انتهاء صلاحية الشهادة الموقعة ذاتيا من IOS في 1 يناير 2020

المقدمة

يصف هذا وثيقة خطأ ينتج عن انتهاء صلاحية شهادات التوقيع الذاتي (SSC) على cisco برمجية نظام ويقدم حلول بديلة.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• شهادات التوقيع الذاتي (SSC)
• IOS® الإصدار 12.x والإصدارات الأحدث من Cisco

المكونات المستخدمة

المكونات هي أنظمة البرامج المتأثرة بانتهاء صلاحية SSC.

جميع أنظمة Cisco IOS و Cisco IOS XE التي تستخدم شهادة موقعة ذاتيا، والتي لا تحتوي على معرف تصحيح الأخطاء من Cisco CSCvi48253 يثبت، أو التي لم تحتوي على إصلاح معرف تصحيح الأخطاء من Cisco CSCvi48253 عند إنشاء SSC. ويشمل ذلك ما يلي:

• All Cisco IOS، الإصدار 12.x
• جميع Cisco IOS 15.x قبل 15.6(3)M7، 15.7(3)M5، 15.8(3)M3، 15.9(3)M
• جميع Cisco IOS XE قبل 16.9.1

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الخلفية

ملاحظة: يحتوي هذا المستند على محتويات الطراز FN40789 ، بالإضافة إلى سياق إضافي وأمثلة وتحديثات وأسئلة وأجوبة.

في الساعة 00:00 من 1 كانون الثاني 2020 بالتوقيت العالمي، تم تعيين انتهاء صلاحية جميع الشهادات الموقعة ذاتيا (SSC) التي تم إنشاؤها على نظامي Cisco IOS و Cisco IOS XE، ما لم يكن النظام قد قام بتشغيل إصدار ثابت من Cisco IOS و Cisco IOS XE عند إنشاء SSC. بعد ذلك الوقت، يتعذر على أنظمة Cisco IOS غير الثابتة إنشاء شبكات SSC جديدة. لا تعمل أي خدمة تعتمد على هذه الشهادات الموقعة ذاتيا لإنشاء اتصال آمن أو إنهائه بعد انتهاء صلاحية الشهادة.

يؤثر هذا إصدار فقط على الشهادات الموقعة ذاتيا التي تم إنشاؤها بواسطة جهاز Cisco IOS أو Cisco IOS XE وتطبيقها على خدمة على الجهاز. لا تتأثر الشهادات التي تم إنشاؤها بواسطة مرجع مصدق (CA)، والتي تتضمن تلك الشهادات التي تم إنشاؤها بواسطة ميزة CISCO IOS CA، بهذه المشكلة.

تعتمد بعض الميزات في برنامج Cisco IOS و Cisco IOS XE على شهادات X.509 الموقعة رقميا للتحقق من الهوية المشفرة. يتم إنشاء هذه الشهادات بواسطة CA خارجي خارجي، أو على جهاز Cisco IOS أو Cisco IOS XE نفسه كشهادة موقعة ذاتيا. تحدد إصدارات برنامج Cisco IOS و Cisco IOS XE المتأثرة تاريخ انتهاء صلاحية الشهادة الموقع ذاتيا إلى 2020-01-01 00:00:00 بالتوقيت العالمي. بعد هذا التاريخ، تنتهي صلاحية الشهادة وتكون غير صالحة.

الخدمات التي يمكن أن تعتمد على شهادة موقعة ذاتيا تشمل:

ميزات عامة

• خادم HTTP عبر TLS (HTTPS) - ينتج HTTPS خطأ في المستعرض يشير إلى انتهاء صلاحية الشهادة.
• خادم SSH - يمكن أن يفشل المستخدمون الذين يستخدمون شهادات X.509 للمصادقة على جلسة SSH في المصادقة. (من النادر إستخدام شهادات X.509. لا تتأثر مصادقة اسم المستخدم/كلمة المرور ومصادقة المفتاح العام/الخاص.)
• RESTCONF - يمكن أن تفشل إتصالات RESTCONF.

