Introducción
Este documento describe cómo el cambio de certificado el 31 de marzo de 2021 afecta a Smart Licensing en Expressway.
Cisco se traslada a una nueva Autoridad de Certificados, IdenTrust Commercial Root CA 1 desde marzo de 2021. Si utiliza Smart Licensing en Expressway, cargue el nuevo certificado raíz en sus dispositivos de Expressway antes del 31 de marzo de 2021. Si no se carga, la sincronización de la conexión entre Expressway y Cisco Smart Software Manager (CSSM) se interrumpe.
Antecedentes
La CA 2 raíz de la infraestructura de clave pública (PKI) de QuoVadis utilizada por CCP para emitir certificados SSL está sujeta a un problema que afecta a las capacidades de revocación en todo el sector. Debido a este problema, la CA 2 raíz de QuoVadis se clausura en 2021-03-31. QuoVadis Root CA 2 no emite certificados nuevos para Cisco después de 2021-03-31.
Los certificados emitidos antes de la CA 2 raíz de QuoVadis se retiran y siguen siendo válidos hasta que alcanzan su fecha de vencimiento individual. Una vez que caducan esos certificados, no se renuevan y esto puede hacer que funciones como Smart Licensing no puedan establecer conexiones seguras.
A partir de 2021-04-01, la CA 1 de raíz comercial de IdenTrust se utiliza para emitir certificados SSL previamente emitidos por la CA 2 de raíz de QuoVadis.
- Actualización del 23 de marzo de 2021: Los clientes que aprovechan la Administración de certificados en la nube no ven el nuevo certificado de IdenTrust en su lista de certificados actualmente. El certificado Quovadis existente (O=QuoVadis Limited, CN=QuoVadis Root CA 2) sigue siendo válido. El certificado de IdenTrust estará disponible para la Administración de certificados en la nube en un momento futuro por determinar. Si utiliza la gestión de certificados en la nube, las interrupciones del servicio como resultado de este anuncio no se experimentarán y no tendrá que realizar ninguna acción en este momento.
Problema
Para todos los Expressway Core y Edge, algunos certificados Secure Sockets Link (SSL) emitidos desde la cadena de confianza de la autoridad de certificados raíz (CA) de QuoVadis antes de 2021-03-31 no se pueden renovar desde esta CA. Una vez caducados esos certificados, funciones como Smart Licensing no pueden establecer conexiones seguras con Cisco y es posible que no funcionen correctamente.
Síntoma
Las plataformas afectadas de Expressway Core y Edge no pueden registrarse con Smart Licensing alojadas en tools.cisco.com. Las licencias inteligentes pueden fallar en el derecho y reflejarse como un estado fuera de cumplimiento.
Nota: Cisco proporciona un período de gracia de 60 días antes de que las licencias inteligentes afectadas se coloquen en un estado de caducidad de autorización que podría afectar a la funcionalidad de la función. El registro de licencias inteligentes para nuevos productos puede verse afectado y requiere una solución alternativa o solución.
Solución
Los pasos también se explican en este video: https://video.cisco.com/video/6241489762001
Instrucciones sobre cómo cargar el nuevo certificado en Expressway-Core y Expressway Edge:
Paso 1. Descargue la CA 1 de IdenTrust Commercial Root aquí y guárdela como iarchivo dentrust_RootCA1.pem o cer.
1. Acceda al sitio web anterior.
2. Copie el texto dentro del cuadro.
3. Guarde el texto en el Bloc de notas y guarde el archivo. Asigne al archivo el nombre identrust_RootCA1.pem o identrust_RootCA1.cer
En todos los dispositivos de Expressway, navegue hasta Mantenimiento > Seguridad > Certificado CA de confianza.
Paso 2. Cargue el archivo en el almacén de confianza de Expressway.
Cargue el certificado de CA en el almacén de confianza de Expressway. Haga clic en Agregar CA.
Browse > Upload the identrust_RootCA1.pem > Append CA Certificate.
El certificado de CA cargado se puede verificar a continuación.
Paso 3: Verifique que el certificado se haya cargado correctamente y esté presente en el almacén de confianza de VCS / Expressway
No se requiere reinicio o reinicio después de esta operación para que los cambios surtan efecto.
Consulte este aviso para obtener más información
Enlace Aviso de campo.
https://www.cisco.com/c/en/us/support/docs/field-notices/705/fn70557.html