تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا وثيقة خطأ ينتج عن انتهاء صلاحية شهادات التوقيع الذاتي (SSC) على cisco برمجية نظام ويقدم حلول بديلة.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
المكونات هي أنظمة البرامج المتأثرة بانتهاء صلاحية SSC.
جميع أنظمة Cisco IOS و Cisco IOS XE التي تستخدم شهادة موقعة ذاتيا، والتي لا تحتوي على معرف تصحيح الأخطاء من Cisco CSCvi48253 يثبت، أو التي لم تحتوي على إصلاح معرف تصحيح الأخطاء من Cisco CSCvi48253 عند إنشاء SSC. ويشمل ذلك ما يلي:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
ملاحظة: يحتوي هذا المستند على محتويات الطراز FN40789 ، بالإضافة إلى سياق إضافي وأمثلة وتحديثات وأسئلة وأجوبة.
في الساعة 00:00 من 1 كانون الثاني 2020 بالتوقيت العالمي، تم تعيين انتهاء صلاحية جميع الشهادات الموقعة ذاتيا (SSC) التي تم إنشاؤها على نظامي Cisco IOS و Cisco IOS XE، ما لم يكن النظام قد قام بتشغيل إصدار ثابت من Cisco IOS و Cisco IOS XE عند إنشاء SSC. بعد ذلك الوقت، يتعذر على أنظمة Cisco IOS غير الثابتة إنشاء شبكات SSC جديدة. لا تعمل أي خدمة تعتمد على هذه الشهادات الموقعة ذاتيا لإنشاء اتصال آمن أو إنهائه بعد انتهاء صلاحية الشهادة.
يؤثر هذا إصدار فقط على الشهادات الموقعة ذاتيا التي تم إنشاؤها بواسطة جهاز Cisco IOS أو Cisco IOS XE وتطبيقها على خدمة على الجهاز. لا تتأثر الشهادات التي تم إنشاؤها بواسطة مرجع مصدق (CA)، والتي تتضمن تلك الشهادات التي تم إنشاؤها بواسطة ميزة CISCO IOS CA، بهذه المشكلة.
تعتمد بعض الميزات في برنامج Cisco IOS و Cisco IOS XE على شهادات X.509 الموقعة رقميا للتحقق من الهوية المشفرة. يتم إنشاء هذه الشهادات بواسطة CA خارجي خارجي، أو على جهاز Cisco IOS أو Cisco IOS XE نفسه كشهادة موقعة ذاتيا. تحدد إصدارات برنامج Cisco IOS و Cisco IOS XE المتأثرة تاريخ انتهاء صلاحية الشهادة الموقع ذاتيا إلى 2020-01-01 00:00:00 بالتوقيت العالمي. بعد هذا التاريخ، تنتهي صلاحية الشهادة وتكون غير صالحة.
الخدمات التي يمكن أن تعتمد على شهادة موقعة ذاتيا تشمل:
dspfarm
الموارد (المؤتمر أو نقطة إنهاء الوسائط أو إعادة الترميز) مع تمكين الإشارات المشفرةينتج عن محاولة إنشاء شهادة موقعة ذاتيا على إصدار متأثر من برنامج Cisco IOS أو Cisco IOS XE بعد 2020-01-01 00:00:00 UTC هذا الخطأ:
../cert-c/source/certobj.c(535) : E_VALIDITY : validity period start later than end
لا تعمل أي خدمات تعتمد على "شهادة التوقيع الذاتي". على سبيل المثال:
ملاحظة: لكي يتأثر الجهاز بهذا الإشعار الميداني، يجب أن يكون لديه شهادة موقعة ذاتيا ويجب تطبيق شهادة التوقيع الذاتي على ميزة أو أكثر على النحو المبين أدناه. لا يؤثر وجود شهادة موقعة ذاتيا فقط على تشغيل الجهاز عند انتهاء صلاحية الشهادة ولا تتطلب إجراء فوريا. لكي يتأثر الجهاز، يجب أن يستوفي المعايير في كل من الخطوة 3 والخطوة 4 أدناه.
لتحديد ما إذا كنت تستخدم شهادة موقعة ذاتيا:
أدخل show running-config | begin crypto
الأمر الموجود على جهازك.