ميزات التعاون

• بروتوكول بدء جلسة عمل (SIP) عبر TLS
• مدير الاتصالات الموحدة الفائق (CME) من Cisco مع تمكين الإشارات المشفرة
• Cisco Unified Survivable Remote Site Telephony (SRST) مع تمكين الإشارات المشفرة
• IOS من Cisco dspfarm الموارد (المؤتمر أو نقطة إنهاء الوسائط أو إعادة الترميز) مع تمكين الإشارات المشفرة
• منافذ تطبيق التحكم في الاتصال الهاتفي (STCAPP) لبروتوكول Skinny للتحكم في العملاء (SCCP) التي تم تكوينها باستخدام الإشارات المشفرة
• بروتوكول التحكم في عبارة الوسائط (MGCP) وإرسال إشارة المكالمات H.323 عبر أمان IP (IPSec) بدون مفتاح مشترك مسبقا
• واجهة برمجة التطبيقات (API) لخدمات عبارة الاتصالات الموحدة من Cisco في الوضع الآمن (الذي يستخدم HTTPS)

الميزات اللاسلكية

• إتصالات LWAPP/CAPWAP بين نقاط الوصول القديمة من Cisco IOS (المصنعة في عام 2005 أو ما قبله) ووحدة التحكم في الشبكة المحلية (LAN) اللاسلكية. راجع إشعار Cisco الميداني FN63942 للحصول على مزيد من التفاصيل.

المشكلة

ينتج عن محاولة إنشاء شهادة موقعة ذاتيا على إصدار متأثر من برنامج Cisco IOS أو Cisco IOS XE بعد 2020-01-01 00:00:00 UTC هذا الخطأ:

../cert-c/source/certobj.c(535) : E_VALIDITY : validity period start later than end

لا تعمل أي خدمات تعتمد على "شهادة التوقيع الذاتي". على سبيل المثال:

• لا يكتمل SIP عبر مكالمات TLS.
• لم تعد الأجهزة المسجلة في Cisco Unified CME مع تمكين الإشارات المشفرة تعمل.
• لا تسمح Cisco Unified SRST مع تمكين الإشارات المشفرة للأجهزة بالتسجيل.
• لم تعد موارد Cisco IOS DSPFARM (المؤتمر أو نقطة إنهاء الوسائط أو إعادة الترميز) مع تمكين إرسال الإشارات المشفرة قيد التسجيل.
• لم تعد منافذ STCAPP التي تم تكوينها باستخدام الإشارات المشفرة تسجل.
• الاتصال من خلال بوابة تقوم باستدعاء الإشارات عبر IPSec بدون مفتاح مشترك مسبقا بواسطة MGCP أو H.323.
• يمكن أن تفشل مكالمات API التي تستخدم واجهة برمجة تطبيقات Cisco Unified Communications Gateway Services API في الوضع الآمن (الذي يستخدم HTTPS).
• رياسكونف يمكن أن يفشل.
• تعرض جلسات عمل HTTPS لإدارة الجهاز تحذير المستعرض، الذي يشير إلى انتهاء صلاحية الشهادة.
• فشلت جلسات عمل AnyConnect SSL VPN في إنشاء شهادة غير صحيحة أو الإبلاغ عنها.
• يمكن أن تفشل إتصالات IPSec في الإنشاء.

كيفية التعرف على المنتجات المتأثرة

ملاحظة: لكي يتأثر الجهاز بهذا الإشعار الميداني، يجب أن يكون لديه شهادة موقعة ذاتيا ويجب تطبيق شهادة التوقيع الذاتي على ميزة أو أكثر على النحو المبين أدناه. لا يؤثر وجود شهادة موقعة ذاتيا فقط على تشغيل الجهاز عند انتهاء صلاحية الشهادة ولا تتطلب إجراء فوريا. لكي يتأثر الجهاز، يجب أن يستوفي المعايير في كل من الخطوة 3 والخطوة 4 أدناه.

لتحديد ما إذا كنت تستخدم شهادة موقعة ذاتيا:

1. أدخل show running-config | begin crypto الأمر الموجود على جهازك.

2. ابحث عن تكوين نقطة ثقة PKI للتشفير.

