Atualize o certificado DNS Umbrella para funcionar em outubro de 2024
Contents
Introdução
Este documento descreve como resolver o problema do DNS Umbrella em que os roteadores SD-WAN usam o certificado expirado em vez do novo.
Informações de Apoio
O certificado digital usado pelos roteadores Cisco Catalyst SD-WAN para registro usando o método de autenticação Chave de API/Segredo com o DNS do Cisco Umbrella expirou em 30 de setembro de 2024. Os roteadores Cisco SD-WAN com o certificado expirado não serão registrados no serviço DNS do Cisco Umbrella. Esse problema não se aplica à autenticação baseada em token para o registro DNS do Umbrella.
Consulte o certificado DNS do Cisco Umbrella que expira em 30 de setembro de 2024, no Field Notice FN74166 para obter mais detalhes.
Os dispositivos SD-WAN afetados com certificado CA raiz do guarda-chuva expirado não podem estabelecer conexões seguras com o DNS do guarda-chuva da Cisco para o registro do dispositivo. Como o dispositivo não está registrado com o Serviço DNS do Umbrella, as solicitações DNS do usuário final não são redirecionadas para o servidor de domínio do Umbrella pela borda SD-WAN para aplicação da política de Segurança DNS. A solicitação DNS dos usuários finais por trás da borda da SD-WAN não será descartada e será atendida pelo servidor de domínio DNS configurado nos dispositivos do usuário final.
Informações do Defeito
O certificado foi atualizado como parte da ID de bug da Cisco CSCwi43360 
: Vencimento do certificado em setembro de 2024 para registro de Segurança DNS na nuvem Umbrella. (corrigido nas versões 17.9.6, 17.12.4, 17.15.1a)
Mesmo com o certificado sendo atualizado, o handshake SSL não é estabelecido, que é endereçado como parte da ID de bug Cisco CSCwm73365 : o handshake SSL falha apesar do umbrella_root_ca.ca com o certificado mais recente presente no dispositivo. (corrigido na seção 17.6.8a)
Versão Fixa
Versões do CCO
| Versão |
17.6.8 bis |
Versões especiais de engenharia
| Versão | 17.09.05a 0.51 |
| Versão | 17.12.04.0.31 |
Matriz de correção
| Versões |
Etapas de correção recomendadas pela Cisco |
| 17.3.x/17.4.x/17.5.x |
Siga as etapas na seção 1. Dispositivos Cisco executando o software Cisco IOS XE versão 17.5.x ou anterior no modo de controlador |
| 17.6.1-17.6.7, 17.7.x, 17.8.x |
Siga as etapas na seção 2. Dispositivos Cisco executando o Cisco IOS XE Software Release 17.6.x a 17.8.x no modo de controlador |
| 17.6.8 bis |
O problema de expiração do Umbrella DNS Cert foi corrigido nesta versão. |
| 17.9.1 - 17.9.4, 17.10.x, 17.11.x, 17.12.1-17.12.2, 17.13.x, 17.14.x, 17.15.1a |
Use o Script de Certificação DNS do Umbrella para fazer uma cópia automatizada do certificado para os dispositivos de Borda. Consulte o arquivo readme no GIT para ver as etapas a serem usadas para executar o script. |
| 17,9,5a |
Siga as etapas na seção 3 |
| 17.9.6 |
Siga as etapas na seção 4 |
| 17.12.3a |
Siga as etapas na seção 5 |
| 17.12.4 |
Siga as etapas na Seção 6 |
1. Dispositivos Cisco executando o software Cisco IOS XE versão 17.5.x ou anterior no modo controlador
Use as opções de remediação para instalar o novo certificado Umbrella RootCA.
Automatizado
- Para o SD-WAN Manager 20.9.1 ou superior, use o script Umbrella DNS Cert para cópia de certificado automatizada para os dispositivos de borda do vManage.
- Script de certificação DNS da Umbrela
- Consulte o arquivo readme no GIT para ver as etapas detalhadas de uso do script.
- Depois que o certificado RootCA for copiado para o dispositivo, recarregue o roteador para concluir o processo de instalação.
Manual
- Baixe o novo certificado não expirado do site New Umbrella Certificate e coloque-o em um dispositivo que tenha acesso ao(s) roteador(es) afetado(s) na sobreposição SD-WAN.
- Insira o comando scp do Linux ou um mecanismo semelhante para executar uma cópia segura do arquivo do dispositivo de download em cada roteador afetado.
Por exemplo:
scp ./isrgrootx1.pem <Username>@<EdgeIP>:trustidrootx3_ca.ca
Substitua <Username> por um usuário admin e <EdgeIP> pelo endereço IP do roteador afetado.
- Depois que o certificado RootCA for copiado para o dispositivo, recarregue o roteador para concluir o processo de instalação.
2. Dispositivos Cisco executando o software Cisco IOS XE versão 17.6.x a 17.8.x no modo de controlador
Use as opções de remediação para instalar o novo certificado Umbrella RootCA.
Automatizado
- Para o SD-WAN Manager 20.9.1 ou superior, use o script Umbrella DNS Cert para cópia de certificado automatizada para os dispositivos de borda do vManage.
- Script de certificação DNS Umbrella
- Consulte o arquivo readme no GIT para ver as etapas detalhadas de uso do script.
- Depois que o certificado RootCA for copiado para o dispositivo, recarregue o roteador para concluir o processo de instalação.
Manual
- Baixe o novo certificado não expirado do site New Umbrella Certificate e coloque-o em um dispositivo que tenha acesso ao(s) roteador(es) afetado(s) na sobreposição SD-WAN.