ابحث عن تكوين نقطة ثقة PKI للتشفير.
في تكوين نقطة ثقة PKI للتشفير، ابحث عن تكوين تسجيل نقطة الثقة. يجب تكوين تسجيل نقطة الثقة حتى تتأثر العناصر التي تم توقيعها ذاتيا. بالإضافة إلى ذلك، يجب أن تظهر أيضا الشهادة الموقعة ذاتيا في التكوين. لاحظ أن اسم نقطة الثقة لا يحتوي على كلمات "موقعة ذاتيا" كما هو موضح في هذا المثال التالي.
crypto pki trust-point TP-self-signed-XXXXXXXX enrollment selfsigned subject-name cn=IOS
-Self-Signed-Certificate-662415686 revocation-check none
rsakeypair TP-self-signed-662415686 ! ! crypto pki certificate chain TP-self-signed-XXXXXXXX certificate self-signed 01
3082032E 31840216 A0030201 02024101 300D0609 2A864886 F70D0101 05050030 30312E30 2C060355 04031325 494A531D 53656C66
2D536967 6E65642D 43657274 ... ECA15D69 11970A66 252D34DC 760294A6 D1EA2329 F76EB905 6A5153C9 24F2958F
D19BFB22 9F89EE23 02D22D9D 2186B1A1 5AD4
إذا لم يتم تكوين تسجيل نقطة الثقة ل "موقع ذاتيا"؛ فلن يتأثر الجهاز بإشعار الحقل هذا. ليس مطلوب أي إجراء.
إذا تم تكوين تسجيل نقطة الثقة ل "موقع ذاتيا" وإذا ظهرت الشهادة الموقعة ذاتيا في التكوين، يمكن أن يتأثر الجهاز من خلال إشعار الحقل هذا. تابع إلى الخطوة 4.
إذا قمت بتحديد في الخطوة 3 أن تسجيل نقطة الثقة تم تكوينه ل "توقيع ذاتي" وأن شهادة التوقيع الذاتي تظهر في التكوين، ثم تحقق لمعرفة ما إذا كانت شهادة التوقيع الذاتي مطبقة على ميزة على الجهاز.
يتم عرض الميزات المختلفة التي يمكن ربطها ب SSC في عمليات التكوين العينة هذه:
ip http secure-server
بالإضافة إلى ذلك، يمكن أيضا تعريف نقطة ثقة كما هو موضح في مثال الرمز التالي. إذا لم يكن هذا الأمر موجودا، فإن السلوك الافتراضي هو إستخدام الشهادة الموقعة ذاتيا.
ip http secure-trust-point TP-self-signed-XXXXXXXX
إذا تم تعريف نقطة ثقة وكانت تشير إلى شهادة أخرى غير الشهادة الموقعة ذاتيا، فلن تتأثر.
بالنسبة لخادم HTTPS، يكون تأثير الشهادة التي انتهت صلاحيتها طفيفا لأن الشهادات الموقعة ذاتيا غير موثوق بها بالفعل من قبل مستعرضات الويب وإنشاء تحذير حتى عند عدم انتهاء صلاحيتها. يمكن أن يؤدي وجود شهادة منتهية الصلاحية إلى تغيير التحذير الذي تتلقاه في المستعرض.
بالنسبة إلى SIP عبر TLS، يكون هذا النص موجودا في ملف التكوين:
voice service voip sip session transport tcp tls ! sip-ua crypto signaling default trust-point <self-signed-trust-point-name> ! or crypto signaling remote-addr a.b.c.d /nn trust-point <self-signed-trust-point-name> !
بالنسبة إلى Cisco Unified CME مع تمكين الإشارات المشفرة، يكون هذا النص موجودا في ملف التكوين:
telephony-service secure-signaling trust-point <self-signed-trust-point-name> tftp-server-credentials trust-point <self-signed-trust-point-name>
بالنسبة إلى Cisco Unified SRST مع تمكين الإشارات المشفرة، يكون هذا النص موجودا في ملف التكوين:
credentials trust-point <self-signed-trust-point-name>
من أجل IOS من Cisco dspfarm
موردهذا النص (مؤتمر أو نقطة نهاية الوسائط أو إعادة الترميز) مع تمكين الإشارات المشفرة، موجود في ملف التكوين:
dspfarm profile 1 conference security trust-point <self-signed-trust-point-name> ! dspfarm profile 2 mtp security trust-point <self-signed-trust-point-name> ! dspfarm profile 3 transcode security trust-point <self-signed-trust-point-name> ! sccp ccm 127.0.0.1 identifier 1 priority 1 version 7.0 trust-point <self-signed-trust-point-name> !
