2021年3月31日的证书更改影响Expressway上的智能许可
简介
本文档介绍2021年3月31日的证书更改如何影响Expressway上的智能许可。
从2021年3月起,思科将迁移至新的证书颁发机构IdenTrust商业根CA 1。如果您在Expressway上使用智能许可,请在2021年3月31日之前将新的根证书上传到其Expressway设备。如果未上传,Expressway和思科智能软件管理器(CSSM)之间的连接同步将中断。
背景信息
CCP用于颁发SSL证书的QuoVadis公共密钥基础设施(PKI)根CA 2受影响撤销能力的行业范围问题的影响。由于此问题,QuoVadis根CA 2在2021-03-31上停用。2021-03-31后,QuoVadis根CA 2未为思科颁发新证书。
在QuoVadis根CA 2停用之前颁发的证书,并在证书到达各自的到期日期之前继续有效。一旦这些证书过期,它们不会续订,这可能导致智能许可等功能无法建立安全连接。
从2021-04-01开始,IdenTrust商业根CA 1用于颁发QuoVadis根CA 2之前颁发的SSL证书。
- 2021年3月23日更新:使用云证书管理的客户当前在其证书列表中未看到新的IdenTrust证书。现有Quovadis(O=QuoVadis Limited, CN=QuoVadis Root CA 2)证书仍然有效。IdenTrust证书在未来TBD时间可供云证书管理使用。如果您使用云证书管理,则不会因此次发布而导致任何服务中断,并且您目前无需采取任何操作。
问题
对于所有Expressway核心和边缘,在2021-03-31之前从QuoVadis根证书颁发机构(CA)信任链颁发的某些安全套接字链(SSL)证书无法从此CA续签。一旦这些证书过期,智能许可等功能将无法建立与思科的安全连接,可能无法正常运行。
症状
Expressway核心和边缘中受影响的平台无法注册到由tools.cisco.com托管的智能许可。智能许可证可能无法通过授权,并反映为“不合规”状态。
解决方案
本视频中还将介绍这些步骤:https://video.cisco.com/video/6241489762001
有关如何将新证书上传到Expressway核心和Expressway边缘的说明:
步骤1.在此下载IdenTrust商业根CA 1,并将其另存为dentrust_rootCA1.pem或cer文件。
1.访问上述网站。
2.复制框内的文本。
3.在记事本上保存文本并保存文件。将文件命名为identrust_RootCA1.pem或identrust_RootCA1.cer
在所有Expressway设备上,导航至维护>安全>受信任CA证书。
步骤2.上传Expressway信任存储上的文件。
上传Expressway信任存储上的CA证书。点击Append CA。
Browse > Upload the identrust_RootCA1.pem > Append CA Certificate。
上传的CA证书可在下面进行验证。
步骤 3:验证证书已成功上传且存在于VCS/Expressway信任存储中
此操作后,更改生效无需重新启动或重新启动。
有关详细信息,请查看此现场通知
现场通知链接。
https://www.cisco.com/c/en/us/support/docs/field-notices/705/fn70557.html
反馈