تجهيز ExpressWay لغروب شمس EKU الخاص بالعميل في شهادات CA العامة

المقدمة

يصف هذا المستند تغييرات نهج برنامج Chrome Root في Cisco Expressway ومصادقة العميل EKU Sunset في شهادات CA العامة بعد 6/26.

معلومات مجموعة الدعم

الشهادات الرقمية هي وثائق اعتماد إلكترونية تصدرها سلطات التصديق الموثوق بها (CAs) تؤمن الاتصال بين الخوادم والعملاء عن طريق ضمان المصادقة وسلامة البيانات والسرية. تحتوي هذه الشهادات على حقول إستخدام المفتاح الموسع (EKU) التي تحدد الغرض منها:

• مصادقة الخادم EKU (id-kp-serverAuth): يستخدم عندما يقدم الخادم شهادته لإثبات الهوية
• مصادقة العميل EKU (id-kp-clientAuth): يستخدم في إتصالات TLS المتبادلة (mTLS) حيث يقوم كلا الطرفين بمصادقة بعضهما البعض

وبشكل تقليدي، يمكن أن تحتوي الشهادة المفردة على وحدات EKU الخاصة بمصادقة الخادم والعميل، مما يتيح إستخدامها في أغراض مزدوجة. وهذا مهم بشكل خاص لمنتجات مثل Cisco Expressway التي تعمل كخادم وعميل في سيناريوهات اتصال مختلفة.

تعريف المشكلة

تغيير سياسة برنامج جذر الكروم

واعتبارا من يونيو 2026، تقيد سياسة برنامج جذر كروم شهادات المرجع المصدق (CA) المتضمنة في مخزن جذر كروم، للتخلص التدريجي من الجذور متعددة الأغراض لمحاذاة كافة التدرجات الهرمية للبنية الأساسية للمفتاح العام (PKI) لخدمة حالات إستخدام مصادقة خادم TLS فقط.

المتطلبات الرئيسية للسياسات

• يجب أن تؤكد مراجع CA العامة إستخدام المفتاح الموسع (EKU) فقط لمصادقة الخادم (id-KP-serverAuth)
• يجب أن تتضمن الشهادات مصادقة الخادم EKU فقط للحفاظ على الثقة من مستعرض Google Chrome
• يمنع تضمين EKU لمصادقة العميل في هذه الشهادات
• تتم إزالة CAs الجذر التي تستمر في إصدار الشهادات باستخدام EKU لمصادقة العميل في نهاية المطاف من مخزن Chrome الجذر
• لا مزيد من تراخيص CAs الجذر للاستخدام المختلط لشهادات TLS للخادم العام
• الجدول الزمني للتنفيذ: يونيو 2026

الجدول الزمني للاستجابة للترخيص المصدق العام

• أكتوبر 2025: بدأ العديد من المرجع المصدق العام (DigiCert، Sectigo، SSL) في إصدار شهادات الخادم فقط بشكل افتراضي 
• 11 فبراير 2026: دعنا نقوم بتشفير التراخيص باستخدام EKU لمصادقة العميل باستخدام ملف تعريف ACME التقليدي 
• مايو 2026: توقف خوادم CA العامة عن إصدار شهادات EKU لمصادقة العميل 
• يونيو 2026: سياسة برنامج كروم روت تصبح فعالة تماما 

ملاحظة: لا ينطبق هذا النهج إلا على الشهادات الصادرة عن المراجع المصدقة العامة. لا تتأثر PKI الخاص والشهادات الموقعة ذاتيا بهذا النهج.

وثائق Cisco ذات الصلة

• معرف تصحيح الأخطاء من Cisco: CSCwr73373- دعم خادم منفصل وشهادة عميل ل Expressway
• إشعار ميداني: FN74362
• سياسة برنامج Chrome Root: وثائق برنامج Chrome Root

كيف تؤثر على حل Expressway

المنتجات المتأثرة 

لكل إشعار ميداني FN74362، تتأثر جميع إصدارات Expressway من Cisco: 

الدور المزدوج ل Expressway

تعمل منتجات Expressway من Cisco (Expressway-C و Expressway-E) كخادم وعميل في سيناريوهات توصيل مختلفة، مما يتطلب شهادات باستخدام وحدات EKU لمصادقة الخادم والعميل.

