تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند تغييرات نهج برنامج Chrome Root في Cisco Expressway ومصادقة العميل EKU Sunset في شهادات CA العامة بعد 6/26.
الشهادات الرقمية هي وثائق اعتماد إلكترونية تصدرها سلطات التصديق الموثوق بها (CAs) تؤمن الاتصال بين الخوادم والعملاء عن طريق ضمان المصادقة وسلامة البيانات والسرية. تحتوي هذه الشهادات على حقول إستخدام المفتاح الموسع (EKU) التي تحدد الغرض منها:
وبشكل تقليدي، يمكن أن تحتوي الشهادة المفردة على وحدات EKU الخاصة بمصادقة الخادم والعميل، مما يتيح إستخدامها في أغراض مزدوجة. وهذا مهم بشكل خاص لمنتجات مثل Cisco Expressway التي تعمل كخادم وعميل في سيناريوهات اتصال مختلفة.

واعتبارا من يونيو 2026، تقيد سياسة برنامج جذر كروم شهادات المرجع المصدق (CA) المتضمنة في مخزن جذر كروم، للتخلص التدريجي من الجذور متعددة الأغراض لمحاذاة كافة التدرجات الهرمية للبنية الأساسية للمفتاح العام (PKI) لخدمة حالات إستخدام مصادقة خادم TLS فقط.
ملاحظة: لا ينطبق هذا النهج إلا على الشهادات الصادرة عن المراجع المصدقة العامة. لا تتأثر PKI الخاص والشهادات الموقعة ذاتيا بهذا النهج.
لكل إشعار ميداني FN74362، تتأثر جميع إصدارات Expressway من Cisco:
|
المنتج |
الإصدارات المتأثرة |
التأثير |
|
Expressway Core و Edge |
X14 (جميع الإصدارات) |
X14.0.0 إلى X14.3.7 - جميع الإصدارات المتأثرة |
|
Expressway Core و Edge |
X15 (الإصدارات قبل X15.4) |
X15.0.0 إلى X15.3.2 - جميع الإصدارات المتأثرة |
تعمل منتجات Expressway من Cisco (Expressway-C و Expressway-E) كخادم وعميل في سيناريوهات توصيل مختلفة، مما يتطلب شهادات باستخدام وحدات EKU لمصادقة الخادم والعميل.
Expressway E كخادم (يلزم توفر EKU لمصادقة الخادم):
ExpressWay E كعميل (يلزم توفر EKU لمصادقة العميل):
الشهادة العامة الموقعة من CA مع مصادقة العميل EKU المستخدمة حاليا لاتصالات mTLS في Cisco Expressway هي شهادة خادم Expressway. تستخدم هذه الشهادة لاتصالات mTLS التالية:
إشعار ميداني FN74362، قبل النظر في خيارات الحل والحل البديل:
يمكن للمسؤولين الاختيار من أحد خيارات الحل التالية:
تصدر بعض تراخيص الجذر العام (مثل DigiCert و IdenTrust) شهادات تحتوي على EKU مجمعة من جذر بديل، ولا يمكن تضمينه في مخزن ائتمان مستعرض Chrome.
أمثلة على أنواع CAs الجذر العام و EKU (لكل FN74362):
|
مورد CA |
نوع EKU |
المرجع المصدق الجذر |
الإصدار/المرجع المصدق الفرعي |
|
IdenTrust |
ClientAuth + ServerAuth |
IdenTrust Public Root CA 1 |
CA 1 لخادم القطاع العام من IdenTrust |
|
ديجي سيرت |
ClientAuth + ServerAuth |
جذر معرف G2 المؤكد ل DigiCert |
معرف DigiCert المضمون CA G2 |
المتطلبات الأساسية لهذا النهج:
مراجع إدارة الشهادات:

يستمر إحترام الشهادات التي تم إصدارها من قبل CAs الجذر العام قبل مايو 2026 والتي تحتوي على EKU لكل من مصادقة الخادم والعميل حتى انتهاء مدة صلاحيتها.