بالنسبة لمنافذ STCAPP التي تم تكوينها باستخدام الإشارات المشفرة، يكون هذا النص موجودا في ملف التكوين:
stcapp security trust-point <self-signed-trust-point-name> stcapp security mode encrypted
ل cisco Unified Communications Gateway Services API في وضع آمن، هذا نص حاضر في ملف التكوين:
uc secure-wsapi ip http secure-server ip http secure-trust-point TP-self-signed-XXXXXXXX
ل SSLVPN، هذا النص موجود في ملف التكوين:
webvpn gateway <gw name> ssl trust-point TP-self-signed-XXXXXXXX
OR
crypto ssl policy <policy-name>
pki trust-point <trust-point-name> sign
بالنسبة إلى ISAKMP و IKEv2، يمكن إستخدام الشهادة الموقعة ذاتيا إذا كان أي من التكوينات موجودا (يلزم إجراء تحليل إضافي للتكوين لتحديد ما إذا كانت الميزة تستخدم الشهادة الموقعة ذاتيا مقابل شهادة مختلفة):
crypto isakmp policy <number> authentication pre-share | rsa-encr < NOT either of these ! crypto ikev2 profile <prof name> authentication local rsa-sig pki trust-point TP-self-signed-xxxxxx ! crypto isakmp profile <prof name> ca trust-point TP-self-signed-xxxxxx
بالنسبة لخادم SSH، من غير المرجح للغاية أنه يمكنك الاستفادة من الشهادات لمصادقة جلسات SSH. ومع ذلك، يمكنك التحقق من التكوين للتحقق من ذلك. يجب أن يكون لديك كافة البنود الثلاثة الموضحة في مثال التعليمات البرمجية التالي لكي تتأثر.
ملاحظة: إذا قمت بزيادة اسم المستخدم ومجموعة كلمة المرور إلى SSH في جهازك، فلن تتأثر بذلك.
ip ssh server certificate profile ! Certificate used by server server trust-point sign TP-self-signed-xxxxxx
ل RESTCONF، هذا نص حاضر في التشكيل مبرد:
restconf
! And one of the following ip http secure-trust-point TP-self-signed-XXXXXXXXX ! OR ip http client secure-trust-point TP-self-signed-XXXXXXXX
الحل هو ترقية برنامج Cisco IOS أو Cisco IOS XE إلى إصدار يتضمن الإصلاح:
بعد ترقية البرنامج، يجب إعادة إنشاء "الشهادة الموقعة ذاتيا" وتصديرها إلى أي أجهزة قد تتطلب الشهادة في مخزن التوثيق الخاص بها.
تتوفر ثلاثة حلول بديلة في حالة عدم إمكانية الترقية الفورية للبرامج:
تثبيت شهادة من مرجع مصدق. ومن أنواع CA الشائعة ما يلي: Comodo، Let's
التشفير و RapidSSL و Thawte و Sectigo و GeoTrust و Symantec وما إلى ذلك. باستخدام هذا الحل البديل، يتم إنشاء طلب شهادة وعرضه بواسطة Cisco IOS. ثم ينسخ المسؤول الطلب، ويقدمه إلى مرجع مصدق من طرف ثالث، ويسترجع النتيجة.
ملاحظة: يعتبر إستخدام المرجع المصدق لتوقيع الشهادات أفضل ممارسة أمنية. يتم توفير هذا الإجراء كحل بديل في إشعار الحقل هذا، ومع ذلك، من المفضل الاستمرار في إستخدام الشهادة الموقعة من قبل CA الغير بعد تطبيق هذا الحل البديل بدلا من إستخدام شهادة موقعة ذاتيا.
