Este documento describe las alertas de vencimiento de certificados de CA personalizados en un Secure Email Gateway (ESA) después de una actualización a AsyncOS 14.x.
El síntoma son las alertas de caducidad de los certificados que se agregaron a la lista de entidades emisoras de certificados personalizados (CA) durante la actualización. El impacto se limita a las alertas informativas porque la caducidad de los certificados de la lista personalizada no afecta a los certificados de la lista del sistema. La solución es verificar el origen del certificado y reemplazar el certificado de CA personalizado requerido o quitar el certificado caducado de la lista personalizada.
Este documento se basa en Cisco Secure Email Gateway que ejecuta AsyncOS 14.0 o posterior.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Durante el proceso de actualización a AsyncOS 14.x, se pide a los clientes que confirmen si desean anexar certificados de sistema antiguos a la lista de CA personalizada. Este comportamiento también se documenta en las notas de la versión de AsyncOS 14.0, como se muestra en la imagen 1. Consulte Notas de la versión de Cisco Secure Email Gateway para AsyncOS 14.0.
Imagen 1. Extracto de notas de la versión que muestra el mensaje de actualización para anexar certificados de sistema antiguos a la lista de CA personalizada.

Después de una actualización a AsyncOS 14.x, los certificados de sistema más antiguos que se agregaron a la lista personalizada pueden caducar con el tiempo y generar alertas como la de este ejemplo.
26 Jun 2021 11:27:29 -0400 Su certificado CA:Root CA Generalitat Valenciana vence en 5 días (s).
Estas alertas son indicativas de que vencen certificados de sistema antiguos que se agregaron a la lista personalizada en el momento de la actualización o de que un certificado personalizado que se había usado anteriormente está a punto de caducar.
Las alertas de certificados de sistema antiguos de la lista personalizada son informativas y puede elegir quitarlos de la lista personalizada o permitir que caduquen.
Esta condición no afecta al servicio, pero la alerta puede ser indeseable.
Si ve alertas para un certificado de CA personalizado que necesita su organización y que actualmente no forma parte de la lista del sistema, póngase en contacto con la CA para obtener un certificado actualizado y sustitúyalo como se describe en el procedimiento de administración de certificados de la Guía de administración de Cisco Secure Email Gateway.
El paquete de certificados de la CA del sistema se actualiza automáticamente después de una actualización y, a partir de entonces, de forma periódica. El vencimiento de los certificados de la lista personalizada no afecta a los certificados de la lista del sistema.
Para verificar que la lista del sistema y la lista personalizada están habilitadas, navegue hasta Red > Certificados > Autoridades de certificados > Editar configuración.
También puede exportar el sistema y las listas personalizadas desde el mismo menú, o utilizar los comandos de CLI certconfig y certauthority para revisar los certificados en ambas listas según sea necesario.
Si desea eliminar el certificado que genera las alertas en la lista de CA personalizada, siga estos pasos como administrador en SSH para el dispositivo.
Este ejemplo de CLI muestra el flujo de trabajo.
example.com> certconfig Choose the operation you want to perform: - CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles - CERTAUTHORITY - Manage System and Customized Authorities - CRL - Manage Certificate Revocation Lists []> certauthority Certificate Authority Summary Custom List: Enabled System List: Enabled Choose the operation you want to perform: - CUSTOM - Manage Custom Certificate Authorities - SYSTEM - Manage System Certificate Authorities []> custom Choose the operation you want to perform: - DISABLE - Disable the custom certificate authorities list - IMPORT - Import the list of custom certificate authorties - EXPORT - Export the list of custom certificate authorties - DELETE - Remove a certificate from the custom certificate authorty list - PRINT - Print the list of custom certificate authorties - CHECK_CA_FLAG - Check CA flag in uploaded custom CA certs []> delete You must enter a value from 1 to 104. ... 59. [Root CA Generalitat Valenciana] <<< Select this certificate based on the sample alert in this example ... 93. [thawte Primary Root CA] Select the custom CA certificate you want to delete []> 59 Are you sure you want to delete "Root CA Generalitat Valenciana"? [N]> Y Custom CA certificate "Root CA Generalitat Valenciana" removed Choose the operation you want to perform: - DISABLE - Disable the custom certificate authorities list - IMPORT - Import the list of custom certificate authorties - EXPORT - Export the list of custom certificate authorties - DELETE - Remove a certificate from the custom certificate authorty list - PRINT - Print the list of custom certificate authorties - CHECK_CA_FLAG - Check CA flag in uploaded custom CA certs []> [ENTER] Certificate Authority Summary Custom List: Enabled System List: Enabled Choose the operation you want to perform: - CUSTOM - Manage Custom Certificate Authorities - SYSTEM - Manage System Certificate Authorities []> [ENTER] Choose the operation you want to perform: - CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles - CERTAUTHORITY - Manage System and Customized Authorities - CRL - Manage Certificate Revocation Lists []> [ENTER] example.com> commit
Asegúrese de ejecutar commit al final.
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
2.0 |
07-Jul-2026
|
Recertificación. |
1.0 |
29-Jun-2021
|
Versión inicial |