Expressway E كخادم (يلزم توفر EKU لمصادقة الخادم): 

• وصول مستعرض HTTPS
• إتصالات SIP UC Traversal
• اتصال Webex Edge Audio/MRA

ExpressWay E كعميل (يلزم توفر EKU لمصادقة العميل): 

• إتصالات B2B
• إتصالات MRA (الوصول عن بعد و أثناء التنقل)
• إتحاد XMPP
• إتصالات SIP Neighbor Zone/CMS
• التفاعلات مع الكيانات الخارجية
• الاتصال بسحابة Cisco (إدراج MRA)

حالات الاستخدام المتأثرة المحددة

الشهادة العامة الموقعة من CA مع مصادقة العميل EKU المستخدمة حاليا لاتصالات mTLS في Cisco Expressway هي شهادة خادم Expressway. تستخدم هذه الشهادة لاتصالات mTLS التالية: 

1. إستدعاء SIP B2B عبر mTLS - يصبح Expressway E زبونا أو خادما على اتصال mTLS، وفقا للموقع الذي تم بدء جلسة العمل فيه 
2. إتحاد SIP IMP عبر mTLS - يتحول Expressway E إلى عميل أو خادم على اتصال mTLS، حسب الموقع الذي بدأته جلسة العمل 
3. منطقة مرور الاتصالات الموحدة (UC) - يقدم Expressway C مصادقة العميل EKU 
4. منطقة العبور بتكوين mTLS - يقدم Expressway C مصادقة العميل EKU 
5. منطقة SIP المجاورة مع تكوين mTLS - يصبح Expressway عميل أو خادم على اتصال mTLS، وفقا للموقع الذي بدأت جلساته، بما في ذلك الاتصالات مع:

• Cisco Unified Communications Manager (Unified CM)
• Cisco Unity
• وحدة التحكم Unified Border Element (CUBE) من Cisco
• خادم الاجتماعات (CMS) من Cisco
• الاتصال بسحابة Cisco - MRA الإلحاق (يقوم Expressway بتهيئة الاتصال بسحابة Cisco ويقدم مصادقة العميل EKU)

توصيات

تدقيق الشهادات الحالية (الخطوة الأولى الإلزامية) 

إشعار ميداني FN74362، قبل النظر في خيارات الحل والحل البديل:

• إعداد جرد لجميع شهادات TLS العامة لتحديد الشهادات التي تحتوي على EKU لمصادقة العميل
• إجراء عملية نسخ إحتياطي لمثيل Cisco Expressway أو نسخ الشهادة الموقعة والمفتاح الخاص يدويا
• إستخدام شهادة المستند: التعرف على الشهادات المستخدمة لاتصالات mTLS
• التحقق من معلومات المرجع المصدق والجذر: المستند الذي يصدره المرجع المصدق والجذر لكل شهادة
• فحص تواريخ انتهاء الصلاحية: خطط للتجديد بشكل إستراتيجي قبل تطبيق السياسة

حلول قصيرة الأجل (قبل يونيو 2026) 

يمكن للمسؤولين الاختيار من أحد خيارات الحل التالية: 

الخيار 1: التبديل إلى CAs الجذر العام لتوفير شهادات EKU المجمعة 

تصدر بعض تراخيص الجذر العام (مثل DigiCert و IdenTrust) شهادات تحتوي على EKU مجمعة من جذر بديل، ولا يمكن تضمينه في مخزن ائتمان مستعرض Chrome.

أمثلة على أنواع CAs الجذر العام و EKU (لكل FN74362): 

المتطلبات الأساسية لهذا النهج: 

• نسق مع مزود المرجع المصدق للتحقق من توفر هذه الشهادات.
• قبل نشر الشهادات، تأكد من أن كل من الخادم الذي يقدم الشهادة وكل العملاء الذين يستهلكونها يثقون في المرجع المصدق الجذر المطابق.
• تبادل معلومات شهادة الجذر مع أقران الاتصال.
• ويتجنب هذا النهج الحاجة الفورية إلى ترقيات البرامج.

مراجع إدارة الشهادات: 

• دليل نشر إنشاء شهادة Expressway واستخدامها من Cisco (x14.0)
• دليل نشر إنشاء شهادة Expressway واستخدامها من Cisco (x15.0)

الخيار 2: تجديد الشهادات الحالية لتمديد صلاحيتها

يستمر إحترام الشهادات التي تم إصدارها من قبل CAs الجذر العام قبل مايو 2026 والتي تحتوي على EKU لكل من مصادقة الخادم والعميل حتى انتهاء مدة صلاحيتها.