لتثبيت شهادة من مرجع مصدق خارجي:
إنشاء طلب توقيع شهادة (CSR):
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#crypto pki trustpoint TEST
Router(ca-trustpoint)#enrollment term pem
Router(ca-trustpoint)#subject-name CN=TEST
Router(ca-trustpoint)#revocation-check none
Router(ca-trustpoint)#rsakeypair TEST
Router(ca-trustpoint)#exit
Router(config)#crypto pki enroll TEST
% Start certificate enrollment ..
% The subject name in the certificate will include: CN=TEST
% The subject name in the certificate will include: Router.cisco.com
% The serial number in the certificate will be: FTX1234ABCD
% Include an IP address in the subject name? [no]: n
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----
A Base64 Certificate is displayed here. Copy it, along with the ---BEGIN and ---END lines.
-----END CERTIFICATE REQUEST-----
---End - This line not part of the certificate request---
2. تقديم CSR إلى جهة خارجية CA.
ملاحظة: الإجراء الخاص بتقديم المسؤولية المدنية المدنية إلى مرجع مصدق من طرف ثالث واسترداد الشهادة التي تختلف نتائجها بناء على المرجع المصدق المستخدم. راجع وثائق المرجع المصدق للحصول على تعليمات حول كيفية تنفيذ هذه الخطوة.
3. قم بتنزيل شهادة الهوية الجديدة للموجه مع شهادة CA.
4. تثبيت شهادة المرجع المصدق على الجهاز:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#crypto pki auth TEST Enter the base 64 encoded CA certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- REMOVED -----END CERTIFICATE----- Certificate has the following attributes: Fingerprint MD5: 79D15A9F C7EB4882 83AC50AC 7B0FC625 Fingerprint SHA1: 0A80CC2C 9C779D20 9071E790 B82421DE B47E9006 % Do you accept this certificate? [yes/no]: yes trust-point CA certificate accepted. % Certificate successfully imported
5. تثبيت شهادة الهوية على الجهاز:
Router(config)#crypto pki import TEST certificate Enter the base 64 encoded certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- REMOVED -----END CERTIFICATE----- % Router Certificate successfully imported
أستخدم خادم مرجع شهادات IOS المحلي لإنشاء وتوقيع شهادة جديدة.
ملاحظة: لا تتوفر ميزة خادم CA المحلي على جميع المنتجات.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http server
Router(config)#crypto pki server IOS-CA
Router(cs-server)#grant auto
Router(cs-server)#database level complete
Router(cs-server)#no shut
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key
% or type Return to exit
Password:
Re-enter password:
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
% Certificate Server enabled.
Router#show crypto pki server IOS-CA Certificates
Serial Issued date Expire date Subject Name
1 21:31:40 EST Jan 1 2020 21:31:40 EST Dec 31 2022 cn=IOS-CA
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#crypto pki trustpoint TEST
Router(ca-trustpoint)#enrollment url http://
:80
<<<< Replace
with the IP address of an interface on the router
Router(ca-trustpoint)#
subject-name CN=TEST
Router(ca-trustpoint)#
revocation-check none
Router(ca-trustpoint)#
rsakeypair TEST
Router(ca-trustpoint)#
exit
Router#
configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
crypto pki auth TEST
Certificate has the following attributes:
Fingerprint MD5: C281D9A0 337659CB D1B03AA6 11BD6E40
Fingerprint SHA1: 1779C425 3DCEE86D 2B11C880 D92361D6 8E2B71FF
% Do you accept this certificate? [yes/no]:
yes
Trustpoint CA certificate accepted.
Router(config)#
crypto pki enroll TEST
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please take note of it.
Password:
Re-enter password:
% The subject name in the certificate will include: CN=TEST
% The subject name in the certificate will include: Router.cisco.com
% Include the router serial number in the subject name? [yes/no]: yes
% The serial number in the certificate will be: FTX1234ABCD
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]:
yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose TEST' command will show the fingerprint
أستخدم OpenSSL لإنشاء حزمة شهادة PKCS12 واستيراد الحزمة إلى Cisco IOS.