3. في تكوين نقطة ثقة PKI للتشفير، ابحث عن تكوين تسجيل نقطة الثقة. يجب تكوين تسجيل نقطة الثقة حتى تتأثر العناصر التي تم توقيعها ذاتيا. بالإضافة إلى ذلك، يجب أن تظهر أيضا الشهادة الموقعة ذاتيا في التكوين. لاحظ أن اسم نقطة الثقة لا يحتوي على كلمات "موقعة ذاتيا" كما هو موضح في هذا المثال التالي.

   crypto pki trust-point TP-self-signed-XXXXXXXX
     enrollment selfsigned
     subject-name cn=IOS-Self-Signed-Certificate-662415686   revocation-check none   
   rsakeypair TP-self-signed-662415686 ! ! crypto pki certificate chain TP-self-signed-XXXXXXXX certificate self-signed 01  
   3082032E 31840216 A0030201 02024101 300D0609 2A864886 F70D0101 05050030   30312E30 2C060355 04031325 494A531D 53656C66 
   2D536967 6E65642D 43657274   ...   ECA15D69 11970A66 252D34DC 760294A6 D1EA2329 F76EB905 6A5153C9 24F2958F   
   D19BFB22 9F89EE23 02D22D9D 2186B1A1 5AD4

   
   

   إذا لم يتم تكوين تسجيل نقطة الثقة ل "موقع ذاتيا"؛ فلن يتأثر الجهاز بإشعار الحقل هذا. ليس مطلوب أي إجراء.

   إذا تم تكوين تسجيل نقطة الثقة ل "موقع ذاتيا" وإذا ظهرت الشهادة الموقعة ذاتيا في التكوين، يمكن أن يتأثر الجهاز من خلال إشعار الحقل هذا. تابع إلى الخطوة 4.

4. إذا قمت بتحديد في الخطوة 3 أن تسجيل نقطة الثقة تم تكوينه ل "توقيع ذاتي" وأن شهادة التوقيع الذاتي تظهر في التكوين، ثم تحقق لمعرفة ما إذا كانت شهادة التوقيع الذاتي مطبقة على ميزة على الجهاز.

   يتم عرض الميزات المختلفة التي يمكن ربطها ب SSC في عمليات التكوين العينة هذه:

• بالنسبة لخادم HTTPS، يجب أن يكون هذا النص موجودا:
  
  

  ip http secure-server

بالإضافة إلى ذلك، يمكن أيضا تعريف نقطة ثقة كما هو موضح في مثال الرمز التالي. إذا لم يكن هذا الأمر موجودا، فإن السلوك الافتراضي هو إستخدام الشهادة الموقعة ذاتيا.

ip http secure-trust-point TP-self-signed-XXXXXXXX

إذا تم تعريف نقطة ثقة وكانت تشير إلى شهادة أخرى غير الشهادة الموقعة ذاتيا، فلن تتأثر.

بالنسبة لخادم HTTPS، يكون تأثير الشهادة التي انتهت صلاحيتها طفيفا لأن الشهادات الموقعة ذاتيا غير موثوق بها بالفعل من قبل مستعرضات الويب وإنشاء تحذير حتى عند عدم انتهاء صلاحيتها. يمكن أن يؤدي وجود شهادة منتهية الصلاحية إلى تغيير التحذير الذي تتلقاه في المستعرض.

• بالنسبة إلى SIP عبر TLS، يكون هذا النص موجودا في ملف التكوين:

  voice service voip
   sip
    session transport tcp tls
  !
  sip-ua
  crypto signaling default trust-point <self-signed-trust-point-name>
  ! or
  crypto signaling remote-addr a.b.c.d /nn trust-point <self-signed-trust-point-name>
  !

• بالنسبة إلى Cisco Unified CME مع تمكين الإشارات المشفرة، يكون هذا النص موجودا في ملف التكوين:

telephony-service
 secure-signaling trust-point <self-signed-trust-point-name>
 tftp-server-credentials trust-point <self-signed-trust-point-name>

• بالنسبة إلى Cisco Unified SRST مع تمكين الإشارات المشفرة، يكون هذا النص موجودا في ملف التكوين:

  credentials
   trust-point <self-signed-trust-point-name>
  

• من أجل IOS من Cisco dspfarm موردهذا النص (مؤتمر أو نقطة نهاية الوسائط أو إعادة الترميز) مع تمكين الإشارات المشفرة، موجود في ملف التكوين:

  dspfarm profile 1 conference security
  trust-point <self-signed-trust-point-name>
  !
  dspfarm profile 2 mtp security
  trust-point <self-signed-trust-point-name>
  !
  dspfarm profile 3 transcode security
   trust-point <self-signed-trust-point-name>
  !
  sccp ccm 127.0.0.1 identifier 1 priority 1 version 7.0 trust-point <self-signed-trust-point-name>
  !

