Update DNS Umbrella Certificaat om te werken in oktober 2024

Downloadopties

  • PDF     (272.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (85.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (76.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 oktober 2024
Document-id:222467

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u de DNS-Umbrella-kwestie kunt oplossen wanneer SD-WAN-routers het verlopen certificaat gebruiken in plaats van het nieuwe.

    Achtergrondinformatie

    Het digitale certificaat dat door Cisco Catalyst SD-WAN routers wordt gebruikt om te registreren met behulp van de API Key/Secret-verificatiemethode met Cisco Umbrella DNS is verlopen op 30 september 2024. Cisco SD-WAN routers met het verlopen certificaat kunnen niet worden geregistreerd bij de Cisco Umbrella DNS-service. Dit probleem is niet van toepassing op de Token-gebaseerde verificatie voor de Umbrella DNS-registratie.

    Raadpleeg het verlopen van het Cisco Umbrella DNS-certificaat op 30 september 2024 in melding uit het veld FN74166 voor meer informatie.

    Betrokken SD-WAN-apparaten met een verlopen CA-certificaat van de umbrella root kunnen geen beveiligde verbindingen tot stand brengen met Cisco Umbrella DNS voor apparaatregistratie.  Aangezien het apparaat niet is geregistreerd bij Umbrella DNS Service, worden DNS-verzoeken van eindgebruikers niet doorgestuurd naar de Umbrella domeinserver door SD-WAN edge voor DNS Security Policy Enforcement. Het DNS verzoek van de eindgebruikers achter de SD-WAN rand zal niet worden gelaten vallen en wordt onderhouden door de DNS domeinserver die op de eindgebruikerapparaten wordt gevormd.

    Informatie over defecten

    Het certificaat is bijgewerkt als deel van Cisco bug-id CSCwi43360 : Vervaldatum Cert op september 2024 voor DNS-beveiligingsregistratie naar Umbrella cloud.  (vast in 17.9.6, 17.12.4 en 17.15.1a)

    Zelfs als het certificaat wordt bijgewerkt, kan de SSL-handdruk niet worden vastgesteld, wat wordt geadresseerd als deel van Cisco bug-id CSCwm73365 : SSL-handdruk mislukt ondanks umbrella_root_ca.ca waarbij het laatste certificaat op het apparaat aanwezig is. (vast onder 17.6.8a)

    Vaste release

    CCO-releases

    Release

    17.6.8 bis.


    SPECIALE TECHNISCHE RELEASES

    Release 17 09 05 a) 0,51
    Release 17.12.04.0.31

    Herstelmatrix

    releases

    Cisco aanbevolen herstelstappen

    17,3,x/17,4,x/17,5,x

    Volg de stappen in rubriek 1. Cisco-apparaten waarop Cisco IOS XE-softwarerelease 17.5.x of hoger wordt uitgevoerd in de controllermodus  

    17.6.1-17.6.7, 17.7.x, 17.8.x

    Volg de stappen in rubriek 2. Cisco-apparaten waarop Cisco IOS XE-softwarerelease 17.6.x tot 17.8.x wordt uitgevoerd in controllermodus  

    17.6.8 bis.

    De Umbrella DNS Cert verloopkwestie is vastgelegd in deze release.

    17.9.1 - 17.9.4, 17.10.x, 17.11.x, 17.12.1 - 17.12.2, 17.13.x, 17.14.x, 17.15.1a

    Gebruik Umbrella DNS Cert Script voor geautomatiseerde certificaatkopie naar de Edge-apparaten. Raadpleeg het leesmij-bestand op de GIT voor de stappen die u moet gebruiken voor het uitvoeren van het script.

    17.9.5 bis.

    Volg de stappen in rubriek 3  

    17.9.6

    Volg de stappen in rubriek 4  

    17.12.3 bis.