إستراتيجية التجديد

التوصيات العامة هي:

• تجديد شهادات EKU المجمعة قبل حدوث إعداد النهج 
• بالنسبة لصلاحية الشهادات القصوى، خطط لتجديد الشهادات قبل 15 مارس/آذار 2026.
• بعد هذا التاريخ، تكون الشهادات العامة التي تم إصدارها صالحة لمدة 200 يوم فقط.
• توصيك Cisco بشدة بتجديد الشهادات قبل هذا التاريخ إذا كنت ترغب في متابعة هذا الخيار.
• يمكن أن تختلف سياسة المرجع المصدق العام وتواريخ تنفيذه.
• توقفت بعض الشهادات المصدقة العامة عن إصدار شهادات EKU المجمعة ولا يمكنها توفير شهادة واحدة بشكل افتراضي.
• لإنشاء شهادة باستخدام EKU مشتركة، اعمل مع المرجع المصدق الخاص بك واستخدم ملفك تعريف خاص مقدم من المرجع المصدق العام.

اعتبارات خاصة لنقوم بتشفير الشهادات

لكل FN74362، إذا كنت تستخدم دعونا نشفر الشهادات:

• حاليا، يستخدم Expressway ملف تعريف ACME كلاسيكي تم ترميزه ولا يمكن تعديله بواسطة المستخدمين 
• يستخدم ملف تعريف ACME الكلاسيكي حاليا لطلب شهادات تتضمن وحدات EKU لمصادقة الخادم والعميل
• بدءا من 11 فبراير 2026، لم تعد طلبات الشهادات التي تستخدم ملف التعريف هذا تتضمن EKU لمصادقة العميل في الشهادات التي تم إنشاؤها بواسطة Let's Encrypt
• لمزيد من المعلومات، راجع دعم شهادة مصادقة عميل TLS النهائية في 2026 - دعنا نشفر

عناصر الإجراء الخاصة بتشفير المستخدمين

• تجديد الشهادات قبل 11 فبراير/شباط 2026 - من الأفضل أن يكون أقرب وقت ممكن إلى هذا التاريخ لتعظيم فترة الصلاحية التي تمتد 90 يوما.
• تعطيل أداة الجدولة التلقائية ل ACME لمنع تجديد الشهادات تلقائيا بعد 11 فبراير 2026.
• يساعد هذا الإجراء على تجنب الكتابة فوق الشهادات دون قصد باستخدام الإصدارات التي تحتوي على EKU لمصادقة الخادم فقط.
• إذا لم تجدد قبل 11 فبراير/شباط 2026، اتصل ب Cisco TAC للحصول على الدعم.

الخيار 3: تقييم موفري CA البديل والترحيل إليهم 

ينطبق هذا الخيار على: Expressway C فقط، ولا ينطبق على Expressway E.

نهج الكيانات الخاصة

• تقييم جدوى الانتقال إلى مرفق المفاتيح العمومية الخاص
• إعداد مرجع مصدق خاص لإصدار شهادات مفردة باستخدام EKU (شهادات الخادم والعميل مع وحدات EKU المطلوبة)
• عند إصدار شهادة موقعة من مرجع مصدق خاص، تحتاج لمشاركة معلومات الشهادة الجذر مع النظير.
• قبل إصدار أو نشر شهادة، تأكد من أن كل من الخادم الذي يقدم الشهادة وكل العملاء الذين يستهلكونها يثقون في المرجع المصدق (CA) الجذر المطابق.
• المرجع المصدق الخاص غير خاضع لسياسة برنامج جذر الكروم
• توفير تحكم طويل المدى في نهج الشهادات

تحذير: هذا الخيار غير صالح ل Expressway-E، الذي يتطلب شهادات CA العامة للخدمات الخارجية و ثقة المتصفح.

حل طويل الأجل (يلزم ترقية البرامج) 

لكل إشعار ميداني FN74362، تقوم Cisco بتنفيذ تحسينات المنتج في الإصدارات الثابتة لمعالجة هذه المشكلة بشكل شامل.

 جدول الإصدار الثابت:

ملاحظة: يجب ترقية كل من Cisco Expressway E و Expressway C إلى الإصدار نفسه.