• بالنسبة لمنافذ STCAPP التي تم تكوينها باستخدام الإشارات المشفرة، يكون هذا النص موجودا في ملف التكوين:

  stcapp security trust-point <self-signed-trust-point-name>
  stcapp security mode encrypted

• ل cisco Unified Communications Gateway Services API في وضع آمن، هذا نص حاضر في ملف التكوين:

  uc secure-wsapi
  ip http secure-server
  ip http secure-trust-point TP-self-signed-XXXXXXXX

• ل SSLVPN، هذا النص موجود في ملف التكوين:

  webvpn gateway <gw name>
   ssl trust-point TP-self-signed-XXXXXXXX
  
  OR
  
  crypto ssl policy <policy-name>
    pki trust-point <trust-point-name> sign

• بالنسبة إلى ISAKMP و IKEv2، يمكن إستخدام الشهادة الموقعة ذاتيا إذا كان أي من التكوينات موجودا (يلزم إجراء تحليل إضافي للتكوين لتحديد ما إذا كانت الميزة تستخدم الشهادة الموقعة ذاتيا مقابل شهادة مختلفة):

  crypto isakmp policy <number>
   authentication pre-share | rsa-encr < NOT either of these
  !
  crypto ikev2 profile <prof name>
   authentication local rsa-sig
   pki trust-point TP-self-signed-xxxxxx
  !
  crypto isakmp profile <prof name>
   ca trust-point TP-self-signed-xxxxxx

• بالنسبة لخادم SSH، من غير المرجح للغاية أنه يمكنك الاستفادة من الشهادات لمصادقة جلسات SSH. ومع ذلك، يمكنك التحقق من التكوين للتحقق من ذلك. يجب أن يكون لديك كافة البنود الثلاثة الموضحة في مثال التعليمات البرمجية التالي لكي تتأثر. 

  ملاحظة: إذا قمت بزيادة اسم المستخدم ومجموعة كلمة المرور إلى SSH في جهازك، فلن تتأثر بذلك.

  ip ssh server certificate profile
   ! Certificate used by server 
   server
    trust-point sign TP-self-signed-xxxxxx

• ل RESTCONF، هذا نص حاضر في التشكيل مبرد:

  restconf
  ! And one of the following
  ip http secure-trust-point TP-self-signed-XXXXXXXXX
  ! OR
  ip http client secure-trust-point TP-self-signed-XXXXXXXX

الحل (الحلول)

الحل هو ترقية برنامج Cisco IOS أو Cisco IOS XE إلى إصدار يتضمن الإصلاح:

• برنامج Cisco IOS XE الإصدار 16.9.1 والإصدارات الأحدث
• برنامج Cisco IOS الإصدار 15.6(3)M7 والإصدارات الأحدث؛ 15.7(3)M5 والإصدارات الأحدث؛ أو 15.8(3)M3 والإصدارات الأحدث

بعد ترقية البرنامج، يجب إعادة إنشاء "الشهادة الموقعة ذاتيا" وتصديرها إلى أي أجهزة قد تتطلب الشهادة في مخزن التوثيق الخاص بها.

تتوفر ثلاثة حلول بديلة في حالة عدم إمكانية الترقية الفورية للبرامج:

1. الحصول على شهادة صالحة من مرجع مصدق من الجزء الثالث (CA).
2. أستخدم خادم Cisco IOS CA لإنشاء شهادة جديدة.
3. أستخدم OpenSSL لإنشاء شهادة موقعة ذاتيا جديدة.

1. الحصول على شهادة صالحة من جهة خارجية (CA)

تثبيت شهادة من مرجع مصدق. ومن أنواع CA الشائعة ما يلي: Comodo، Let's التشفير و RapidSSL و Thawte و Sectigo و GeoTrust و Symantec وما إلى ذلك. باستخدام هذا الحل البديل، يتم إنشاء طلب شهادة وعرضه بواسطة Cisco IOS. ثم ينسخ المسؤول الطلب، ويقدمه إلى مرجع مصدق من طرف ثالث، ويسترجع النتيجة.

ملاحظة: يعتبر إستخدام المرجع المصدق لتوقيع الشهادات أفضل ممارسة أمنية. يتم توفير هذا الإجراء كحل بديل في إشعار الحقل هذا، ومع ذلك، من المفضل الاستمرار في إستخدام الشهادة الموقعة من قبل CA الغير بعد تطبيق هذا الحل البديل بدلا من إستخدام شهادة موقعة ذاتيا.