    Volg de stappen in rubriek 5  

    17.12.4

    Volg de stappen in paragraaf 6  

    1. Cisco-apparaten waarop Cisco IOS XE-softwarerelease 17.5.x of hoger wordt uitgevoerd in de controllermodus

    Gebruik de herstelopties om het nieuwe Umbrella RootCA certificaat te installeren.

    Geautomatiseerd

    1. Gebruik voor SD-WAN Manager 20.9.1 of hoger het Umbrella DNS Cert-script voor geautomatiseerde certificaatkopie naar de randapparaten van vManager.
    2. Umbrela DNS Cert Script  
    3. Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.
    4. Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien.

    Handmatig

    1. Download het nieuwe verlopen certificaat van de website van het nieuwe Umbrella-certificaat en plaats het op een apparaat dat toegang heeft tot de betrokken router(s) in de SD-WAN-overlay. 
    2. Voer de opdracht Linux scp of een soortgelijk mechanisme in om een beveiligde kopie van het bestand uit te voeren van het downloadapparaat naar elke betrokken router.

      Voorbeeld:

      scp ./isrgrootx1.pem <gebruikersnaam>@<EdgeIP>:trustidrootx3_ca.ca

      Vervang <gebruikersnaam> door een beheerder en <EdgeIP> door het IP-adres van de betreffende router.

    3. Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien.

    2. Cisco-apparaten waarop Cisco IOS XE-softwarerelease 17.6.x tot 17.8.x wordt uitgevoerd in controllermodus

    Gebruik de herstelopties om het nieuwe Umbrella RootCA certificaat te installeren.

    Geautomatiseerd

    1. Gebruik voor SD-WAN Manager 20.9.1 of hoger het Umbrella DNS Cert-script voor geautomatiseerde certificaatkopie naar de randapparaten van vManager.
    2. Umbrella DNS Cert Script  
    3. Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.
    4. Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien.

    Handmatig

    1. Download het nieuwe verlopen certificaat van de website van het nieuwe Umbrella-certificaat en plaats het op een apparaat dat toegang heeft tot de betrokken router(s) in de SD-WAN-overlay.
    2. Voer de opdracht SCP van Linux of een soortgelijk mechanisme in om een beveiligde kopie van het bestand uit te voeren van het downloadapparaat naar elke betrokken router.

      Voorbeeld:

      scp ./isrgrootx1.pem admin@<EdgeIP>:trustidrootx3_ca_092024.ca

      Vervang <EdgeIP> door het IP-adres van de betreffende router.

    3. Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien

    3. Cisco-apparaten waarop Cisco IOS XE-softwarerelease 17.9.5a wordt uitgevoerd in controllermodus

    Gebruik de herstelopties om het nieuwe Umbrella RootCA certificaat te installeren zoals uitgelegd in deze sectie, voor de meeste platforms is er een HOT SMU beschikbaar met de fix. U hebt ook de optie om het genoemde Script uit te voeren om het nieuwe Umbrella RootCA certificaat te installeren.

    1. De HETE SMU is op deze platforms van toepassing - "Hitless/Aanbevolen SMU, SSL handdruk ontbreekt ondanks umbrella_root_ca.ca met recentste certificaat die op het apparaat aanwezig zijn":

    4431 geïntegreerde services router
    4451-X geïntegreerde services router

    ASR 1001-X router
    Virtuele routers
    4331 geïntegreerde services router
    4221 geïntegreerde services router
    4351 geïntegreerde services router
    Catalyst 8500L Edge-platform
    ASR 1001-HX router
    4321 geïntegreerde services router

    Catalyst 8500 Edge-platform

    4461 geïntegreerde services router

    1. Als alternatief voor SMU, voer het script Umbrella DNS Cert Script uit Verwijs naar het leesme bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.