تفاصيل الحل Cisco Expressway X15.4 (فبراير 2026) 

الغرض: حل متقطع لاستيعاب الشهادات باستخدام وحدة الاحتفاظ بالمخزون (EKU) من ServerAuth فقط ولتمكين تسجيلات MRA

التحسينات الرئيسية هي:

• إزالة القيود على تحميلات الشهادات 
• يسمح للمسؤولين بتحميل الشهادات باستخدام EKU لمصادقة الخادم فقط من خلال واجهة المستخدم الرسومية (GUI) عبر الويب على Expressway E
• في السابق، رفض Expressway الشهادات الخاصة بالخادم فقط
• ضبط التحقق من الشهادة ل MRA 
• يعدل التحقق من الشهادة لإرسال إشارات SIP بين Expressway-E و Expressway-C في حلول MRA
• السماح بقبول شهادات الخادم فقط من تطبيقات الطرف الثالث

من يمكنه الترقية إلى الإصدار X15. 4: 

• إذا قمت بنشر شهادات جديدة أو إعادة نشر ExpressWay-E موجودة من أجل MRA مع شهادات موقعة من الخادم فقط.
• إذا كنت تستخدم شهادات ACME (دعونا نشفيرها) بعد 11 فبراير 2026.
• عمليات النشر الحالية التي تحتاج إلى ترقية الشهادات الموقعة التي تحتوي فقط على EKU لمصادقة الخادم.
• إذا واجهت مشاكل مصادقة متعلقة بالشهادة في إتصالات mTLS

متطلبات هامة ل X15.4: 

• يجب ترقية كل من Expressway-E و Expressway-C إلى X15.4
• تخطيط الترقية أثناء إطار الصيانة لتقليل انقطاع الخدمة إلى الحد الأدنى

قيود X15.4 هي: 

• هذا حل متقطع يعالج مشاكل التوافق الفورية
• لا توفر دعم الشهادة المزدوجة بالكامل
• لا يتضمن معلمة الخدمة لتعطيل فحص EKU
• يمكن أن تفشل إتصالات mTLS وفقا للموقع الذي تم بدء جلسة العمل فيه

تفاصيل الحل Cisco Expressway X15.5 (مايو 2026) 

الغرض: حل شامل لتلبية متطلبات برنامج Google Chrome Root العالمي 

تحسينات المنتج الرئيسية: 

• الفصل بين شهادات العميل والخادم 
• تمكين دعم شهادتين منفصلتين على نفس الواجهة
• شهادات Expressway مع مصادقة EKU المميزة للخادم ومصادقة العميل EKU
• تسهيل إتصالات TLS المناسبة مع أدوار الشهادات المنفصلة
• تحسينات UI و Backend
• واجهات إدارة شهادات جديدة للإدارة الفردية لكلتا الشهادتين
• التحقق من صحة EKU لمصادقة العميل أثناء تحميل الشهادة لتجنب حالات انقطاع اتصال MTLS العرضية
• يمكن للمسؤولين تحميل شهادات الخادم والعميل وإدارتها بشكل منفصل
• خيارات تعطيل التحقق من EKU لمصادقة العميل
• معلمة الخدمة التي تسمح للمسؤولين بتعطيل التحقق من EKU لمصادقة العميل وفقا لمتطلبات المؤسسة الفردية
• يسمح Cisco Expressway بتجاهل EKU من النظير البعيد (العميل) الذي يطلب اتصالا بشهادات EKU لمصادقة الخادم فقط
• في غياب شهادة EKU لمصادقة العميل، يسمح ل Expressway (إعادة)إستخدام شهادة EKU لمصادقة الخادم فقط كشهادة عميل

ملاحظة: في هذه الحالة، يجب على النظير البعيد أيضا دعم نموذج EKU لتجاهل مصادقة العميل نفسه

شجرة القرارات

البدء: هل تستخدم شهادات المرجع المصدق العامة على Expressway؟

│

├─ لا: PKI الخاص أو موقع ذاتيا

│ └─ لا يتطلب الأمر أي إجراء - لا يتأثر بالسياسات

│

└─ نعم: شهادات المرجع المصدق العامة قيد الاستخدام

   │

   ├─ هل يتم إستخدامها لاتصالات mTLS؟ (فحص حالات الاستخدام في قسم حالات الاستخدام المتأثرة المحددة)

