El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe los errores causados por el vencimiento de los certificados autofirmados (SSC) en los sistemas de software de Cisco y proporciona soluciones alternativas.
Cisco recomienda que tenga conocimiento sobre estos temas:
Los componentes son los sistemas de software afectados por el vencimiento del SSC.
Todos los sistemas Cisco IOS y Cisco IOS XE que utilizan un certificado autofirmado, que no tienen el ID de bug de Cisco CSCvi48253 corregido, o que no tenían el ID de bug de Cisco CSCvi48253 corregido cuando se generó el SSC. Esto incluye:
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Nota: este documento contiene el contenido de FN40789, junto con contexto adicional, ejemplos, actualizaciones y preguntas y respuestas.
A las 00:00 del 1 de enero de 2020 UTC, todos los certificados autofirmados (SSC) generados en los sistemas Cisco IOS y Cisco IOS XE estaban configurados para caducar, a menos que el sistema ejecutara una versión fija de Cisco IOS y Cisco IOS XE cuando se generó el SSC. Después de ese tiempo, los sistemas Cisco IOS no fijos no pueden generar nuevos SSC. Cualquier servicio que se base en estos certificados autofirmados para establecer o finalizar una conexión segura no funciona después de que caduque el certificado.
Este problema afecta solamente a los certificados autofirmados que fueron generados por el dispositivo Cisco IOS o Cisco IOS XE y aplicados a un servicio en el dispositivo. Este problema no afecta a los certificados generados por una autoridad de certificación (CA), que incluye los certificados generados por la función CA de Cisco IOS.
Ciertas funciones del software Cisco IOS y Cisco IOS XE se basan en certificados X.509 firmados digitalmente para la validación de identidad criptográfica. Estos certificados los genera una CA externa de terceros o en el propio dispositivo Cisco IOS o Cisco IOS XE como certificado autofirmado. Las versiones afectadas del software Cisco IOS y Cisco IOS XE establecen la fecha de vencimiento del certificado de firma automática en 2020-01-01 00:00:00 UTC. Después de esta fecha, el certificado caduca y no es válido.
Los servicios que pueden depender de un certificado autofirmado incluyen:
dspfarm
recursos (conferencia, punto de terminación de medios o transcodificación) con la señalización cifrada habilitadaUn intento de generar un certificado autofirmado en una versión de software afectada de Cisco IOS o Cisco IOS XE después de 2020-01-01 00:00:00 UTC da como resultado este error:
../cert-c/source/certobj.c(535) : E_VALIDITY : validity period start later than end
Los servicios que dependen del certificado autofirmado no funcionan. Por ejemplo:
Nota: para verse afectado por este aviso de campo, un dispositivo debe tener definido un certificado autofirmado y el certificado autofirmado debe aplicarse a una o más funciones como se describe a continuación. La presencia de un certificado autofirmado por sí solo no afecta al funcionamiento del dispositivo cuando caduca el certificado y no requiere ninguna acción inmediata. Para que un dispositivo se vea afectado, debe cumplir los criterios de los pasos 3 y 4 que se indican a continuación.
Para determinar si utiliza un certificado autofirmado:
Escriba el show running-config | begin crypto
en el dispositivo.
Busque la configuración crypto PKI trust-point.
En la configuración crypto PKI trust-point, busque la configuración de inscripción de punto de confianza. La inscripción en el punto de confianza debe configurarse para que se vea afectada la firma automática. Además, el certificado autofirmado también debe aparecer en la configuración. Observe que el nombre del punto de confianza no contiene las palabras "autofirmado", como se muestra en el siguiente ejemplo.
crypto pki trust-point TP-self-signed-XXXXXXXX enrollment selfsigned subject-name cn=IOS
-Self-Signed-Certificate-662415686 revocation-check none
rsakeypair TP-self-signed-662415686 ! ! crypto pki certificate chain TP-self-signed-XXXXXXXX certificate self-signed 01
3082032E 31840216 A0030201 02024101 300D0609 2A864886 F70D0101 05050030 30312E30 2C060355 04031325 494A531D 53656C66
2D536967 6E65642D 43657274 ... ECA15D69 11970A66 252D34DC 760294A6 D1EA2329 F76EB905 6A5153C9 24F2958F
D19BFB22 9F89EE23 02D22D9D 2186B1A1 5AD4
Si la inscripción de punto de confianza no está configurada para "autofirmado"; el dispositivo NO se ve afectado por este aviso de campo. No se requiere ninguna acción.