لتثبيت شهادة من مرجع مصدق خارجي:

1. إنشاء طلب توقيع شهادة (CSR):

   Router#configure terminal
   Enter configuration commands, one per line. End with CNTL/Z.
   Router(config)#crypto pki trustpoint TEST
   Router(ca-trustpoint)#enrollment term pem
   Router(ca-trustpoint)#subject-name CN=TEST
   Router(ca-trustpoint)#revocation-check none
   Router(ca-trustpoint)#rsakeypair TEST
   Router(ca-trustpoint)#exit
   Router(config)#crypto pki enroll TEST
      % Start certificate enrollment ..
      % The subject name in the certificate will include: CN=TEST
      % The subject name in the certificate will include: Router.cisco.com
      % The serial number in the certificate will be: FTX1234ABCD
      % Include an IP address in the subject name? [no]: n
      Display Certificate Request to terminal? [yes/no]: yes
      Certificate Request follows:
   
      -----BEGIN CERTIFICATE REQUEST-----
   A Base64 Certificate is displayed here. Copy it, along with the ---BEGIN and ---END lines.
      -----END CERTIFICATE REQUEST-----
   
      ---End - This line not part of the certificate request---

2. تقديم CSR إلى جهة خارجية CA.

ملاحظة: الإجراء الخاص بتقديم المسؤولية المدنية المدنية إلى مرجع مصدق من طرف ثالث واسترداد الشهادة التي تختلف نتائجها بناء على المرجع المصدق المستخدم. راجع وثائق المرجع المصدق للحصول على تعليمات حول كيفية تنفيذ هذه الخطوة.

3. قم بتنزيل شهادة الهوية الجديدة للموجه مع شهادة CA.

4. تثبيت شهادة المرجع المصدق على الجهاز:

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#crypto pki auth TEST
	
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
	
-----BEGIN CERTIFICATE-----
REMOVED
-----END CERTIFICATE-----
	
Certificate has the following attributes:
   Fingerprint MD5: 79D15A9F C7EB4882 83AC50AC 7B0FC625
   Fingerprint SHA1: 0A80CC2C 9C779D20 9071E790 B82421DE B47E9006
	   
% Do you accept this certificate? [yes/no]: yes
trust-point CA certificate accepted.
% Certificate successfully imported
	

5. تثبيت شهادة الهوية على الجهاز:

Router(config)#crypto pki import TEST certificate
	
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
	
-----BEGIN CERTIFICATE-----
REMOVED
-----END CERTIFICATE-----
	
% Router Certificate successfully imported

2. أستخدم خادم Cisco IOS CA لإنشاء شهادة جديدة

أستخدم خادم مرجع شهادات IOS المحلي لإنشاء وتوقيع شهادة جديدة.

ملاحظة: لا تتوفر ميزة خادم CA المحلي على جميع المنتجات.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#ip http server
Router(config)#crypto pki server IOS-CA
Router(cs-server)#grant auto
Router(cs-server)#database level complete
Router(cs-server)#no shut
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key
% or type Return to exit
Password: 
    
     
     
 Re-enter password: 
      
      
% Generating 1024 bit RSA keys, keys will be non-exportable... 
      
[OK] (elapsed time was 1 seconds) 
      
 % Certificate Server enabled. 
      
    

Router#show crypto pki server IOS-CA Certificates
Serial Issued date Expire date Subject Name
1 21:31:40 EST Jan 1 2020 21:31:40 EST Dec 31 2022 cn=IOS-CA

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#crypto pki trustpoint TEST
Router(ca-trustpoint)#enrollment url http:// 
     
       :80 
          <<<< Replace 
    
    
      with the IP address of an interface on the router 
     
Router(ca-trustpoint)# 
     subject-name CN=TEST 
     
Router(ca-trustpoint)# 
     revocation-check none 
     
Router(ca-trustpoint)# 
     rsakeypair TEST 
     
Router(ca-trustpoint)# 
     exit 
     
 Router# 
     configure terminal 
     
Enter configuration commands, one per line.  End with CNTL/Z. 
     