   │ │

   │ ├ ─ لا: مصادقة الخادم فقط

   │ │ └─ الحد الأدنى من التأثير - شاشة للتغييرات المستقبلية

   │ │

   │ └─ نعم: إتصالات mTLS مع Client Auth EKU

   │ │

   │ └ ─ أختر طريقتك:

   │ │

   │ ├─ الخيار أ: التبديل إلى المرجع المصدق (CA) الجذر البديل

   │ │ ├─ اتصل بموفر المرجع المصدق ل EKU المجمع من جذر بديل

   │ │ ├─ تأكد من أن جميع أقرانك يثقون بالجذر الجديد

   │ │ └─ لا حاجة إلى ترقية فورية للبرامج

   │ │

   │ ├─ الخيار ب: تجديد الشهادات قبل المواعيد النهائية

   │ │ ├─ إذا دعونا نشفر: التجديد قبل 11 فبراير 2026

   │ │ │ └─تعطيل مجدول ACME بعد التجديد

   │ │ ├─لأقصى حد من الصلاحية: التجديد قبل 15 مارس 2026

   │ │ └─ تشتري الوقت حتى انتهاء صلاحية الشهادة

   │ │

   │ ├─ الخيار ج: الترحيل إلى PKI الخاص (Expressway-C فقط)

   │ │ ├─ إعداد البنية التحتية الخاصة ل CA

   │ │ ├─ إصدار شهادات EKU الموحدة

   │ │ ├─ قم بتوزيع الجذر على جميع الأقران

   │ │ └─التحكم طويل المدى، ليس ل Expressway-E

   │ │

   │ └─ الخيار د : تخطيط ترقية البرامج

   │ ├ ─ حاجة ملحة؟ → الترقية إلى الإصدار X15.4 (فبراير 2026)

   │ └─ حل شامل → ترقية إلى الإصدار x15.5 (مايو 2026)

   │ └─ ثم احصل على شهادات منفصلة من الخادم/العميل

الأسئلة المتداولة (FAQ)

أسئلة عامة

س: هل يجب أن أقلق بشأن هذا إذا أستخدمت PKI الخاص؟

ج: لا. يؤثر هذا النهج فقط على الشهادات التي تم إصدارها بواسطة CAs الجذر العام. لا تتأثر شهادات PKI الخاصة والشهادات الموقعة ذاتيا.

س: ماذا لو لم أستخدم إتصالات mTLS؟

أ: إذا كنت تستخدم TLS (مصادقة الخادم) القياسية فقط، فلن تتأثر بهذا النهج. تستمر الشهادات الخاصة بالخادم فقط في العمل. ومع ذلك، تحقق من حالات الاستخدام الخاصة بك مقابل القائمة في قسم حالات إستخدام متضررة معينة حيث أن بعض حالات الاستخدام الافتراضية تستخدم mTLS.  

س: هل ستتوقف إتصالات ويب HTTPS القياسية ب Expressway عن العمل؟

أ: لا. لا تتأثر إتصالات TLS القياسية. يستمر وصول مستعرض ويب إلى Expressway في العمل بشكل طبيعي حتى مع شهادات EKU الخاصة بالخادم فقط.

س: هل يمكنني الاستمرار في إستخدام الشهادات الموجودة؟

ج: نعم، تظل الشهادات الموجودة ذات EKU مجتمعة صالحة حتى تنتهي صلاحيتها. تنشأ المشكلة عندما تحتاج إلى التجديد. تعمل مع كل من إتصالات TLS و mTLS حتى انتهاء الصلاحية.

س: كيف لي أن أعرف ما إذا كنت أستخدم mTLS أو TLS القياسية؟

ج: قسم حالات الاستخدام المتأثرة الخاصة بالمراجعة. 

س. ماذا يمكنني أن أفعل الآن؟

أ: توصي Cisco بشدة باتخاذ هذه الإجراءات الفورية:

• تدقيق الشهادات الخاصة بك

تعريف شهادات TLS العامة المستخدمة ل mTLS

• تجديد الشهادات مبكرا

التجديد قبل 15 مارس 2026 لزيادة الصلاحية إلى الحد الأقصى

• التشغيل التلقائي ل Control ACME

تعطيل عمليات التجديد المؤتمتة التي يمكنها إستبدال الشهادات بشكل غير متوقع

• التنسيق مع المرجع المصدق

بعض الشهادات المصدقة تقدم توصيفات شهادات مؤقتة أو بديلة

س: يتوافق مع CUCM SU3(a) مع x15.4 و x15.5

ج: نعم

س: هل هناك ضعف أمني مع تعطيل التحقق من EKU الخاص بالعميل في Cisco Expressway E (مع إصدار X15.5)

أ: الشهادة لا تزال تفحص CN/SAN للتحقق من صحة مصدر الاتصال، ولا تتجاوز التحقق من EKU (شهادة لغرض دور العميل) الذي تم تضمينه بشكل افتراضي حتى تثير Google المخاوف الأمنية، لذلك يجب ألا يكون هناك مشكلة أمان مقارنة بما كان عليه من قبل.

