Mise à jour du certificat Cisco Webex Root CA le 2021-03-31

Introduction

Ce document décrit comment Cisco Webex passera à une nouvelle autorité de certification, IdenTrust Commercial Root CA 1. Les clients qui utilisent Expressway pour accéder aux téléconférences Webex, ou l’un des connecteurs qui utilise Expressway, doivent télécharger le nouveau certificat sur leurs périphériques Expressway avant 2021-03-31.

Components Used

Les informations de ce document sont basées sur Video Communication Server (VCS)-Expressway ou Expressway.

Problème

Si les certificats d’autorité de certification racine ne sont pas téléchargés sur Expressway truststore, la négociation TLS avec Webex peut échouer pour ces déploiements :

• Vous utilisez des terminaux pour vous connecter à la plate-forme vidéo Cisco Webex par le biais d’un serveur VCS-Expressway ou d’Expressway Edge. Vous devez ajouter le nouveau certificat dans le magasin de racines de confiance du VCS ou de l’Expressway.
• Vous utilisez un connecteur ou un service hybride sur un coeur VCS-Control ou Expressway et vous n'avez pas opté pour la gestion des certificats cloud. Vous devez ajouter le nouveau certificat dans le magasin racine de confiance du VCS.

• Vous utilisez Cisco Webex Edge Audio via VCS-Expressway ou Expressway Edge. Vous devez ajouter le certificat dans le magasin racine approuvé de VCS ou Expressway.
• Mise à jour 2021-03-23 : Les clients qui exploitent la gestion des certificats cloud ne verront pas le nouveau certificat IdenTrust dans leur liste de certificats actuellement. Le certificat Quovadis existant (O=QuoVadis Limited, CN=QuoVadis Root CA 2) est toujours valide. Le certificat IdenTrust sera disponible à la gestion des certificats cloud à une date future. Les clients qui utilisent la gestion des certificats cloud ne subiront aucune interruption de service à la suite de cette annonce et n'ont pas besoin d'intervenir pour le moment.

• Vous avez un accès limité aux URL pour vérifier les listes de révocation de certificats. Vous devez autoriser les clients Webex à accéder à la liste de révocation de certificats hébergée à l'adresse http://validation.identrust.com/crl/hydrantidcao1.crl.
  Cisco a également ajouté *.identrust.com à la liste des URL qui doivent être autorisées pour la vérification des certificats.
• Vous n'utilisez pas les magasins d'approbation de certificat par défaut pour vos systèmes d'exploitation. Vous devez ajouter le certificat à votre magasin racine approuvé. Ce certificat est contenu par défaut dans le magasin de confiance par défaut de tous les principaux systèmes d'exploitation.

Solution

Ces étapes sont également expliquées dans la mise à jour du certificat de CA racine Cisco Webex pour Expressway en mars 2021.

Afin de télécharger le nouveau certificat sur un VCS-Control, VCS-Expressway, Expressway-Core et Expressway Edge, complétez ces étapes.

Étape 1 : Téléchargez IdenTrust Commercial Root CA 1 et enregistrez-le en tant que identrust_RootCA1.pem ou identrust_RootCA1.cer.

a. Accéder à IdenTrust Commercial Root CA 1.

b. Copiez le texte dans la zone.

c. Enregistrez le texte sur le Bloc-notes et enregistrez le fichier. Nommez le fichier identrust_RootCA1.pem ou identrust_RootCA1.cer.

Sur tous vos périphériques Expressway, choisissez Maintenance > Security > Trusted CA Certificate.

Étape 2 : Téléchargez le fichier sur Expressway Trust Store.

a. Afin de télécharger le certificat CA sur Expressway Trust Store, cliquez sur Ajouter un certificat CA.

b. Cliquez sur Browse. Téléchargez le fichier identrust_RootCA1.pem ou identrust_RootCA1.cer. Ajoutez le certificat CA.

Étape 3 : Vérifiez que le certificat a bien été téléchargé et qu’il est présent dans le magasin de confiance VCS / Expressway.

Aucun redémarrage ou redémarrage n'est nécessaire après cette opération pour que les modifications prennent effet.