التوصيات العامة هي:
لكل FN74362، إذا كنت تستخدم دعونا نشفر الشهادات:

ينطبق هذا الخيار على: Expressway C فقط، ولا ينطبق على Expressway E.
تحذير: هذا الخيار غير صالح ل Expressway-E، الذي يتطلب شهادات CA العامة للخدمات الخارجية و ثقة المتصفح.
لكل إشعار ميداني FN74362، تقوم Cisco بتنفيذ تحسينات المنتج في الإصدارات الثابتة لمعالجة هذه المشكلة بشكل شامل.
جدول الإصدار الثابت:
|
المنتج |
الإصدار المتأثر |
إصدار ثابت |
الغرض من الإصلاح |
التوفر |
|
Expressway من Cisco |
X14.x (جميع الإصدارات)<br>X15.x (أقدم من X15.4) |
X15٫4 |
حل متقطع: يسمح بتحميل إضافي للشهادة الموقعة بواسطة EKU الخاصة بخادم ServerAuth على Expressway E وتعديل التحقق من صحة الشهادة لإشارة MRA SIP بين Expressway E و Expressway C |
فبراير 2026 |
|
Expressway من Cisco |
X14.x (جميع الإصدارات)<br>X15.x (الأقدم من X15.5) |
X15٫5 |
حل شامل: يوفر تحسين واجهة المستخدم لفصل شهادات العميل والخادم ويوفر خيارات للمسؤولين لتعطيل فحص EKU |
مايو 2026 |
ملاحظة: يجب ترقية كل من Cisco Expressway E و Expressway C إلى الإصدار نفسه.
الغرض: حل متقطع لاستيعاب الشهادات باستخدام وحدة الاحتفاظ بالمخزون (EKU) من ServerAuth فقط ولتمكين تسجيلات MRA
التحسينات الرئيسية هي:
من يمكنه الترقية إلى الإصدار X15. 4:
متطلبات هامة ل X15.4:
قيود X15.4 هي:
الغرض: حل شامل لتلبية متطلبات برنامج Google Chrome Root العالمي
تحسينات المنتج الرئيسية:
ملاحظة: في هذه الحالة، يجب على النظير البعيد أيضا دعم نموذج EKU لتجاهل مصادقة العميل نفسه

البدء: هل تستخدم شهادات المرجع المصدق العامة على Expressway؟
│
├─ لا: PKI الخاص أو موقع ذاتيا
│ └─ لا يتطلب الأمر أي إجراء - لا يتأثر بالسياسات
│
└─ نعم: شهادات المرجع المصدق العامة قيد الاستخدام
│
├─ هل يتم إستخدامها لاتصالات mTLS؟ (فحص حالات الاستخدام في قسم حالات الاستخدام المتأثرة المحددة)
│ │
│ ├ ─ لا: مصادقة الخادم فقط
│ │ └─ الحد الأدنى من التأثير - شاشة للتغييرات المستقبلية
│ │
│ └─ نعم: إتصالات mTLS مع Client Auth EKU
│ │
│ └ ─ أختر طريقتك:
│ │
│ ├─ الخيار أ: التبديل إلى المرجع المصدق (CA) الجذر البديل
│ │ ├─ اتصل بموفر المرجع المصدق ل EKU المجمع من جذر بديل
│ │ ├─ تأكد من أن جميع أقرانك يثقون بالجذر الجديد
│ │ └─ لا حاجة إلى ترقية فورية للبرامج
│ │
│ ├─ الخيار ب: تجديد الشهادات قبل المواعيد النهائية
│ │ ├─ إذا دعونا نشفر: التجديد قبل 11 فبراير 2026
│ │ │ └─تعطيل مجدول ACME بعد التجديد
│ │ ├─لأقصى حد من الصلاحية: التجديد قبل 15 مارس 2026
│ │ └─ تشتري الوقت حتى انتهاء صلاحية الشهادة
│ │
│ ├─ الخيار ج: الترحيل إلى PKI الخاص (Expressway-C فقط)
│ │ ├─ إعداد البنية التحتية الخاصة ل CA
│ │ ├─ إصدار شهادات EKU الموحدة
│ │ ├─ قم بتوزيع الجذر على جميع الأقران
│ │ └─التحكم طويل المدى، ليس ل Expressway-E
│ │
│ └─ الخيار د : تخطيط ترقية البرامج
│ ├ ─ حاجة ملحة؟ → الترقية إلى الإصدار X15.4 (فبراير 2026)
│ └─ حل شامل → ترقية إلى الإصدار x15.5 (مايو 2026)
│ └─ ثم احصل على شهادات منفصلة من الخادم/العميل

س: هل يجب أن أقلق بشأن هذا إذا أستخدمت PKI الخاص؟
ج: لا. يؤثر هذا النهج فقط على الشهادات التي تم إصدارها بواسطة CAs الجذر العام. لا تتأثر شهادات PKI الخاصة والشهادات الموقعة ذاتيا.