دعونا نشفر بشكل محدد 

س: أستخدم دعنا نقوم بالتشفير مع ACME على Expressway. ماذا يمكنني أن أفعل؟

ج: 

1. قم بتجديد شهادتك قبل 11 فبراير 2026 (أقرب وقت ممكن إلى ذلك التاريخ)
2. قم بتعطيل أداة الجدولة التلقائية ل ACME بعد التجديد مباشرة
3. خطط للترقية إلى X15.5 لحل طويل الأجل

س: هل يمكنني تعديل ملف تعريف ACME لمتابعة الحصول على شهادات EKU المجمعة؟

ج: لا. حاليا، يستخدم Expressway ملف تعريف ACME "كلاسيكي" مشفر بإحكام والذي لا يمكن تعديله بواسطة المستخدمين، يرجى الاتصال ب Cisco TAC للحصول على دعم ملف تعريف شهادة ACME.

أسئلة الترقية

س: هل أحتاج إلى ترقية كل من Expressway-E و Expressway-C؟

ج: نعم، بالتأكيد. يجب ترقية كليهما إلى نفس الإصدار (X15.4 أو X15.5) للتشغيل السليم.

س: هل يمكنني الترقية إلى X15. 4 أو الانتظار حتى X15. 5؟

ج: 

• قم بالترقية إلى X15.4 إذا كانت لديك مشكلات ملحة أو احتجت إلى قبول شهادات الخادم فقط الآن
• إن أمكن، انتظر X15.5 (مايو 2026) للحل الشامل مع دعم الشهادات المزدوجة

س: تم قطع النسخ المماثل لنظام المجموعة بعد تجديد الشهادة. ماذا حدث؟

أ: من المرجح أن تشتمل شهادتك الجديدة على وحدة EKU لمصادقة الخادم فقط، ولكن:

• إذا كانت على الإصدار قبل X15.4 مع TLS فتحقق = فرض: يتعذر على نظراء نظام المجموعة إنشاء إتصالات mTLS بدون مصادقة العميل EKU
• خيارات الحل (سواء كانت واحدة): 

تعيين وضع التحقق من TLS على "متساهل" (أقل أمانا)

الحصول على شهادات باستخدام EKU مجتمعة من جذر CA بديل

قم بالترقية إلى X15.4 أو إصدار أحدث، الذي يتجاوز التحقق من EKU لمصادقة العميل ل ClusterDB

س: بعد الترقية إلى X15.4، هل يمكنني إستخدام وضع "فرض" مع شهادات الخادم فقط في المجموعة الخاصة بي؟

أ: نعم. بدءا من X15.4، يتجاوز Expressway التحقق من مصادقة العميل لوحدة المعالجة المركزية (EKU) لاتصالات mTLS ClusterDB. لذلك، يمكن تعيين التحقق من TLS على "فرض" حتى إذا كانت عقدة نظام مجموعة واحدة أو أكثر تحتوي على EKU مصادقة الخادم فقط.

س: لماذا لا يمكنني تحميل شهادتي من خلال واجهة المستخدم الرسومية Expressway Web GUI؟

أ: قبل X15.4، تفرض واجهة المستخدم الرسومية (GUI) عبر الويب عملية تحقق مشفرة ترميزا ثابتا تتطلب شهادات للحصول على مصادقة العميل EKU. إذا كانت شهادتك تحتوي على مصادقة الخادم EKU فقط، يكون لديك خياران:

• أستخدم SCP (بروتوكول النسخ الآمن) لتحميل الشهادة مباشرة إلى الخادم (/active/certs folder) 
• الترقية إلى X15.4 أو إصدار أحدث (Expressway-E فقط)، مما يزيل هذا التقييد 