Router(config)# 
     crypto pki auth TEST 
     
Certificate has the following attributes: 
     
Fingerprint MD5: C281D9A0 337659CB D1B03AA6 11BD6E40 
     
Fingerprint SHA1: 1779C425 3DCEE86D 2B11C880 D92361D6 8E2B71FF 
     
 % Do you accept this certificate? [yes/no]: 
     yes 
     
Trustpoint CA certificate accepted. 
     
 Router(config)# 
     crypto pki enroll TEST 
     
% 
     
% Start certificate enrollment .. 
     
% Create a challenge password. You will need to verbally provide this 
     
password to the CA Administrator in order to revoke your certificate. 
     
For security reasons your password will not be saved in the configuration. 
     
Please take note of it. 
     
 Password: 
      
      
Re-enter password: 
       
       
 % The subject name in the certificate will include: CN=TEST 
       
% The subject name in the certificate will include: Router.cisco.com 
       
% Include the router serial number in the subject name? [yes/no]: yes 
       
% The serial number in the certificate will be: FTX1234ABCD 
       
% Include an IP address in the subject name? [no]: no 
       
 Request certificate from CA? [yes/no]: 
       yes 
       
 % Certificate request sent to Certificate Authority 
       
% The 'show crypto pki certificate verbose TEST' command will show the fingerprint 
       
      
    

3. أستخدم OpenSSL لإنشاء شهادة موقعة ذاتيا جديدة

أستخدم OpenSSL لإنشاء حزمة شهادة PKCS12 واستيراد الحزمة إلى Cisco IOS.

مثال Linux أو Unix أو Mac (OSX)

User@linux-box$ openssl req -newkey rsa:2048 -nodes -keyout tmp.key -x509 -days 4000 -out tmp.cer -subj
"/CN=SelfSignedCert" &> /dev/null && openssl pkcs12 -export -in tmp.cer -inkey tmp.key -out tmp.bin
-passout pass:Cisco123 && openssl pkcs12 -export -out certificate.pfx -password pass:Cisco123 -inkey
tmp.key -in tmp.cer && rm tmp.bin tmp.key tmp.cer && openssl base64 -in certificate.pfx

MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQIGnxm
t5r28FECAggAgIIDEKyw10smucdQGt1c0DdfYXwUo8BwaBnzQvN0ClawXNQln2bT
vrhus6LfRvVxBNPeQz2ADgLikGxatwV5EDgooM+IEucKDURGLEotaRrVU5Wk3EGM
mjC6Ko9OaM30vhAGEEXrk26cq+OWsEuF3qudggRYv2gIBcrJ2iUQNFsBIrvlGHRo
FphOTqhVaAPxZS7hOB30cK1tMKHOIa8EwygyBvQPfjjBT79QFgeexIJFmUtqYX/P

tT6r4SuibYKu6HV45ffjSzOimcJI+D9LKhLWR6pK/k5ge8v7aK9/rsVbjavbdy7b
CSqGSIb3DQEJFTEWBBS96DY/gRfN1dSx46P1EqjPvSYiETAxMCEwCQYFKw4DAhoF
AAQU+EX0kNvuNz6XmFxXER8wlqKTGvgECA+D+Z81uwafAgIIAA==

مثال على موجه Cisco IOS أو Cisco IOS XE

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#crypto pki trustpoint TEST
Router(ca-trustpoint)#enrollment terminal
Router(ca-trustpoint)#revocation-check none
Router(ca-trustpoint)#exit

R1(config)#crypto pki import TEST pkcs12 terminal password Cisco123
Enter the base 64 encoded pkcs12.
End with a blank line or the word "quit" on a line by itself:
MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQItyCo
Vh05+0QCAggAgIIDENUWY+UeuY5sIRZuoBi2nEhdIPd1th/auBYtX79aXGiz/iEW

IY1l273y9bC3qPVJ0UGoQW8SGfarqEjaqxdAet66E5V6u9Yvd4oMsIYGsa70m+FN
CsUVj+ll5hzGjK78L0ycXWpH4gDOGYBVf+D7mgWqaqZvxYUoEkOrTMmW5zElMCMG
CSqGSIb3DQEJFTEWBBSgiBJIYpJLzo/GYN0sesZh3wGmPTAxMCEwCQYFKw4DAhoF
AAQUdeUrLIC2uo/mbyE86he5+qEjmPYECKu76GWaeKb7AgIIAA==
quit
 CRYPTO_PKI: Imported PKCS12 file successfully.

