In questo documento vengono descritti gli avvisi di scadenza dei certificati CA personalizzati su un Secure Email Gateway (ESA) dopo un aggiornamento a AsyncOS 14.x.
Il sintomo è rappresentato dagli avvisi di scadenza per i certificati aggiunti all'elenco delle Autorità di certificazione (CA) personalizzate durante l'aggiornamento. L'impatto è limitato agli avvisi informativi poiché la scadenza dei certificati nell'elenco personalizzato non influisce sui certificati nell'elenco di sistema. La soluzione consiste nel verificare l'origine del certificato e sostituire il certificato CA personalizzato richiesto oppure rimuovere il certificato scaduto dall'elenco personalizzato.
Questo documento è basato su Cisco Secure Email Gateway con AsyncOS 14.0 o versioni successive.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Durante il processo di aggiornamento ad AsyncOS 14.x, ai clienti viene richiesto di confermare se desiderano aggiungere certificati di sistema meno recenti all'elenco delle CA personalizzate. Questo comportamento è documentato anche nelle note di rilascio di AsyncOS 14.0, come mostrato nell'immagine 1. Vedere le note di rilascio di Cisco Secure Email Gateway per AsyncOS 14.0.
Immagine 1. Estratto delle note sulla versione che mostra la richiesta di aggiornamento per aggiungere certificati di sistema meno recenti all'elenco personalizzato delle CA.

Dopo un aggiornamento ad AsyncOS 14.x, i certificati di sistema meno recenti aggiunti all'elenco personalizzato possono scadere nel tempo e generare avvisi come questo esempio.
26 giu 2021 11:27:29 -0400 Il certificato CA:Root CA Generalitat Valenciana scade tra 5 giorni (s).
Questi avvisi indicano la scadenza dei certificati di sistema meno recenti aggiunti all'elenco personalizzato al momento dell'aggiornamento oppure la scadenza di un certificato personalizzato utilizzato in precedenza.
Gli avvisi per i certificati di sistema meno recenti presenti nell'elenco personalizzato sono di tipo informativo ed è possibile scegliere di rimuoverli dall'elenco personalizzato o di lasciarne la scadenza.
Questa condizione non influisce sul servizio, ma l'avviso può essere indesiderato.
Se vengono visualizzati avvisi relativi a un certificato CA personalizzato richiesto dall'organizzazione e che non fa attualmente parte dell'elenco di sistema, contattare la CA per ottenere un certificato aggiornato e sostituirlo come descritto nella procedura di gestione dei certificati della guida per l'amministratore di Cisco Secure Email Gateway.
Il bundle dei certificati CA di sistema viene aggiornato automaticamente dopo un aggiornamento e periodicamente in seguito. La scadenza dei certificati nell'elenco personalizzato non influisce sui certificati nell'elenco di sistema.
Per verificare che l'elenco di sistema e l'elenco personalizzato siano entrambi abilitati, selezionare Rete > Certificati > Autorità di certificazione > Modifica impostazioni.
È inoltre possibile esportare il sistema e gli elenchi personalizzati dallo stesso menu oppure utilizzare i comandi CLI certconfig e certauthority per esaminare i certificati in entrambi gli elenchi in base alle esigenze.
Se si desidera rimuovere il certificato che genera gli avvisi nell'elenco delle CA personalizzate, eseguire la procedura seguente come amministratore dell'accessorio su SSH.
Questo esempio della CLI mostra il workflow.
example.com> certconfig Choose the operation you want to perform: - CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles - CERTAUTHORITY - Manage System and Customized Authorities - CRL - Manage Certificate Revocation Lists []> certauthority Certificate Authority Summary Custom List: Enabled System List: Enabled Choose the operation you want to perform: - CUSTOM - Manage Custom Certificate Authorities - SYSTEM - Manage System Certificate Authorities []> custom Choose the operation you want to perform: - DISABLE - Disable the custom certificate authorities list - IMPORT - Import the list of custom certificate authorties - EXPORT - Export the list of custom certificate authorties - DELETE - Remove a certificate from the custom certificate authorty list - PRINT - Print the list of custom certificate authorties - CHECK_CA_FLAG - Check CA flag in uploaded custom CA certs []> delete You must enter a value from 1 to 104. ... 59. [Root CA Generalitat Valenciana] <<< Select this certificate based on the sample alert in this example ... 93. [thawte Primary Root CA] Select the custom CA certificate you want to delete []> 59 Are you sure you want to delete "Root CA Generalitat Valenciana"? [N]> Y Custom CA certificate "Root CA Generalitat Valenciana" removed Choose the operation you want to perform: - DISABLE - Disable the custom certificate authorities list - IMPORT - Import the list of custom certificate authorties - EXPORT - Export the list of custom certificate authorties - DELETE - Remove a certificate from the custom certificate authorty list - PRINT - Print the list of custom certificate authorties - CHECK_CA_FLAG - Check CA flag in uploaded custom CA certs []> [ENTER] Certificate Authority Summary Custom List: Enabled System List: Enabled Choose the operation you want to perform: - CUSTOM - Manage Custom Certificate Authorities - SYSTEM - Manage System Certificate Authorities []> [ENTER] Choose the operation you want to perform: - CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles - CERTAUTHORITY - Manage System and Customized Authorities - CRL - Manage Certificate Revocation Lists []> [ENTER] example.com> commit
Assicurarsi di eseguire il commit alla fine.
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
2.0 |
07-Jul-2026
|
Certificazione. |
1.0 |
29-Jun-2021
|
Versione iniziale |