س: بعد الترقية إلى X15.4، لا يزال يتعذر علي تحميل الشهادات الخاصة بالخادم إلى Expressway-E

a: تأكد من تمكين هذا الأمر بمجرد ترقيته 

شهادة xConfiguration XCP TLS CVS EnableServerEkuUpload: تشغيل

س: تمت ترقيتي إلى X15.4. هل يمكنني الآن تحميل شهادات الخادم فقط على كل من Expressway-E و Expressway-C؟

أ: لا. يعمل X15.4 فقط على إزالة تقييد التحميل ل Expressway-E. ولا يزال Expressway-C يتطلب شهادات EKU مجمعة للتحميل عبر واجهة المستخدم الرسومية (GUI) عبر الويب. وذلك لأن Expressway-C يعمل بشكل متكرر كعميل TLS في مناطق إجتياز UC ويتطلب مصادقة العميل EKU. تأكد من تشغيل هذا الأمر على Expressway-E. لا يعمل هذا الأمر على Expressway-C

شهادة xConfiguration XCP TLS CVS EnableServerEkuUpload: تشغيل

س: لا يمكنني تسجيل "الترخيص الذكي" بعد تجديد الشهادة. لماذا؟

ج: عادة لا يكون فشل الترخيص الذكي بعد تجديد الشهادة مرتبطا ب EKU:

• تحقق مما إذا كان Expressway يمكنه الوصول إلى tools.cisco.com (CSSM)
• التحقق من قواعد جدار الحماية التي تسمح بإصدار HTTPS (المنفذ 443)
• التحقق من صحة تكوين الوكيل (إذا كان يتم إستخدام وكيل HTTP)
• تحقق من أن شهادة خادم CSSM موثوق بها في مخزن Expressway للثقة
• لا يتطلب الترخيص الذكي ClientAuth، لذا لا يؤثر تغيير النهج هذا عليه

MRA (الوصول عن بعد والتنقل) خاص

س: هل يتطلب MRA مصادقة العميل EKU على Expressway-E؟

أ: يعتمد ذلك على إصدار Expressway:

• قبل X15. 4: نعم، مطلوب بشكل غير مباشر

أثناء إرسال إشارات MRA SIP، يرسل Expressway-E شهادته الموقعة في رسالة خدمة SIP إلى Expressway-C

يتحقق Expressway-C من الشهادة، مما يتطلب الحصول على كل من مصادقة العميل ومصادقة الخادم

بدون EKU المجمع، يفشل تسجيل MRA SIP

• X15. 4 والإصدارات الأحدث: لا

لم يعد Expressway-C يقوم بالتحقق من صحة EKU لمصادقة العميل في رسالة خدمة SIP

يحتاج Expressway-E فقط إلى مصادقة EKU الخاصة بالخادم ل MRA

تعمل منطقة مرور الاتصالات الموحدة بشكل أحادي الإتجاه (يقوم Expressway-C بالتحقق من شهادة خادم Expressway-E فقط)

س: لماذا تفشل المناطق المجاورة بعد تحميلمصادقة الخادم EKU على ExpressSwayx15.4

ج: إذا قمت بتعيين وضع التحقق من TLS إلى "تشغيل"، فإنه يتطلب أن يكون لديك EKU لمصادقة العميل. لذلك يمكنك تعطيل التحقق من TLS في تكوين المنطقة المجاورة

س: اية شهادات تلزم لكي تعمل هيئة تنظيم سوق المال على نحو ملائم؟

ج: بالنسبة لنشر MRA بشكل نموذجي:

س: كان MRA الخاص بي يعمل بشكل جيد، ولكن بعد تجديد شهادة Expressway-E مع EKU للخادم فقط، فشل تسجيل SIP. ما الخطأ؟

أ: إذا كنت تشغل إصدارا قبل X15.4، فإن إرسال إشارات MRA SIP يتطلب Expressway-E لتقديم كل من وحدات EKU لمصادقة الخادم والعميل في رسالة خدمة SIP. الخيارات الخاصة بك:

• الحصول على شهادة باستخدام EKU المشتركة
• التبديل إلى جذر CA بديل يصدر EKU المجمع
• ترقية كل من Expressway-E و Expressway-C إلى X15.4 أو إصدار أحدث (مستحسن)

إدارة الشهادات

س: كيف يمكنني الحصول على شهادة مع EKU من DigiCert أو IdenTrust؟

ج: اتصل بموفر المرجع المصدق واطلب شهادة من الجذر البديل الذي لا يزال يصدر EKU المجمع.