مثال Linux أو Unix أو Mac (OSX)
User@linux-box$ openssl req -newkey rsa:2048 -nodes -keyout tmp.key -x509 -days 4000 -out tmp.cer -subj
"/CN=SelfSignedCert" &> /dev/null && openssl pkcs12 -export -in tmp.cer -inkey tmp.key -out tmp.bin
-passout pass:Cisco123 && openssl pkcs12 -export -out certificate.pfx -password pass:Cisco123 -inkey
tmp.key -in tmp.cer && rm tmp.bin tmp.key tmp.cer && openssl base64 -in certificate.pfx
MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQIGnxm
t5r28FECAggAgIIDEKyw10smucdQGt1c0DdfYXwUo8BwaBnzQvN0ClawXNQln2bT
vrhus6LfRvVxBNPeQz2ADgLikGxatwV5EDgooM+IEucKDURGLEotaRrVU5Wk3EGM
mjC6Ko9OaM30vhAGEEXrk26cq+OWsEuF3qudggRYv2gIBcrJ2iUQNFsBIrvlGHRo
FphOTqhVaAPxZS7hOB30cK1tMKHOIa8EwygyBvQPfjjBT79QFgeexIJFmUtqYX/P
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#crypto pki trustpoint TEST
Router(ca-trustpoint)#enrollment terminal
Router(ca-trustpoint)#revocation-check none
Router(ca-trustpoint)#exit
R1(config)#crypto pki import TEST pkcs12 terminal password Cisco123
Enter the base 64 encoded pkcs12.
End with a blank line or the word "quit" on a line by itself:
MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQItyCo
Vh05+0QCAggAgIIDENUWY+UeuY5sIRZuoBi2nEhdIPd1th/auBYtX79aXGiz/iEW
R1#show crypto pki certificates TEST Load for five secs: 5%/1%; one minute: 2%; five minutes: 3% Time source is SNTP, 15:04:37.593 UTC Mon Dec 16 2019 CA Certificate Status: Available Certificate Serial Number (hex): 00A16966E46A435A99 Certificate Usage: General Purpose Issuer: cn=SelfSignedCert Subject: cn=SelfSignedCert Validity Date: start date: 14:54:46 UTC Dec 16 2019 end date: 14:54:46 UTC Nov 28 2030
ملاحظة: تنتهي صلاحية الشهادات الموقعة ذاتيا في 00:00 1 كانون الثاني 2020 بالتوقيت العالمي ولا يمكنك إنشائها بعد ذلك الوقت.
تنتهي صلاحية شهادات PKI ذاتية التوقيع X.509 التي تم إنشاؤها على المنتجات التي تعمل بإصدارات Cisco IOS أو Cisco IOS XE في 01/01/20200:00:00 بالتوقيت العالمي. لا يمكن إنشاء شهادات جديدة ذاتية التوقيع على الأجهزة المتأثرة بعد 01/01/2020 00:00:00 بالتوقيت العالمي. لا يمكن لأي خدمة تعتمد على هذه الشهادات الموقعة ذاتيا أن تعمل بعد انتهاء صلاحية الشهادة.
لن تعود وظيفة أي منتج متأثر تعتمد على شهادات موقعة ذاتيا تعمل بعد انتهاء صلاحية الشهادة. الرجاء مراجعة إشعار الحقل للحصول على تفاصيل إضافية.
يوفر إشعار الحقل إرشادات لتحديد ما إذا كنت تستخدم شهادة موقعة ذاتيا وما إذا كان التكوين الخاص بك يتأثر بهذه المشكلة. يرجى مراجعة قسم "كيفية التعرف على المنتجات المتأثرة" في الإشعار الميداني.
نعم. أستخدم Cisco CLI Analyzer (محلل واجهة سطر الأوامر من Cisco)، قم بتشغيل تشغيل تشغيل تشخيص النظام. إذا كانت الشهادة موجودة وتم إستخدام تنبيه يمكن عرضه. https://cway.cisco.com/cli/
نعم. قامت Cisco بإصدار حلول برمجية لهذه المشكلة بالإضافة إلى حلول بديلة في حالة عدم إمكانية ترقية البرامج على الفور. الرجاء مراجعة إشعار الحقل للحصول على التفاصيل الكاملة.
لا. تؤثر هذه المشكلة فقط على المنتجات التي تستخدم شهادات موقعة ذاتيا والتي تم إنشاؤها بواسطة إصدارات محددة من Cisco IOS أو Cisco IOS XE مع الشهادة المطبقة على خدمة على المنتج. لا تتأثر المنتجات التي تستخدم الشهادات التي تم إنشاؤها من قبل المرجع المصدق (CA) بهذه المشكلة.
