2021年3月31日的證書更改影響Expressway上的智慧許可
簡介
本文檔介紹2021年3月31日的證書更改如何影響Expressway上的智慧許可。
從2021年3月開始,思科將轉移到新的證書頒發機構IdenTrust Commercial Root CA 1。如果在Expressway上使用智慧許可,請在2021年3月31日之前將新的根證書上傳到他們的Expressway裝置。如果未上載,Expressway和思科智慧軟體管理器(CSSM)之間的連線同步中斷。
背景資訊
QuoVadis公開金鑰基礎架構(PKI)CCP用來發出SSL憑證的根CA 2受到影響撤銷能力的行業範圍的問題的影響。由於此問題,QuoVadis根CA 2於2021-03-31被停用。QuoVadis根CA 2在2021-03-31之後未向思科頒發新證書。
在QuoVadis根CA 2之前頒發的證書已停用,並且繼續有效,直到它們到達各自的到期日期。這些證書到期後,不會續訂,這可能會導致智慧許可等功能無法建立安全連線。
從2021-04-01開始,IdenTrust商業根CA 1用於頒發以前由QuoVadis根CA 2頒發的SSL證書。
- 2021年3月23日更新:使用雲證書管理的客戶當前在其證書清單中看不到新的IdenTrust證書。現有的QuoVadis(O=QuoVadis Limited,CN=QuoVadis Root CA 2)證書仍然有效。IdenTrust證書將在未來的TBD時間提供給雲證書管理。如果您使用雲證書管理,則不會遇到因本次公告導致的任何服務中斷,並且您現在不需要採取任何措施。
問題
對於所有Expressway核心和邊緣,無法通過此CA續訂從QuoVadis根證書頒發機構(CA)信任鏈頒發的一些安全套接字連結(SSL)證書。這些證書到期後,智慧許可等功能將無法建立與思科的安全連線,並且可能無法正常運行。
症狀
Expressway核心和邊緣中的受影響平台無法向tools.cisco.com託管的智慧許可進行註冊。智慧許可證可能未通過授權,並反映為「不合規」狀態。
解決方案
以下影片亦會說明這些步驟:https://video.cisco.com/video/6241489762001
有關如何將新證書上傳到Expressway-Core和Expressway Edge的說明:
步驟1.在此處下載IdenTrust商業根CA 1 ,並將其另存為dentrust_RootCA1.pem或cer檔案。
1.訪問上述網站。
2.複製框中的文本。
3.在記事本上儲存文本並儲存檔案。將檔案命名為identrust_RootCA1.pem或identrust_RootCA1.cer
在所有Expressway裝置上,導航到維護>安全>受信任CA證書。
步驟2.將檔案上傳到Expressway信任儲存。
在Expressway信任儲存上傳CA證書。點選附加CA。
Browse > Upload the identrust_RootCA1.pem > Append CA Certificate。
可以在下面驗證上載的CA證書。
步驟3:驗證證書是否已成功上傳並存在於VCS/Expressway信任儲存中
此操作後不需要重新啟動或重新啟動,更改才能生效。
有關更多詳細資訊,請檢視此公告
現場通知連結。
https://www.cisco.com/c/en/us/support/docs/field-notices/705/fn70557.html
意見