س: يقول المرجع المصدق الخاص بي أنه يمكنهم توفير شهادات خاصة بالخادم فقط. ماذا يمكنني أن أفعل؟

ج: لديك عدة خيارات:

• البحث عن جذور بديلة: اسأل المرجع المصدق ما إذا كان لديه جذور بديلة تصدر EKU مجتمعة (مثل DigiCert Assured ID أو القطاع العام IdenTrust) 
• تبديل موفري المرجع المصدق: ابحث عن CAs التي تقدم EKU مجمعة من جذور غير موثوقة بالكروم 
• إستخدام PKI الخاص: إعداد المرجع المصدق الداخلي لشهادات EKU المجمعة (عمليات نشر Expressway-C فقط) 
• تمتع بالترقية إلى الطراز X15.4: حل متقطع لاستيعاب الشهادات باستخدام وحدة الاحتفاظ بالمخزون (EKU) من ServerAuth فقط ولتمكين تسجيلات MRA
• قم بالترقية إلى X15. 5 بمجرد توفرها: خطط لبنية مزدوجة الشهادات حيث تكون الأجهزة الخادمة فقط هي الحلول المقبولة والشاملة للوفاء بمتطلبات برنامج Google Chrome Root العالمي

أسئلة الجدول الزمني

س: ماذا يحدث في 15 حزيران 2026؟

ج: توقف Chrome الثقة بشهادات TLS العامة التي تحتوي على كل من EKUs لمصادقة الخادم والعميل. قد تفشل الخدمات التي تستخدم مثل هذه الشهادات.

س: لماذا علي التجديد قبل 15 مارس/آذار 2026؟

ج: بعد 15 مارس 2026، يتم تخفيض صلاحية الشهادة من 398 يوما إلى 200 يوم. التجديد قبل هذا التاريخ يمنحك الحد الأقصى من مدة صلاحية الشهادة.

سؤال: ما هو الموعد النهائي لاتخاذ إجراء؟

ج: هناك العديد من المواعيد النهائية:

• 11 فبراير، 2026: دعنا نشفر وحدات EKU المشتركة عبر ACME الكلاسيكية
• 15 مارس 2026: خفض صلاحية الشهادة إلى 200 يوم
• مايو 2026: معظم المخابرات المركزية العامة توقف إصدار EKU مجتمعة بشكل كامل
• يونيو 2026: تطبيق سياسة الكروم بشكل كامل

موارد إضافية 

وثائق Cisco 

• إشعار ميداني FN74362: تأثير Expressway من Cisco على الاتصال الآمن بسبب التغييرات المقبلة على شهادات TLS
• معرف تصحيح الأخطاء من Cisco CSCwr73373: دعم خادم منفصل وشهادة عميل ل Expressway

المراجع الخارجية 

• سياسة برنامج كروم روت
• دعونا نشفر: إنهاء دعم شهادة مصادقة عميل TLS في 2026
• متطلبات الأساس لمنتدى المرجع المصدق/المتصفح

موارد المرجع المصدق 

• بوابة دعم DigiCert
• خدمات شهادات IdenTrust
• لنقم بتشفير منتدى المجتمع
• قاعدة سيتيغو للمعرفة

القرار 

يمثل إعداد مصادقة العميل EKU في شهادات CA العامة تحولا هاما في سياسة الأمان يؤثر على عمليات نشر Cisco Expressway باستخدام إتصالات mTLS. وعلى الرغم من أن هذا يعد تغيرا على مستوى الصناعة بالكامل، فإن تقييم التأثير يعد أمرا بالغ الأهمية لكل إشعار ميداني FN74362، ويتطلب الأمر إتخاذ إجراء فوري لمنع حالات انقطاع الخدمة.

الفوائد الرئيسية

• وهذا يؤثر على جميع إصدارات Expressway (X14 و X15 قبل X15. 4) 
• تدقيق الشهادات الآن - هذه هي الخطوة الأولى الإلزامية
• تتوفر العديد من الحلول - أختر الأفضل لبيئتك
• يلزم إجراء ترقيات للبرامج للحل طويل الأجل - التخطيط ل X15.5
• يجب ترقية كل من Expressway-E و Expressway-C معا 
• لنقم بتشفير المستخدمين في أقرب وقت ممكن - 11 فبراير 2026