2021-03-31上的思科Webex根CA证书更新

简介

本文档介绍Cisco Webex如何迁移到新的证书颁发机构IdenTrust Commercial Root CA 1。使用Expressway拨入Webex会议的客户，或使用Expressway的连接器之一，必须在2021-03-31之前将新证书上传到其Expressway设备。

使用的组件

本文档中的信息基于Video Communication Server(VCS)-Expressway或Expressway。

问题

如果未在Expressway信任库上上传根CA证书，则对于以下部署，与Webex的TLS协商可能会失败：

• 您使用终端通过VCS-Expressway或Expressway Edge连接到Cisco Webex视频平台。您必须将新证书添加到VCS或Expressway的受信任根存储中。
• 您在VCS-Control或Expressway核心上使用连接器或混合服务，但尚未选择云证书管理。您必须将新证书添加到VCS的受信任根存储中。

• 您可以通过VCS-Expressway或Expressway Edge使用Cisco Webex Edge音频。必须将证书添加到VCS或Expressway的受信任根存储中。
• 2021-03-23更新：利用云证书管理的客户当前在其证书列表中不会看到新的IdenTrust证书。现有的Quovadis(O=QuoVadis Limited，CN=QuoVadis Root CA 2)证书仍然有效。IdenTrust证书将在未来的TBD时间提供给云证书管理。使用云证书管理的客户不会因本公告而遇到任何服务中断，并且此时不需要采取任何措施。

• 您对用于检查证书撤销列表的URL具有受限访问权限。必须允许Webex客户端访问托管在http://validation.identrust.com/crl/hydrantidcao1.crl上的证书吊销列表。
  思科还将*.identrust.com添加到证书验证必须允许的URL列表中。
• 您不为操作系统使用默认的证书信任库。您必须将证书添加到受信任的根存储中。默认情况下，此证书包含在所有主要操作系统的默认信任库中。

解决方案

这些步骤也在2021年3月Cisco Webex Root CA Certificate update for Expressway视频中进行了说明。

要将新证书上传到VCS-Control、VCS-Expressway、Expressway-Core和Expressway Edge，请完成以下步骤。

第1步：下载IdenTrust Commercial Root CA 1并将其保存为identtrust_RootCA1.pem或identtrust_RootCA1.cer。

a.访问IdenTrust Commercial Root CA 1。

b.复制框中的文本。

c.在记事本上保存文本并保存文件。将文件命名为identrust_RootCA1.pem或identrust_RootCA1.cer。

在所有Expressway设备上，选择维护>安全>受信任CA证书。

第2步：将文件上传到Expressway信任存储。

a.要在Expressway信任存储上传CA证书，请单击Append CA certificate。

b.单击Browse。上传identrust_RootCA1.pem或identrust_RootCA1.cer文件。附加CA证书。

第3步：验证证书是否已成功上传并存在于VCS/Expressway信任存储中。

此操作后不需要重新启动或重新启动，更改才能生效。