Atualização do certificado da CA raiz do Cisco Webex em 31 de março de 2021

Introdução

Este documento descreve como o Cisco Webex será movido para uma nova Certificate Authority, IdenTrust Commercial Root CA 1. Os clientes que usam o Expressway para discar para reuniões Webex, ou um dos conectores que aproveitam o Expressway, devem carregar o novo certificado em seus dispositivos Expressway antes de 31 de março de 2021.

Componentes Utilizados

As informações neste documento são baseadas no Video Communication Server (VCS)-Expressway ou Expressway.

Problema

Se os certificados da CA raiz não forem carregados no armazenamento confiável do Expressway, a negociação TLS com o Webex poderá falhar para estas implantações:

• Você usa endpoints para se conectar à plataforma de vídeo Cisco Webex por meio de um VCS-Expressway ou Expressway Edge. Você deve adicionar o novo certificado ao Repositório raiz confiável do VCS ou Expressway.
• Você usa um Connector ou Hybrid Service em um VCS-Control ou Expressway Core e não optou pelo Gerenciamento de Certificado de Nuvem. Você deve adicionar o novo certificado ao Repositório raiz confiável do VCS.

• Você usa o Cisco Webex Edge Audio por meio de um VCS-Expressway ou Expressway Edge. Você deve adicionar o certificado ao armazenamento raiz confiável do VCS ou Expressway.
• Atualização de 23-03-2021: os clientes que aproveitam o Gerenciamento de Certificados em Nuvem não verão o novo certificado IdenTrust em sua lista de certificados atualmente. O certificado existente Quovadis (O=QuoVadis Limited, CN=QuoVadis Root CA 2) ainda é válido. O certificado IdenTrust se tornará disponível para o Gerenciamento de Certificados de Nuvem em um momento futuro a ser definido. Os clientes que utilizam o Gerenciamento de Certificados de Nuvem não sofrerão nenhuma interrupção de serviço como resultado deste anúncio e não precisam tomar nenhuma ação no momento.

• Você tem acesso restrito a URLs para verificar Listas de Certificados Revogados. Você deve permitir que os clientes Webex acessem a lista de revogação de certificados hospedada em http://validation.identrust.com/crl/hydrantidcao1.crl.
  A Cisco também adicionou o *.identrust.com à lista de URLs que devem ser permitidos para verificação de certificado.
• Você não usa os Repositórios de Certificados Confiáveis padrão para seus sistemas operacionais. Você deve adicionar o certificado ao seu armazenamento raiz confiável. Este certificado está contido no armazenamento confiável padrão de todos os principais sistemas operacionais por padrão.

Solução

Essas etapas também são explicadas na atualização do certificado de CA raiz do Cisco Webex de março de 2021 para o vídeo Expressway.

Para carregar o novo certificado em um VCS-Control, VCS-Expressway, Expressway-Core e Expressway Edge, conclua estas etapas.

Etapa 1: baixe a IdenTrust Commercial Root CA 1 e salve-a como identrust_RootCA1.pem ou identrust_RootCA1.cer.

a. Acesse IdenTrust Commercial Root CA 1.

b. Copie o texto dentro da caixa.

c. Salve o texto no Notepad e salve o arquivo. Nomeie o arquivo identrust_RootCA1.pem ou identrust_RootCA1.cer.

Em todos os seus dispositivos Expressway, escolha Manutenção > Segurança > Certificado de CA confiável.

Etapa 2: carregue o arquivo no Expressway Trust Store.

a. Para carregar o certificado CA no Expressway Trust Store, clique em Anexar certificado CA.

b. Clique em Browse. Carregue o arquivo identrust_RootCA1.pem ou identrust_RootCA1.cer. Anexar o certificado CA.

Etapa 3: verifique se o certificado foi carregado com êxito e se está presente no armazenamento confiável do VCS / Expressway.

Nenhuma reinicialização ou reinicialização é necessária após esta operação para que as alterações entrem em vigor.