Si la inscripción de punto de confianza se configura para "autofirmado" y si el certificado autofirmado aparece en la configuración; el dispositivo puede verse afectado por este aviso de campo. Continúe con el paso 4.
Si en el paso 3 determinó que la inscripción de punto de confianza está configurada para "autofirmado" y que el certificado autofirmado aparece en la configuración, compruebe si el certificado autofirmado se aplica a una función del dispositivo.
En estas configuraciones de ejemplo se muestran varias funciones que se pueden vincular al SSC:
ip http secure-server
Además, un punto de confianza también se puede definir como se muestra en el siguiente ejemplo de código. Si este comando no está presente, el comportamiento predeterminado es utilizar el Certificado autofirmado.
ip http secure-trust-point TP-self-signed-XXXXXXXX
Si se define un punto de confianza y éste apunta a un certificado que no sea el Certificado autofirmado, no se verá afectado.
Para el servidor HTTPS, el impacto del certificado caducado es menor porque los certificados autofirmados ya no son fiables para los navegadores web y generan una advertencia incluso cuando no han caducado. La presencia de un certificado caducado puede cambiar la advertencia que recibe en el explorador.
Para SIP sobre TLS, este texto está presente en el archivo de configuración:
voice service voip sip session transport tcp tls ! sip-ua crypto signaling default trust-point <self-signed-trust-point-name> ! or crypto signaling remote-addr a.b.c.d /nn trust-point <self-signed-trust-point-name> !
Para Cisco Unified CME con la señalización cifrada habilitada, este texto está presente en el archivo de configuración:
telephony-service secure-signaling trust-point <self-signed-trust-point-name> tftp-server-credentials trust-point <self-signed-trust-point-name>
Para Cisco Unified SRST con la señalización cifrada habilitada, este texto está presente en el archivo de configuración:
credentials trust-point <self-signed-trust-point-name>
Para IOS de Cisco dspfarm
recursos (Conferencia, Punto de terminación de medios o Transcodificación) con la señalización cifrada habilitada, este texto está presente en el archivo de configuración:
dspfarm profile 1 conference security trust-point <self-signed-trust-point-name> ! dspfarm profile 2 mtp security trust-point <self-signed-trust-point-name> ! dspfarm profile 3 transcode security trust-point <self-signed-trust-point-name> ! sccp ccm 127.0.0.1 identifier 1 priority 1 version 7.0 trust-point <self-signed-trust-point-name> !
Para los puertos STP configurados con señalización cifrada, este texto está presente en el archivo de configuración:
stcapp security trust-point <self-signed-trust-point-name> stcapp security mode encrypted
Para la API de Cisco Unified Communications Gateway Services en modo seguro, este texto está presente en el archivo de configuración:
uc secure-wsapi ip http secure-server ip http secure-trust-point TP-self-signed-XXXXXXXX
Para SSLVPN, este texto está presente en el archivo de configuración:
webvpn gateway <gw name> ssl trust-point TP-self-signed-XXXXXXXX
OR
crypto ssl policy <policy-name>
pki trust-point <trust-point-name> sign
Para ISAKMP e IKEv2, se puede utilizar el certificado autofirmado si alguna de las configuraciones está presente (se requiere un análisis adicional de la configuración para determinar si la función utiliza el certificado autofirmado frente a un certificado diferente):
crypto isakmp policy <number> authentication pre-share | rsa-encr < NOT either of these ! crypto ikev2 profile <prof name> authentication local rsa-sig pki trust-point TP-self-signed-xxxxxx ! crypto isakmp profile <prof name> ca trust-point TP-self-signed-xxxxxx
Para el servidor SSH, es extremadamente improbable que pueda aprovechar los certificados para autenticar las sesiones SSH. Sin embargo, puede comprobar la configuración para comprobarlo. Debe tener las tres líneas mostradas en el siguiente ejemplo de código para que se vean afectadas.