R1(config)#

4. تأكد من تثبيت الشهادة الجديدة

R1#show crypto pki certificates TEST
Load for five secs: 5%/1%; one minute: 2%; five minutes: 3%
Time source is SNTP, 15:04:37.593 UTC Mon Dec 16 2019
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 00A16966E46A435A99
  Certificate Usage: General Purpose
  Issuer:
    cn=SelfSignedCert
  Subject:
    cn=SelfSignedCert
  Validity Date:
    start date: 14:54:46 UTC Dec 16 2019
    end   date: 14:54:46 UTC Nov 28 2030

ملاحظة: تنتهي صلاحية الشهادات الموقعة ذاتيا في 00:00 1 كانون الثاني 2020 بالتوقيت العالمي ولا يمكنك إنشائها بعد ذلك الوقت.

أسئلة وأجوبة

سؤال: ما هي المشكلة؟

تنتهي صلاحية شهادات PKI ذاتية التوقيع X.509 التي تم إنشاؤها على المنتجات التي تعمل بإصدارات Cisco IOS أو Cisco IOS XE في 01/01/20200:00:00 بالتوقيت العالمي. لا يمكن إنشاء شهادات جديدة ذاتية التوقيع على الأجهزة المتأثرة بعد 01/01/2020 00:00:00 بالتوقيت العالمي. لا يمكن لأي خدمة تعتمد على هذه الشهادات الموقعة ذاتيا أن تعمل بعد انتهاء صلاحية الشهادة.

س: ما هو التأثير على شبكة العميل إذا انتهت صلاحية شهادة موقعة ذاتيا لمنتجها؟

لن تعود وظيفة أي منتج متأثر تعتمد على شهادات موقعة ذاتيا تعمل بعد انتهاء صلاحية الشهادة. الرجاء مراجعة إشعار الحقل للحصول على تفاصيل إضافية.

س: كيف لي أن أعرف ما إذا كنت متأثرا بهذه القضية؟

يوفر إشعار الحقل إرشادات لتحديد ما إذا كنت تستخدم شهادة موقعة ذاتيا وما إذا كان التكوين الخاص بك يتأثر بهذه المشكلة. يرجى مراجعة قسم "كيفية التعرف على المنتجات المتأثرة" في الإشعار الميداني.

هل هناك نص أستطيع تشغيله لأرى ما إذا كنت متأثرة؟

نعم. أستخدم Cisco CLI Analyzer (محلل واجهة سطر الأوامر من Cisco)، قم بتشغيل تشغيل تشغيل تشخيص النظام. إذا كانت الشهادة موجودة وتم إستخدام تنبيه يمكن عرضه. https://cway.cisco.com/cli/

q. هل قدمت Cisco حلول برمجية لهذه المشكلة؟

نعم. قامت Cisco بإصدار حلول برمجية لهذه المشكلة بالإضافة إلى حلول بديلة في حالة عدم إمكانية ترقية البرامج على الفور. الرجاء مراجعة إشعار الحقل للحصول على التفاصيل الكاملة.

q: هل تؤثر هذه المشكلة على أي منتج من Cisco يستخدم شهادة؟

لا. تؤثر هذه المشكلة فقط على المنتجات التي تستخدم شهادات موقعة ذاتيا والتي تم إنشاؤها بواسطة إصدارات محددة من Cisco IOS أو Cisco IOS XE مع الشهادة المطبقة على خدمة على المنتج. لا تتأثر المنتجات التي تستخدم الشهادات التي تم إنشاؤها من قبل المرجع المصدق (CA) بهذه المشكلة.

س: هل تستخدم منتجات Cisco شهادات التوقيع الذاتي فقط؟

لا. يمكن إنشاء الشهادات إما بواسطة مرجع شهادات خارجي تابع لجهة خارجية أو على جهاز Cisco IOS أو Cisco IOS XE نفسه كشهادة موقعة ذاتيا. قد تتطلب متطلبات المستخدم المحددة إستخدام شهادات موقعة ذاتيا. الشهادات التي تم إنشاؤها من قبل المرجع المصدق (CA) لا تتأثر بهذه المشكلة.

س. لماذا حدثت هذه المسألة؟

ولكن من المؤسف أنه على الرغم من الجهود الحثيثة التي يبذلها بائعو التكنولوجيا، فإن العيوب في البرمجيات لا تزال موجودة. عندما يتم اكتشاف خطأ في أي تقنية من تقنيات Cisco، فإننا ملتزمون بالشفافية وبتوفير المعلومات التي يحتاجها المستخدمون لحماية شبكتهم.