لا. يمكن إنشاء الشهادات إما بواسطة مرجع شهادات خارجي تابع لجهة خارجية أو على جهاز Cisco IOS أو Cisco IOS XE نفسه كشهادة موقعة ذاتيا. قد تتطلب متطلبات المستخدم المحددة إستخدام شهادات موقعة ذاتيا. الشهادات التي تم إنشاؤها من قبل المرجع المصدق (CA) لا تتأثر بهذه المشكلة.
ولكن من المؤسف أنه على الرغم من الجهود الحثيثة التي يبذلها بائعو التكنولوجيا، فإن العيوب في البرمجيات لا تزال موجودة. عندما يتم اكتشاف خطأ في أي تقنية من تقنيات Cisco، فإننا ملتزمون بالشفافية وبتوفير المعلومات التي يحتاجها المستخدمون لحماية شبكتهم.
في هذه الحالة، تكون المشكلة ناتجة عن خطأ برمجي معروف حيث يمكن للإصدارات المتأثرة من Cisco IOS و Cisco IOS XE دائما تعيين تاريخ انتهاء صلاحية الشهادة الموقعة ذاتيا إلى 01/01/20200:00:00 UTC. بعد هذا التاريخ، تنتهي صلاحية الشهادة وتكون غير صالحة، مما قد يؤثر على وظيفة المنتج.
يكون للشهادات عادة تاريخ انتهاء صلاحية. في حالة خطأ البرنامج هذا، تم إستخدام تاريخ 1 يناير 2020 أثناء تطوير برنامج Cisco IOS و Cisco IOS XE منذ أكثر من 10 سنوات وهو خطأ بشري.
أي منتج من منتجات Cisco تشغل إصدارات Cisco IOS قبل إصدارات 15.6(03)M07، و 15.7(03)M05، و 15.8(03)M03، و 15.9(03)M وأي منتج من Cisco يشغل إصدارات Cisco IOS XE قبل 16.9.1
تحتاج إلى مراجعة الإشعار الميداني لتقييم ما إذا كنت متأثرا بهذه المشكلة، وإذا كان الأمر كذلك، فعليك إستخدام إرشادات الحل/الحل البديل للحد من هذه المشكلة.
لا. هذه ليست نقطة ضعف أمني، وليس هناك أي خطر على سلامة المنتج.
لا. يستخدم SSH أزواج مفاتيح RSA ولكنه لا يستخدم الشهادات إلا في تكوين نادر. لكي يستخدم Cisco IOS الشهادات، يجب أن يكون التكوين التالي موجودا.
ip ssh server certificate profile server trust-point sign TP-self-signed-xxxxxx
بالنسبة للأنظمة الأساسية المستندة إلى Polaris (3650/3850/Catalyst 9K Series)، يتوفر الإصلاح من 16.9.1 وما بعده
بالنسبة للنظام الأساسي CDB، يتوفر الإصلاح 15.2(7)E1a وما بعده
بالنسبة لمنصات التحويل الأساسية التقليدية الأخرى:
هناك التزامات قيد التقدم لكننا لم ننشر إطلاق سراح سي أو. يمكن أن يحتوي إصدار CCO التالي على الإصلاح.
يرجى إستخدام أحد الحلول الأخرى المتوفرة في الإنترنت.
يستمر WAAS في العمل بشكل صحيح وتحسين حركة المرور، ومع ذلك، تم قطع اتصال AppNav-XE و Central Manager بالجهاز الذي لديه شهادة موقعة ذاتيا منتهية الصلاحية. وهذا يعني أنه لا يمكنك مراقبة AppNav-Cluster أو تغيير أي نهج ل WAAS. وبإيجاز، يواصل WAAS العمل على نحو سليم، ولكن الإدارة والمراقبة توقفا مؤقتا إلى أن تحل مشكلة الشهادة. لحل المشكلة، قد يلزم إنشاء شهادة جديدة على Cisco IOS ثم إستيرادها إلى "الإدارة المركزية".
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
3.0 |
27-Sep-2023 |
تقويم |
1.0 |
13-Dec-2019 |
الإصدار الأولي |