Nota: Si ha aprovechado la combinación de nombre de usuario y contraseña para SSH en su dispositivo, NO se verá afectado.
ip ssh server certificate profile ! Certificate used by server server trust-point sign TP-self-signed-xxxxxx
Para RESTCONF, este texto está presente en el archivo de configuración:
restconf
! And one of the following ip http secure-trust-point TP-self-signed-XXXXXXXXX ! OR ip http client secure-trust-point TP-self-signed-XXXXXXXX
La solución consiste en actualizar el software Cisco IOS o Cisco IOS XE a una versión que incluya la corrección:
Después de actualizar el software, debe volver a generar el certificado autofirmado y exportarlo a cualquier dispositivo que pueda requerir el certificado en su almacén de confianza.
Hay tres soluciones alternativas disponibles si no es posible realizar una actualización de software inmediata:
Instale un certificado de una entidad emisora de certificados. Las CA comunes incluyen: Comodo, Let's
Encrypt, RapidSSL, Thawte, Sectigo, GeoTrust, Symantec, etc. Con esta solución alternativa, Cisco IOS genera y muestra una solicitud de certificado. A continuación, el administrador copia la solicitud, la envía a una entidad emisora de certificados de terceros y recupera el resultado.
Nota: el uso de una CA para firmar certificados se considera una práctica recomendada de seguridad. Este procedimiento se proporciona como solución alternativa en este aviso de campo; sin embargo, es preferible seguir utilizando el certificado firmado por CA de terceros después de aplicar esta solución alternativa, en lugar de utilizar un certificado autofirmado.
Para instalar un certificado de una CA de terceros:
Crear una solicitud de firma de certificado (CSR):
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#crypto pki trustpoint TEST
Router(ca-trustpoint)#enrollment term pem
Router(ca-trustpoint)#subject-name CN=TEST
Router(ca-trustpoint)#revocation-check none
Router(ca-trustpoint)#rsakeypair TEST
Router(ca-trustpoint)#exit
Router(config)#crypto pki enroll TEST
% Start certificate enrollment ..
% The subject name in the certificate will include: CN=TEST
% The subject name in the certificate will include: Router.cisco.com
% The serial number in the certificate will be: FTX1234ABCD
% Include an IP address in the subject name? [no]: n
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----
A Base64 Certificate is displayed here. Copy it, along with the ---BEGIN and ---END lines.
-----END CERTIFICATE REQUEST-----
---End - This line not part of the certificate request---
2. Envíe el CSR a la CA de terceros.
Nota: el procedimiento para enviar el CSR a una CA de terceros y recuperar el certificado resultante varía en función de la CA utilizada. Consulte la documentación de la CA para obtener instrucciones sobre cómo realizar este paso.
3. Descargue el nuevo certificado de identidad para el router junto con el certificado de la CA.
4. Instale el certificado de la CA en el dispositivo:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#crypto pki auth TEST Enter the base 64 encoded CA certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- REMOVED -----END CERTIFICATE----- Certificate has the following attributes: Fingerprint MD5: 79D15A9F C7EB4882 83AC50AC 7B0FC625 Fingerprint SHA1: 0A80CC2C 9C779D20 9071E790 B82421DE B47E9006 % Do you accept this certificate? [yes/no]: yes trust-point CA certificate accepted. % Certificate successfully imported
5. Instale el certificado de identidad en el dispositivo:
Router(config)#crypto pki import TEST certificate Enter the base 64 encoded certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- REMOVED -----END CERTIFICATE----- % Router Certificate successfully imported
Utilice el servidor local de la autoridad certificadora de Cisco IOS para generar y firmar un nuevo certificado.
Nota: la función de servidor de la CA local no está disponible en todos los productos.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http server
Router(config)#crypto pki server IOS-CA
Router(cs-server)#grant auto
Router(cs-server)#database level complete
Router(cs-server)#no shut
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key
% or type Return to exit
Password:
Re-enter password:
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
% Certificate Server enabled.