    Alleen scriptoptie voor:
    ASR 1002-X router

    Catalyst 3800 Edge-platform

    ISR 1000 Series met Cisco IOS XE SD-WAN

    4. Cisco-apparaten waarop Cisco IOS XE-softwarerelease 17.9.6 wordt uitgevoerd in controllermodus

    1. De HOT SMU is van toepassing op deze platforms - "Hitless/Aanbevolen SMU, SSL handdruk mislukt ondanks umbrella_root_ca.ca met de nieuwste certificaat aanwezig op het apparaat":

    4221 geïntegreerde services router
    4321 geïntegreerde services router
    4451-X geïntegreerde services router
    Catalyst 8500 Edge-platform
    4431 geïntegreerde services router
    Virtuele routers
    4461 geïntegreerde services router
    4331 geïntegreerde services router
    4351 geïntegreerde services router
    ASR 1001-HX router
    ASR 1001-X router
    Catalyst 8500L Edge-platform

    Catalyst 1101 robuuste router

    Catalyst IR1831 robuuste router
    Catalyst IR1821 robuuste router
    Catalyst IR1833 robuuste router
    Catalyst IR1835 robuuste router

    1. Als alternatief voor SMU, voer het script Umbrella DNS Cert Script uit Verwijs naar het leesme bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.

    Alleen scriptoptie voor:

    ASR 1002-X router

    Catalyst 3800 Edge-platform

    ISR 1000 Series met Cisco IOS XE SD-WAN

    5. Cisco-apparaten die Cisco IOS XE-softwarerelease 17.12.3a zijn in controllermodus

    1. De HOT SMU is van toepassing op deze platforms - "Hitless/Aanbevolen SMU, SSL handdruk mislukt ondanks umbrella_root_ca.ca met de nieuwste certificaat aanwezig op het apparaat":

    4221 geïntegreerde services router
    Catalyst 3800 Edge-platform
    4331 geïntegreerde services router
    4461 geïntegreerde services router
    1100 geïntegreerde services router
    4351 geïntegreerde services router
    4321 geïntegreerde services router
    4431 geïntegreerde services router
    Virtuele routers
    4451-X geïntegreerde services router

    Catalyst 8500L Edge-platform
    Catalyst 8500 Edge-platform
    ASR 1001-HX router

    2. Alternatief voor SMU, voer het script Umbrella DNS Cert Script uit

    Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.

    6. Cisco-apparaten waarop Cisco IOS XE-softwarerelease 17.12.4 in controllermodus wordt uitgevoerd

    1. De HOT SMU is van toepassing op deze platforms - "Hitless/Aanbevolen SMU, SSL handdruk mislukt ondanks umbrella_root_ca.ca met de nieuwste certificaat aanwezig op het apparaat":  

    Catalyst 8500 Edge-platform
    ASR 1001-HX router
    4331 geïntegreerde services router
    4321 geïntegreerde services router
    4221 geïntegreerde services router
    Virtuele routers
    4351 geïntegreerde services router
    4451-X geïntegreerde services router
    4461 geïntegreerde services router
    Catalyst 3800 Edge-platform
    ASR 1002-HX router
    4431 geïntegreerde services router

    1100 geïntegreerde services router

    Catalyst 8500L Edge-platform

    Catalyst IR1833 robuuste router
    Catalyst IR1835 robuuste router
    Catalyst IR1831 robuuste router
    Catalyst IR1821 robuuste router

    1. Het alternatief voor SMU is om het script Umbrella DNS Cert Script uit te voeren Verwijs naar het leesme bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.

    Waarschuwing: Umbrella DNS-registraties van de apparaten blijven werken zolang er geen reboot van het apparaat of geen nieuwe registraties. 

    Waarschuwing: als de parapluconfiguratie is verwijderd en opnieuw wordt toegepast, wordt de herregistratie van de paraplu-DNS geactiveerd. Zolang dit proces niet wordt gevolgd, functioneert de paraplu DNS goed.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    14-Oct-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Ankur Kamlesh Soni
      Cisco Software Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten