Introducción
Este documento describe cómo Cisco Webex se trasladará a una nueva autoridad de certificación, IdenTrust Commercial Root CA 1. Los clientes que utilizan Expressway para conectarse a reuniones de Webex, o uno de los conectores que utiliza Expressway, deben cargar el nuevo certificado en sus dispositivos de Expressway antes de 2021-03-31.
Componentes Utilizados
La información de este documento se basa en Video Communication Server (VCS): Expressway o Expressway.
Problema
Si los certificados de CA raíz no se cargan en el almacén de confianza de Expressway, la negociación TLS con Webex podría fallar para estas implementaciones:
- Los terminales se utilizan para conectarse a la plataforma de vídeo Cisco Webex a través de VCS-Expressway o Expressway Edge. Debe agregar el nuevo certificado al almacén raíz de confianza de VCS o Expressway.
- Utiliza un conector o servicio híbrido en un núcleo de VCS-Control o Expressway y no ha optado por la gestión de certificados en la nube. Debe agregar el nuevo certificado al almacén raíz de confianza del VCS.
- El audio de Cisco Webex Edge se utiliza a través de VCS-Expressway o Expressway Edge. Debe agregar el certificado al almacén raíz de confianza de VCS o Expressway.
- Actualización del 23/03/2021: Los clientes que aprovechen la gestión de certificados en la nube no verán el nuevo certificado de IdenTrust en su lista de certificados actualmente. El certificado Quovadis existente (O=QuoVadis Limited, CN=QuoVadis Root CA 2) sigue siendo válido. El certificado de IdenTrust pasará a estar disponible para la gestión de certificados en la nube en un futuro por determinar. Los clientes que utilizan la gestión de certificados en la nube no experimentarán ninguna interrupción del servicio como resultado de este anuncio y no necesitan realizar ninguna acción en este momento.
- Ha restringido el acceso a las direcciones URL para comprobar las listas de revocación de certificados. Debe permitir que los clientes Webex alcancen la Lista de revocación de certificados alojada en http://validation.identrust.com/crl/hydrantidcao1.crl.
Cisco también ha agregado *.identrust.com a la lista de URLs que se deben permitir para la verificación de certificados.
- No utiliza los almacenes de confianza de certificados predeterminados para los sistemas operativos. Debe agregar el certificado al almacén raíz de confianza. Este certificado está contenido de forma predeterminada en el almacén de confianza predeterminado de todos los sistemas operativos principales.
Solución
Estos pasos también se explican en el vídeo de actualización del certificado de CA raíz de Cisco Webex de marzo de 2021 para Expressway.
Para cargar el nuevo certificado en un VCS-Control, VCS-Expressway, Expressway-Core y Expressway Edge, complete estos pasos.
Paso 1: Descargue la CA raíz comercial de IdenTrust 1 y guárdela como identrust_RootCA1.pem o identrust_RootCA1.cer.
a. Acceder a IdenTrust Commercial Root CA 1.
b. Copie el texto dentro del cuadro.
c. Guarde el texto en el Bloc de notas y guarde el archivo. Asigne al archivo el nombre identrust_RootCA1.pem o identrust_RootCA1.cer.
En todos los dispositivos de Expressway, elija Mantenimiento > Seguridad > Certificado de CA de confianza.
Paso 2: cargue el archivo en el almacén de confianza de Expressway.
a. Para cargar el certificado de CA en el almacén de confianza de Expressway, haga clic en Agregar certificado de CA.
b. Haga clic en Examinar. Cargue el archivo identrust_RootCA1.pem o identrust_RootCA1.cer. Anexar el certificado de la CA.
Paso 3: compruebe que el certificado se haya cargado correctamente y que esté presente en el almacén de confianza de VCS/Expressway.
No es necesario reiniciar ni reiniciar después de esta operación para que los cambios surtan efecto.