س: ماذا لو لم أستخدم إتصالات mTLS؟
أ: إذا كنت تستخدم TLS (مصادقة الخادم) القياسية فقط، فلن تتأثر بهذا النهج. تستمر الشهادات الخاصة بالخادم فقط في العمل. ومع ذلك، تحقق من حالات الاستخدام الخاصة بك مقابل القائمة في قسم حالات إستخدام متضررة معينة حيث أن بعض حالات الاستخدام الافتراضية تستخدم mTLS.
س: هل ستتوقف إتصالات ويب HTTPS القياسية ب Expressway عن العمل؟
أ: لا. لا تتأثر إتصالات TLS القياسية. يستمر وصول مستعرض ويب إلى Expressway في العمل بشكل طبيعي حتى مع شهادات EKU الخاصة بالخادم فقط.
س: هل يمكنني الاستمرار في إستخدام الشهادات الموجودة؟
ج: نعم، تظل الشهادات الموجودة ذات EKU مجتمعة صالحة حتى تنتهي صلاحيتها. تنشأ المشكلة عندما تحتاج إلى التجديد. تعمل مع كل من إتصالات TLS و mTLS حتى انتهاء الصلاحية.
س: كيف لي أن أعرف ما إذا كنت أستخدم mTLS أو TLS القياسية؟
ج: قسم حالات الاستخدام المتأثرة الخاصة بالمراجعة.
س. ماذا يمكنني أن أفعل الآن؟
أ: توصي Cisco بشدة باتخاذ هذه الإجراءات الفورية:
تعريف شهادات TLS العامة المستخدمة ل mTLS
التجديد قبل 15 مارس 2026 لزيادة الصلاحية إلى الحد الأقصى
تعطيل عمليات التجديد المؤتمتة التي يمكنها إستبدال الشهادات بشكل غير متوقع
بعض الشهادات المصدقة تقدم توصيفات شهادات مؤقتة أو بديلة
س: يتوافق مع CUCM SU3(a) مع x15.4 و x15.5
ج: نعم
س: هل هناك ضعف أمني مع تعطيل التحقق من EKU الخاص بالعميل في Cisco Expressway E (مع إصدار X15.5)
أ: الشهادة لا تزال تفحص CN/SAN للتحقق من صحة مصدر الاتصال، ولا تتجاوز التحقق من EKU (شهادة لغرض دور العميل) الذي تم تضمينه بشكل افتراضي حتى تثير Google المخاوف الأمنية، لذلك يجب ألا يكون هناك مشكلة أمان مقارنة بما كان عليه من قبل.
س: أستخدم دعنا نقوم بالتشفير مع ACME على Expressway. ماذا يمكنني أن أفعل؟
ج:
س: هل يمكنني تعديل ملف تعريف ACME لمتابعة الحصول على شهادات EKU المجمعة؟
ج: لا. حاليا، يستخدم Expressway ملف تعريف ACME "كلاسيكي" مشفر بإحكام والذي لا يمكن تعديله بواسطة المستخدمين، يرجى الاتصال ب Cisco TAC للحصول على دعم ملف تعريف شهادة ACME.