Router#show crypto pki server IOS-CA Certificates
Serial Issued date Expire date Subject Name
1 21:31:40 EST Jan 1 2020 21:31:40 EST Dec 31 2022 cn=IOS-CA
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#crypto pki trustpoint TEST
Router(ca-trustpoint)#enrollment url http://
:80
<<<< Replace
with the IP address of an interface on the router
Router(ca-trustpoint)#
subject-name CN=TEST
Router(ca-trustpoint)#
revocation-check none
Router(ca-trustpoint)#
rsakeypair TEST
Router(ca-trustpoint)#
exit
Router#
configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
crypto pki auth TEST
Certificate has the following attributes:
Fingerprint MD5: C281D9A0 337659CB D1B03AA6 11BD6E40
Fingerprint SHA1: 1779C425 3DCEE86D 2B11C880 D92361D6 8E2B71FF
% Do you accept this certificate? [yes/no]:
yes
Trustpoint CA certificate accepted.
Router(config)#
crypto pki enroll TEST
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please take note of it.
Password:
Re-enter password:
% The subject name in the certificate will include: CN=TEST
% The subject name in the certificate will include: Router.cisco.com
% Include the router serial number in the subject name? [yes/no]: yes
% The serial number in the certificate will be: FTX1234ABCD
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]:
yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose TEST' command will show the fingerprint
Utilice OpenSSL para generar un paquete de certificados PKCS12 e importar el paquete a Cisco IOS.
Ejemplo de LINUX, UNIX o MAC (OSX)
User@linux-box$ openssl req -newkey rsa:2048 -nodes -keyout tmp.key -x509 -days 4000 -out tmp.cer -subj
"/CN=SelfSignedCert" &> /dev/null && openssl pkcs12 -export -in tmp.cer -inkey tmp.key -out tmp.bin
-passout pass:Cisco123 && openssl pkcs12 -export -out certificate.pfx -password pass:Cisco123 -inkey
tmp.key -in tmp.cer && rm tmp.bin tmp.key tmp.cer && openssl base64 -in certificate.pfx
MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQIGnxm
t5r28FECAggAgIIDEKyw10smucdQGt1c0DdfYXwUo8BwaBnzQvN0ClawXNQln2bT
vrhus6LfRvVxBNPeQz2ADgLikGxatwV5EDgooM+IEucKDURGLEotaRrVU5Wk3EGM
mjC6Ko9OaM30vhAGEEXrk26cq+OWsEuF3qudggRYv2gIBcrJ2iUQNFsBIrvlGHRo
FphOTqhVaAPxZS7hOB30cK1tMKHOIa8EwygyBvQPfjjBT79QFgeexIJFmUtqYX/P
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#crypto pki trustpoint TEST
Router(ca-trustpoint)#enrollment terminal
Router(ca-trustpoint)#revocation-check none
Router(ca-trustpoint)#exit
R1(config)#crypto pki import TEST pkcs12 terminal password Cisco123
Enter the base 64 encoded pkcs12.
End with a blank line or the word "quit" on a line by itself:
MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQItyCo
Vh05+0QCAggAgIIDENUWY+UeuY5sIRZuoBi2nEhdIPd1th/auBYtX79aXGiz/iEW
R1#show crypto pki certificates TEST Load for five secs: 5%/1%; one minute: 2%; five minutes: 3% Time source is SNTP, 15:04:37.593 UTC Mon Dec 16 2019 CA Certificate Status: Available Certificate Serial Number (hex): 00A16966E46A435A99 Certificate Usage: General Purpose Issuer: cn=SelfSignedCert Subject: cn=SelfSignedCert Validity Date: start date: 14:54:46 UTC Dec 16 2019 end date: 14:54:46 UTC Nov 28 2030
Nota: los certificados autofirmados caducan a las 00:00 del 1 de enero de 2020 UTC y no podrá crearlos después de ese momento.
Los certificados PKI X.509 autofirmados generados en productos que ejecutan versiones de Cisco IOS o Cisco IOS XE afectadas caducan el 01/01/2020 00:00:00 UTC. Los nuevos certificados autofirmados no se pueden crear en los dispositivos afectados después del 01/01/2020 00:00:00 UTC. Cualquier servicio que se base en estos certificados autofirmados ya no puede funcionar después de que caduque el certificado.
La funcionalidad de cualquier producto afectado que se base en los certificados autofirmados ya no puede funcionar después de que caduque el certificado. Consulte el aviso práctico para obtener más información.
