤 문제가 있습니까?

영향을 받는 Cisco IOS 또는 Cisco IOS XE 버전을 실행하는 제품에서 생성된 자체 서명 X.509 PKI 인증서가 01/01/2020 00:00:00 UTC에 만료됩니다. 새 자체 서명 인증서는 01/01/2020 00:00:00 UTC 이후에 영향을 받는 디바이스에서 생성할 수 없습니다. 이러한 자체 서명 인증서를 사용하는 모든 서비스는 인증서가 만료된 후 더 이상 작동하지 않습니다.

Q: 자체 서명 인증서가 해당 제품에 대해 만료될 경우 클라이언트 네트워크에 어떤 영향을 미칩니까?

자체 서명 인증서를 사용하는 영향을 받는 모든 제품의 기능은 인증서가 만료된 후 더 이상 작동하지 않습니다. 자세한 내용은 Field Notice를 참조하십시오.

Q: 이 문제가 영향을 받는지 어떻게 알 수 있습니까?

Field Notice(필드 알림)에서는 자체 서명 인증서를 사용하는지 여부와 컨피그레이션이 이 문제의 영향을 받는지 여부를 확인하는 지침을 제공합니다. Field Notice의 "How To Identify Affected Products(영향을 받는 제품을 식별하는 방법)" 섹션을 참조하십시오.

Q: 영향을 받았는지 확인하기 위해 실행할 수 있는 스크립트가 있습니까?

예. Cisco CLI Analyzer를 사용하여 시스템 진단 실행을 실행합니다. 인증서가 있고 해당 인증서가 사용되는 경우 알림을 표시할 수 있습니다. https://cway.cisco.com/cli/

Q. Cisco에서 이 문제에 대한 소프트웨어 수정을 제공했습니까?

예. Cisco는 이 문제에 대한 소프트웨어 수정 및 소프트웨어 업그레이드를 즉시 실행할 수 없는 경우의 해결 방법을 발표했습니다. 자세한 내용은 Field Notice를 참조하십시오.

Q: 이 문제는 인증서를 사용하는 모든 Cisco 제품에 영향을 줍니까?

아니요. 이 문제는 특정 버전의 Cisco IOS 또는 Cisco IOS XE에서 생성된 자체 서명 인증서를 제품의 서비스에 적용된 인증서와 함께 사용하는 제품에만 영향을 줍니다. CA(Certificate Authority)에서 생성한 인증서를 사용하는 제품은 이 문제의 영향을 받지 않습니다.

Q: Cisco 제품에서는 자체 서명 인증서만 사용합니까?

아닙니다. 외부 서드파티 CA 또는 Cisco IOS 또는 Cisco IOS XE 디바이스 자체에서 자체 서명 인증서로 인증서를 생성할 수 있습니다. 특정 사용자 요구 사항에 따라 자체 서명 인증서를 사용해야 할 수 있습니다. CA(Certificate Authority)에서 생성된 인증서는 이 문제의 영향을 받지 않습니다.

Q. 문제가 발생한 이유는 무엇입니까?

안타깝게도, 기술 공급업체의 최선의 노력에도 불구하고 소프트웨어 결함은 여전히 발생하고 있습니다. Cisco 기술에서 버그가 발견되면, Cisco는 투명성을 유지하고 사용자에게 네트워크를 보호하는 데 필요한 정보를 제공하기 위해 최선을 다하고 있습니다.

이 경우 문제가 되는 것은 영향을 받는 버전의 Cisco IOS 및 Cisco IOS XE에서 항상 자체 서명 인증서의 만료 날짜를 01/01/2020 00:00:00 UTC로 설정할 수 있는 알려진 소프트웨어 버그입니다. 이 날짜가 지나면 인증서가 만료되고 유효하지 않아 제품 기능에 영향을 줄 수 있습니다.

Q: 2020년 1월 1일의 만료 날짜가 왜 00:00:00 UTC가 선택되었습니까?

인증서에는 일반적으로 만료 날짜가 있습니다. 이 소프트웨어 버그의 경우, 2020년 1월 1일 날짜는 10년 전에 Cisco IOS 및 Cisco IOS XE 소프트웨어 개발 중에 사용되었으며 사람의 실수입니다.

Q: 이 문제의 영향을 받는 제품은 무엇입니까?

15.6(03)M07, 15.7(03)M05, 15.8(03)M03 및 15.9(03)M 이전 Cisco IOS 릴리스를 실행하는 모든 Cisco 제품과 16.9.1 이전 Cisco IOS XE 릴리스를 실행하는 모든 Cisco 제품

Q: 사용자는 어떻게 해야 합니까?

현장 알림을 검토하여 이 문제의 영향을 받았는지 여부를 평가하고, 영향을 받았다면 해결 방법/솔루션 지침을 참조하여 이 문제를 완화해야 합니다.

Q: 이 문제는 보안 취약성입니까?

아니요. 이는 보안 취약성이 아니며 제품의 무결성에 대한 위험도 없습니다.

Q: SSH가 영향을 받습니까?

아니요. SSH는 RSA 키 쌍을 사용하지만 드문 컨피그레이션을 제외하고 인증서를 사용하지 않습니다. Cisco IOS에서 인증서를 활용하려면 다음 컨피그레이션이 있어야 합니다.

ip ssh server certificate profile
   server
      trust-point sign TP-self-signed-xxxxxx

Q: 기존 Catalyst 2K, 3K, 4K, 6K 플랫폼에 사용할 수 있는 고정 버전은 무엇입니까?

Polaris 기반 플랫폼(3650/3850/Catalyst 9K 시리즈)의 경우 16.9.1 이상 버전에서 픽스를 사용할 수 있습니다.
CDB 플랫폼의 경우 15.2(7)E1a 이상 수정 가능

다른 기존 스위칭 플랫폼의 경우: 

커밋이 진행 중이지만 CCO 릴리스를 게시하지 않았습니다. 다음 CCO 릴리스에서는 이 문제를 해결할 수 있습니다.

그 사이에 가능한 다른 해결 방법 중 하나를 활용하십시오.

Q: WAAS가 영향을 받습니까?

WAAS는 계속해서 제대로 작동하고 트래픽을 최적화하지만 AppNav-XE와 Central Manager는 만료된 자체 서명 인증서가 있는 디바이스로 오프라인 상태가 되었습니다. 즉, AppNav 클러스터를 모니터링하거나 WAAS에 대한 정책을 변경할 수 없습니다. 요약하면, WAAS는 계속해서 제대로 작동하지만 인증서 문제가 해결될 때까지 관리와 모니터링이 일시 중단됩니다.   이 문제를 해결하려면 Cisco IOS에서 새 인증서를 생성한 다음 Central Manager로 가져와야 합니다.

관련 정보

• FN70489 필드 알림: FN - 70489 - Cisco IOS 및 Cisco IOS XE Software의 PKI 자체 서명 인증서 만료 참조
• Cisco 버그 ID CSCvi를 참조하십시오48253