س: هل أحتاج إلى ترقية كل من Expressway-E و Expressway-C؟
ج: نعم، بالتأكيد. يجب ترقية كليهما إلى نفس الإصدار (X15.4 أو X15.5) للتشغيل السليم.
س: هل يمكنني الترقية إلى X15. 4 أو الانتظار حتى X15. 5؟
ج:
س: تم قطع النسخ المماثل لنظام المجموعة بعد تجديد الشهادة. ماذا حدث؟
أ: من المرجح أن تشتمل شهادتك الجديدة على وحدة EKU لمصادقة الخادم فقط، ولكن:
تعيين وضع التحقق من TLS على "متساهل" (أقل أمانا)
الحصول على شهادات باستخدام EKU مجتمعة من جذر CA بديل
قم بالترقية إلى X15.4 أو إصدار أحدث، الذي يتجاوز التحقق من EKU لمصادقة العميل ل ClusterDB
س: بعد الترقية إلى X15.4، هل يمكنني إستخدام وضع "فرض" مع شهادات الخادم فقط في المجموعة الخاصة بي؟
أ: نعم. بدءا من X15.4، يتجاوز Expressway التحقق من مصادقة العميل لوحدة المعالجة المركزية (EKU) لاتصالات mTLS ClusterDB. لذلك، يمكن تعيين التحقق من TLS على "فرض" حتى إذا كانت عقدة نظام مجموعة واحدة أو أكثر تحتوي على EKU مصادقة الخادم فقط.
س: لماذا لا يمكنني تحميل شهادتي من خلال واجهة المستخدم الرسومية Expressway Web GUI؟
أ: قبل X15.4، تفرض واجهة المستخدم الرسومية (GUI) عبر الويب عملية تحقق مشفرة ترميزا ثابتا تتطلب شهادات للحصول على مصادقة العميل EKU. إذا كانت شهادتك تحتوي على مصادقة الخادم EKU فقط، يكون لديك خياران:
س: بعد الترقية إلى X15.4، لا يزال يتعذر علي تحميل الشهادات الخاصة بالخادم إلى Expressway-E
a: تأكد من تمكين هذا الأمر بمجرد ترقيته
شهادة xConfiguration XCP TLS CVS EnableServerEkuUpload: تشغيل
س: تمت ترقيتي إلى X15.4. هل يمكنني الآن تحميل شهادات الخادم فقط على كل من Expressway-E و Expressway-C؟
أ: لا. يعمل X15.4 فقط على إزالة تقييد التحميل ل Expressway-E. ولا يزال Expressway-C يتطلب شهادات EKU مجمعة للتحميل عبر واجهة المستخدم الرسومية (GUI) عبر الويب. وذلك لأن Expressway-C يعمل بشكل متكرر كعميل TLS في مناطق إجتياز UC ويتطلب مصادقة العميل EKU. تأكد من تشغيل هذا الأمر على Expressway-E. لا يعمل هذا الأمر على Expressway-C
شهادة xConfiguration XCP TLS CVS EnableServerEkuUpload: تشغيل
س: لا يمكنني تسجيل "الترخيص الذكي" بعد تجديد الشهادة. لماذا؟
ج: عادة لا يكون فشل الترخيص الذكي بعد تجديد الشهادة مرتبطا ب EKU:
س: هل يتطلب MRA مصادقة العميل EKU على Expressway-E؟
أ: يعتمد ذلك على إصدار Expressway:
أثناء إرسال إشارات MRA SIP، يرسل Expressway-E شهادته الموقعة في رسالة خدمة SIP إلى Expressway-C
يتحقق Expressway-C من الشهادة، مما يتطلب الحصول على كل من مصادقة العميل ومصادقة الخادم
بدون EKU المجمع، يفشل تسجيل MRA SIP
لم يعد Expressway-C يقوم بالتحقق من صحة EKU لمصادقة العميل في رسالة خدمة SIP