El Aviso práctico proporciona instrucciones para determinar si utiliza un certificado autofirmado y si su configuración se ve afectada por este problema. Consulte la sección "Cómo identificar los productos afectados" en el aviso práctico.
Yes. Utilice el Analizador de Cisco CLI, ejecute un Diagnóstico del sistema. Si el certificado está presente y se utiliza, se puede mostrar una alerta. https://cway.cisco.com/cli/
Yes. Cisco ha publicado soluciones de software para este problema, así como soluciones alternativas en caso de que una actualización de software no sea factible inmediatamente. Consulte el aviso práctico para obtener más información.
No. Este problema sólo afecta a los productos que utilizan certificados autofirmados generados por versiones específicas de Cisco IOS o Cisco IOS XE con el certificado aplicado a un servicio del producto. Este problema no afecta a los productos que utilizan certificados generados por una entidad emisora de certificados (CA).
No. Los certificados pueden ser generados por una autoridad de certificación externa de terceros o en el propio dispositivo Cisco IOS o Cisco IOS XE como certificado autofirmado. Los requisitos específicos de los usuarios pueden requerir el uso de certificados autofirmados. Este problema no afecta a los certificados generados por una entidad emisora de certificados (CA).
Desafortunadamente, a pesar de los esfuerzos de los proveedores de tecnología, los defectos de software siguen ocurriendo. Cuando se descubre un error en cualquier tecnología de Cisco, estamos comprometidos con la transparencia y con proporcionar a nuestros usuarios la información que necesitan para proteger su red.
En este caso, el problema se debe a un error de software conocido en el que las versiones afectadas de Cisco IOS y Cisco IOS XE siempre pueden establecer la fecha de vencimiento del certificado autofirmado en 01/01/2020 00:00:00 UTC. Después de esta fecha, el certificado caduca y no es válido, lo que podría afectar a la funcionalidad del producto.
Los certificados suelen tener una fecha de caducidad. En el caso de este error de software, la fecha del 1 de enero de 2020 se utilizó durante el desarrollo del software Cisco IOS y Cisco IOS XE hace más de 10 años y es un error humano.
Cualquier producto de Cisco que ejecute las versiones de Cisco IOS anteriores a 15.6(03)M07, 15.7(03)M05, 15.8(03)M03 y 15.9(03)M y cualquier producto de Cisco que ejecute las versiones de Cisco IOS XE anteriores a 16.9.1
Debe revisar el aviso de campo para evaluar si este problema le afecta y, en caso afirmativo, utilizar las instrucciones de la solución o solución alternativa para mitigarlo.
No. No se trata de una vulnerabilidad de seguridad y no hay riesgo para la integridad del producto.
No. SSH utiliza pares de claves RSA pero no utiliza certificados excepto en una configuración poco común. Para que Cisco IOS utilice certificados, debe estar presente la siguiente configuración.
ip ssh server certificate profile server trust-point sign TP-self-signed-xxxxxx
Para las plataformas basadas en Polaris (3650/3850/Catalyst 9K series), la corrección está disponible a partir de la versión 16.9.1
Para la plataforma CDB, fix está disponible a partir de la versión 15.2(7)E1a
Para las demás plataformas de switching clásicas:
Las confirmaciones están en curso pero no hemos publicado la versión de CCO. La próxima versión de CCO puede tener la solución.
En el ínterin, utilice una de las otras soluciones alternativas disponibles.
WAAS sigue funcionando correctamente y optimizando el tráfico; sin embargo, AppNav-XE y Central Manager se desconectaron para conectarse al dispositivo que tiene un certificado autofirmado caducado. Esto significa que no puede supervisar AppNav-Cluster ni cambiar ninguna política para WAAS. En resumen, WAAS sigue funcionando correctamente, pero la gestión y la supervisión se suspenden hasta que se resuelve el problema del certificado. Para resolver el problema, es posible que sea necesario generar un nuevo certificado en Cisco IOS y, a continuación, importarlo a Central Manager.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
3.0 |
27-Sep-2023 |
Recertificación |
1.0 |
13-Dec-2019 |
Versión inicial |