2024 年 10 月に DNS Umbrella 証明書が動作するように更新する

ダウンロードオプション

PDF (367.4 KB)
Adobe Reader を使ってさまざまなデバイスで表示

Updated: 2024 年 10 月 14 日

Document ID:222467

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

1. コントローラモードでCisco IOS XEソフトウェアリリース17.5.x以前を実行しているシスコデバイス

自動化

手動

2. コントローラモードでCisco IOS XEソフトウェアリリース17.6.x ～ 17.8.xを実行しているシスコデバイス

自動化

手動

3. コントローラモードでCisco IOS XEソフトウェアリリース17.9.5aを実行しているシスコデバイス

4. コントローラモードでCisco IOS XEソフトウェアリリース17.9.6を実行しているシスコデバイス

5. コントローラモードのCisco IOS XEソフトウェアリリース17.12.3aが稼働するシスコデバイス

6. コントローラモードでCisco IOS XEソフトウェアリリース17.12.4を実行しているシスコデバイス

はじめに

このドキュメントでは、SD-WANルータが新しい証明書の代わりに期限切れの証明書を使用する場合のDNS Umbrellaの問題を解決する方法について説明します。

背景説明

Cisco Catalyst SD-WANルータがCisco Umbrella DNSへのAPI Key/Secret認証方式を使用して登録するために使用するデジタル証明書は、2024年9月30日に期限切れになりました。証明書の有効期限が切れた Cisco SD-WAN ルータは、Cisco Umbrella DNS サービスへの登録に失敗します。この問題は、Umbrella DNS登録のトークンベースの認証には該当しません。

詳細については、Field Notice FN74166 の2024年9月30日のCisco Umbrella DNS証明書の期限切れを参照してください。

期限切れの包括ルートCA証明書を持つ該当SD-WANデバイスは、デバイス登録のためにCisco Umbrella DNSとのセキュアな接続を確立できません。デバイスがUmbrella DNSサービスに登録されていないため、エンドユーザのDNS要求は、SD-WANエッジによってDNSセキュリティポリシーの適用のためにUmbrellaドメインサーバにリダイレクトされません。SD-WANエッジの背後にあるエンドユーザからのDNS要求はドロップされず、エンドユーザデバイスで設定されたDNSドメインサーバによって処理されます。

不具合情報

この証明書は、Cisco Bug ID CSCwi43360 : UmbrellaクラウドへのDNSセキュリティ登録の証明書は2024年9月に期限切れになります。（17.9.6、17.12.4、17.15.1aで修正）

証明書が更新されても、SSLハンドシェイクの確立に失敗する。これはCisco Bug ID CSCwm73365 ：デバイスに最新の証明書が存在するにもかかわらず、SSLハンドシェイクが失敗します。（17.6.8aで修正）

修正済みリリース

CCOリリース

Release

17.6.8a

Engineering Special リリース

Release	17.09.05a.0.51
Release	17.12.04.0.31

修復マトリックス

リリース	シスコが推奨する修復手順
17.3.x/17.4.x/17.5.x	セクション1の手順に従います。コントローラモードでCisco IOS XEソフトウェアリリース17.5.x以前を実行しているシスコデバイス
17.6.1 ～ 17.6.7、17.7.x、17.8.x	セクション2の手順に従います。コントローラモードでCisco IOS XEソフトウェアリリース17.6.x ～ 17.8.xを実行しているシスコデバイス
17.6.8a	Umbrella DNS証明書の期限切れの問題は、このリリースで修正されています。
17.9.1 ～ 17.9.4、17.10.x、17.11.x、17.12.1 ～ 17.12.2、17.13.x、17.14.x、17.15.1a	エッジデバイスへの証明書の自動コピーに、Umbrella DNS証明書スクリプトを使用します。スクリプトの実行に使用する手順については、GITのreadmeファイルを参照してください。
17.9.5a	セクション3の手順に従います
17.9.6	セクション4の手順に従います
17.12.3a	セクション5の手順に従います
17.12.4	セクション6の手順に従います

1. コントローラモードでCisco IOS XEソフトウェアリリース17.5.x以前を実行しているシスコデバイス

修復オプションを使用して、新しいUmbrellaルートCA証明書をインストールします。

自動化

SD-WAN Manager 20.9.1以降では、vManageからエッジデバイスへの証明書の自動コピーにUmbrella DNS証明書スクリプトを使用します。
Umbrela DNS証明書スクリプト
スクリプトの詳細な使用手順については、GITのreadmeファイルを参照してください。
RootCA証明書がデバイスにコピーされたら、ルータをリロードしてインストールプロセスを完了します。

手動

New Umbrella Certificate Webサイトから新しい期限切れではない証明書をダウンロードし、SD-WANオーバーレイの該当ルータにアクセスできるデバイスに配置します。
Linux scp コマンドまたは同様のメカニズムを入力して、ダウンロードデバイスから影響を受ける各ルータに安全なファイルコピーを実行します。
例：

scp ./isrgrootx1.pem <ユーザ名>@<EdgeIP>:trustidrootx3_ca.ca

<Username>をadminユーザに、<EdgeIP>を該当ルータのIPアドレスに置き換えます。
RootCA証明書がデバイスにコピーされたら、ルータをリロードしてインストールプロセスを完了します。

2. コントローラモードでCisco IOS XEソフトウェアリリース17.6.x ～ 17.8.xを実行しているシスコデバイス

修復オプションを使用して、新しいUmbrellaルートCA証明書をインストールします。

自動化

SD-WAN Manager 20.9.1以降では、vManageからエッジデバイスへの証明書の自動コピーにUmbrella DNS証明書スクリプトを使用します。
Umbrella DNS証明書スクリプト
スクリプトの詳細な使用手順については、GITのreadmeファイルを参照してください。
RootCA証明書がデバイスにコピーされたら、ルータをリロードしてインストールプロセスを完了します。

手動

New Umbrella Certificate Webサイトから新しい期限切れではない証明書をダウンロードし、SD-WANオーバーレイの該当ルータにアクセスできるデバイスに配置します。
Linux scp コマンドまたは同様のメカニズムを入力して、ダウンロードデバイスから影響を受ける各ルータに安全なファイルコピーを実行します。
例：

scp ./isrgrootx1.pem admin@<EdgeIP>:trustidrootx3_ca_092024.ca

<EdgeIP> を影響を受けるルータの IP アドレスに置き換えます。
RootCA証明書がデバイスにコピーされたら、ルータをリロードしてインストールプロセスを完了します

3. コントローラモードでCisco IOS XEソフトウェアリリース17.9.5aを実行しているシスコデバイス

このセクションで説明されているように、修復オプションを使用して新しい包括ルートCA証明書をインストールします。ほとんどのプラットフォームでは、修正で利用可能なホットSMUがあります。新しいUmbrellaルートCA証明書をインストールするために記載されているスクリプトを実行するオプションもあります。