يحتاج Expressway-E فقط إلى مصادقة EKU الخاصة بالخادم ل MRA
تعمل منطقة مرور الاتصالات الموحدة بشكل أحادي الإتجاه (يقوم Expressway-C بالتحقق من شهادة خادم Expressway-E فقط)
س: لماذا تفشل المناطق المجاورة بعد تحميلمصادقة الخادم EKU على ExpressSwayx15.4
ج: إذا قمت بتعيين وضع التحقق من TLS إلى "تشغيل"، فإنه يتطلب أن يكون لديك EKU لمصادقة العميل. لذلك يمكنك تعطيل التحقق من TLS في تكوين المنطقة المجاورة
س: اية شهادات تلزم لكي تعمل هيئة تنظيم سوق المال على نحو ملائم؟
ج: بالنسبة لنشر MRA بشكل نموذجي:
|
المكون |
متطلبات الشهادة |
يلزم توفر وحدة يكو |
ملاحظات |
|
Expressway-E (قبل X15.4) |
serverAuth + clientAuth |
كلاهما |
للتحقق من خدمة SIP بواسطة EXP-C |
|
Expressway-E (X15.4+) |
الخادم Auth فقط |
الخادم فقط |
تم تجاوز فحص EKU للعميل |
|
Expressway-C |
ClientAuth + ServerAuth |
كلاهما |
يعمل دائما كعميل في تبادل الاتصالات الموحدة |
|
منطقة عبور الاتصالات الموحدة |
تحقق أحادي الإتجاه |
EXP-E: ServerAuth EXP-C: clientAuth |
يتحقق EXP-C من شهادة خادم EXP-E |
س: كان MRA الخاص بي يعمل بشكل جيد، ولكن بعد تجديد شهادة Expressway-E مع EKU للخادم فقط، فشل تسجيل SIP. ما الخطأ؟
أ: إذا كنت تشغل إصدارا قبل X15.4، فإن إرسال إشارات MRA SIP يتطلب Expressway-E لتقديم كل من وحدات EKU لمصادقة الخادم والعميل في رسالة خدمة SIP. الخيارات الخاصة بك:
س: كيف يمكنني الحصول على شهادة مع EKU من DigiCert أو IdenTrust؟
ج: اتصل بموفر المرجع المصدق واطلب شهادة من الجذر البديل الذي لا يزال يصدر EKU المجمع.
س: يقول المرجع المصدق الخاص بي أنه يمكنهم توفير شهادات خاصة بالخادم فقط. ماذا يمكنني أن أفعل؟
ج: لديك عدة خيارات:
س: ماذا يحدث في 15 حزيران 2026؟
ج: توقف Chrome الثقة بشهادات TLS العامة التي تحتوي على كل من EKUs لمصادقة الخادم والعميل. قد تفشل الخدمات التي تستخدم مثل هذه الشهادات.
س: لماذا علي التجديد قبل 15 مارس/آذار 2026؟
ج: بعد 15 مارس 2026، يتم تخفيض صلاحية الشهادة من 398 يوما إلى 200 يوم. التجديد قبل هذا التاريخ يمنحك الحد الأقصى من مدة صلاحية الشهادة.
سؤال: ما هو الموعد النهائي لاتخاذ إجراء؟
ج: هناك العديد من المواعيد النهائية:

: دعم خادم منفصل وشهادة عميل ل Expressway
يمثل إعداد مصادقة العميل EKU في شهادات CA العامة تحولا هاما في سياسة الأمان يؤثر على عمليات نشر Cisco Expressway باستخدام إتصالات mTLS. وعلى الرغم من أن هذا يعد تغيرا على مستوى الصناعة بالكامل، فإن تقييم التأثير يعد أمرا بالغ الأهمية لكل إشعار ميداني FN74362، ويتطلب الأمر إتخاذ إجراء فوري لمنع حالات انقطاع الخدمة.
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
13-Feb-2026
|
الإصدار الأولي |
التعليقات