في هذه الحالة، تكون المشكلة ناتجة عن خطأ برمجي معروف حيث يمكن للإصدارات المتأثرة من Cisco IOS و Cisco IOS XE دائما تعيين تاريخ انتهاء صلاحية الشهادة الموقعة ذاتيا إلى 01/01/20200:00:00 UTC. بعد هذا التاريخ، تنتهي صلاحية الشهادة وتكون غير صالحة، مما قد يؤثر على وظيفة المنتج.

س: لماذا تم إختيار تاريخ انتهاء الصلاحية في 1 كانون الثاني 2020 00:00:00 بالتوقيت العالمي؟

يكون للشهادات عادة تاريخ انتهاء صلاحية. في حالة خطأ البرنامج هذا، تم إستخدام تاريخ 1 يناير 2020 أثناء تطوير برنامج Cisco IOS و Cisco IOS XE منذ أكثر من 10 سنوات وهو خطأ بشري.

س: ما هي المنتجات التي تتأثر بهذه المشكلة؟

أي منتج من منتجات Cisco تشغل إصدارات Cisco IOS قبل إصدارات 15.6(03)M07، و 15.7(03)M05، و 15.8(03)M03، و 15.9(03)M وأي منتج من Cisco يشغل إصدارات Cisco IOS XE قبل 16.9.1

سؤال: ما الذي يجب على المستخدمين فعله؟

تحتاج إلى مراجعة الإشعار الميداني لتقييم ما إذا كنت متأثرا بهذه المشكلة، وإذا كان الأمر كذلك، فعليك إستخدام إرشادات الحل/الحل البديل للحد من هذه المشكلة.

س: هل هذه المسألة تشكل نقطة ضعف أمنية؟

لا. هذه ليست نقطة ضعف أمني، وليس هناك أي خطر على سلامة المنتج.

س: هل يتأثر بروتوكول SSH؟

لا. يستخدم SSH أزواج مفاتيح RSA ولكنه لا يستخدم الشهادات إلا في تكوين نادر. لكي يستخدم Cisco IOS الشهادات، يجب أن يكون التكوين التالي موجودا.

ip ssh server certificate profile
   server
      trust-point sign TP-self-signed-xxxxxx

س: ما هي الإصدارات الثابتة المتوفرة لأنظمة Catalyst التقليدية بسرعة 2 آلاف لفة في الدقيقة و 3 آلاف لفة في الدقيقة و 4 آلاف لفة في الدقيقة و 6 آلاف لفة في الدقيقة؟

بالنسبة للأنظمة الأساسية المستندة إلى Polaris (3650/3850/Catalyst 9K Series)، يتوفر الإصلاح من 16.9.1 وما بعده
بالنسبة للنظام الأساسي CDB، يتوفر الإصلاح 15.2(7)E1a وما بعده

بالنسبة لمنصات التحويل الأساسية التقليدية الأخرى: 

هناك التزامات قيد التقدم لكننا لم ننشر إطلاق سراح سي أو. يمكن أن يحتوي إصدار CCO التالي على الإصلاح.

يرجى إستخدام أحد الحلول الأخرى المتوفرة في الإنترنت.

س: هل تتأثر جمعية العمل الإسلامي؟

يستمر WAAS في العمل بشكل صحيح وتحسين حركة المرور، ومع ذلك، تم قطع اتصال AppNav-XE و Central Manager بالجهاز الذي لديه شهادة موقعة ذاتيا منتهية الصلاحية. وهذا يعني أنه لا يمكنك مراقبة AppNav-Cluster أو تغيير أي نهج ل WAAS. وبإيجاز، يواصل WAAS العمل على نحو سليم، ولكن الإدارة والمراقبة توقفا مؤقتا إلى أن تحل مشكلة الشهادة.   لحل المشكلة، قد يلزم إنشاء شهادة جديدة على Cisco IOS ثم إستيرادها إلى "الإدارة المركزية".

معلومات ذات صلة

• راجع FN70489 إشعار ميداني:FN - 70489 - انتهاء صلاحية شهادة PKI ذاتية التوقيع في برنامج Cisco IOS و Cisco IOS XE
• راجع معرف تصحيح الأخطاء من Cisco CSCvi48253