- Insira o comando Linux scp ou mecanismo semelhante para executar uma cópia segura do arquivo do dispositivo de download em cada roteador afetado.
Por exemplo:
scp ./isrgrootx1.pem admin@<IPdaBorda>:trustidrootx3_ca_092024.ca
Substitua <EdgeIP> pelo endereço IP do roteador afetado.
- Depois que o certificado RootCA for copiado para o dispositivo, recarregue o roteador para concluir o processo de instalação
3. Dispositivos Cisco executando o software Cisco IOS XE versão 17.9.5a no modo controlador
Use as opções de remediação para instalar o novo certificado Umbrella RootCA conforme explicado nesta seção, para a maioria das plataformas há um HOT SMU disponível com a correção. Você também tem a opção de executar o script mencionado para instalar o novo certificado Umbrella RootCA.
- O HOT SMU aplica-se a estas plataformas - "SMU malsucedida/recomendada, o handshake SSL falha apesar do umbrella_root_ca.ca com o certificado mais recente presente no dispositivo" :
Roteador de Serviços Integrados série 4431
Roteador de serviços integrados 4451-X
Roteador ASR 1001-X
Roteadores virtuais
Roteador de Serviços Integrados série 4331
Roteador de Serviços Integrados série 4221
Roteador de Serviços Integrados série 4351
Plataforma de borda Catalyst 8500L
Roteador ASR 1001-HX
Roteador de Serviços Integrados série 4321
Plataforma de borda Catalyst 8500
Roteador de Serviços Integrados série 4461
- Como alternativa ao SMU, execute o script Umbrella DNS Cert Script Consulte o arquivo readme no GIT para ver as etapas detalhadas de uso do script.
Opção Somente script para:
Roteador ASR1002-X
Plataforma de borda Catalyst 8300
ISR 1000 Series executando Cisco IOS XE SD-WAN
4. Dispositivos Cisco executando o software Cisco IOS XE versão 17.9.6 no modo controlador
- O HOT SMU aplica-se a estas plataformas - "Hitless/Recommended SMU, SSL handshake falha apesar de umbrella_root_ca.ca com certificado mais recente presente no dispositivo":
Roteador de Serviços Integrados série 4221
Roteador de Serviços Integrados série 4321
Roteador de serviços integrados 4451-X
Plataforma de borda Catalyst 8500
Roteador de Serviços Integrados série 4431
Roteadores virtuais
Roteador de Serviços Integrados série 4461
Roteador de Serviços Integrados série 4331
Roteador de Serviços Integrados série 4351
Roteador ASR 1001-HX
Roteador ASR 1001-X
Plataforma de borda Catalyst 8500L
Roteador robusto Catalyst 1101
Roteador robusto Catalyst IR1831
Roteador robusto Catalyst IR1821
Roteador robusto Catalyst IR1833
Roteador robusto Catalyst IR1835
- Como alternativa ao SMU, execute o script Umbrella DNS Cert Script Consulte o arquivo readme no GIT para ver as etapas detalhadas de uso do script.
Opção Somente script para:
Roteador ASR1002-X
Plataforma de borda Catalyst 8300
ISR 1000 Series executando Cisco IOS XE SD-WAN
5. Dispositivos Cisco que são Cisco IOS XE Software Release 17.12.3a no modo de controlador
- O HOT SMU aplica-se a estas plataformas - "Hitless/Recommended SMU, SSL handshake falha apesar de umbrella_root_ca.ca com certificado mais recente presente no dispositivo":
Roteador de Serviços Integrados série 4221
Plataforma de borda Catalyst 8300
Roteador de Serviços Integrados série 4331
Roteador de Serviços Integrados série 4461
Roteador de Serviços Integrados série 1100
Roteador de Serviços Integrados série 4351
Roteador de Serviços Integrados série 4321
Roteador de Serviços Integrados série 4431
Roteadores virtuais
Roteador de serviços integrados 4451-X
Plataforma de borda Catalyst 8500L
Plataforma de borda Catalyst 8500
Roteador ASR 1001-HX
2. Alternativa ao SMU, execute o script Umbrella DNS Cert Script
Consulte o arquivo readme no GIT para ver as etapas detalhadas de uso do script.
6. Dispositivos Cisco executando o software Cisco IOS XE versão 17.12.4 no modo controlador
- O HOT SMU aplica-se a estas plataformas - "Hitless/Recommended SMU, SSL handshake falha apesar de umbrella_root_ca.ca com certificado mais recente presente no dispositivo":
Plataforma de borda Catalyst 8500
Roteador ASR 1001-HX
Roteador de Serviços Integrados série 4331
Roteador de Serviços Integrados série 4321
Roteador de Serviços Integrados série 4221
Roteadores virtuais
Roteador de Serviços Integrados série 4351
Roteador de serviços integrados 4451-X
Roteador de Serviços Integrados série 4461
Plataforma de borda Catalyst 8300
Roteador ASR 1002-HX
Roteador de Serviços Integrados série 4431
Roteador de Serviços Integrados série 1100
Plataforma de borda Catalyst 8500L
Roteador robusto Catalyst IR1833
Roteador robusto Catalyst IR1835
Roteador robusto Catalyst IR1831
Roteador robusto Catalyst IR1821
- A alternativa ao SMU é executar o script Umbrella DNS Cert Script Consulte o arquivo readme no GIT para ver as etapas detalhadas de uso do script.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
14-Oct-2024 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)