O que fazer no Expressway em DST Root CA X3 Certificate Expiration em 30 de setembro de 2021

Opções de download

  • PDF     (715.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (756.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (508.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:30 de setembro de 2021
ID do documento:217415

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction


    Este documento descreve como substituir o CA X3 raiz de Horário de Verão, que expira em 30 de setembro de 2021. Isso significa que os dispositivos mais antigos que não confiam no "IdenTrust DST Root CA X3" começarão a receber avisos de certificado e as negociações de TLS serão interrompidas.Em 30 de setembro de 2021, haverá uma mudança na forma como os produtos mais antigos confiam nos certificados Vamos criptografar.

    Componentes Utilizados


    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco Expressway x12.6

    Informações de Apoio

    • Os certificados CA com assinatura cruzada são usados por novas CAs públicas, de modo que os dispositivos existentes possam confiar em seus certificados por meio de um certificado CA existente que geralmente está disponível.
    • Quando o certificado CA "ISRG Root X1" foi emitido pela primeira vez em junho de 2015, a maioria dos dispositivos ainda não tinha esse certificado em seu armazenamento confiável, então eles tinham seu certificado CA "ISRG Root X1" assinado pelo certificado CA "DST Root CA X3" confiável que estava em circulação desde 30 de setembro de 2000.
    • Agora que a maioria dos dispositivos deve confiar no certificado de CA raiz "ISRG Root X1", devemos ser capazes de atualizar facilmente a cadeia de CA sem a necessidade de regenerar o certificado do servidor.

    - Por exemplo, a Cisco não adicionou o certificado de CA autoassinado "ISRG Root X1" ao nosso pacote de armazenamento de confiança intersect até agosto de 2019, mas a maioria dos nossos dispositivos mais antigos ainda podia confiar facilmente em certificados emitidos pelo certificado de AC "ISRG Root X1" assinado conjuntamente porque todos confiavam no certificado de AC raiz "DST Root CA X3".

    • Isso é importante porque os telefones IP e o software de endpoints CE provavelmente não terão o certificado CA autoassinado "ISRG Root X1" em seu repositório confiável incorporado, portanto, queremos ter certeza de que os telefones IP estejam em 12.7+ e que os endpoints CE estejam em CE9.8.2+ ou CE9.9.0+ para garantir que eles confiem na "raiz ISRG Root X1" Certificado CA. Links de referência abaixo

    https://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cuipph/all_models/ca-list/CA-Trust-List.pdf

    https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/dx/series/admin/1024/DX00_BK_C12F3FF5_00_cisco-dx-series-ag1024/DX00_BK_C12F3FF5_00_cisco-dx-series-ag1024_appendix_01111.html


    Problema

    A raiz "IdenTrust DST Root CA X3" expirando em 30/09/2021, que deve ser substituída por "IdenTrust Commercial Root CA 1"

    CA raiz expirando em 30 de setembro de 2021

    expire root

    DST-Root-CA-X3-Certificate

    Solução

    Exclua a CA raiz Acme antiga do repositório confiável do Expressway E e atualize os certificados raiz mais recentes

    Baixar links: (copiar e colar)

    https://letsencrypt.org/certs/isrgrootx1.pem

    https://letsencrypt.org/certs/lets-encrypt-r3.pem

    Apenas para estar no lado seguro certifique-se de que o navegador esteja atualizado

    Como atualizar o certificado raiz em servidores Expressway

    Navegue até Manutenção > Segurança > Certificado CA confiável.

    upload on Exp E

    Clique em Procurar e escolha o certificado baixado (mencionado acima neste documento).

    Clique em Anexar certificado CA depois de escolher o arquivo

    Choose Root certificates

    Validar após a atualização dos certificados no repositório de confiança.

    validate

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    30-Sep-2021
    Segunda versão
    1.0
    29-Sep-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Vikram Dutta
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco