2024 年 10 月に DNS Umbrella 証明書が動作するように更新する

ダウンロード オプション

  • PDF     (367.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (76.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 10 月 14 日
Document ID:222467

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、SD-WANルータが新しい証明書の代わりに期限切れの証明書を使用する場合のDNS Umbrellaの問題を解決する方法について説明します。

    背景説明

    Cisco Catalyst SD-WANルータがCisco Umbrella DNSへのAPI Key/Secret認証方式を使用して登録するために使用するデジタル証明書は、2024年9月30日に期限切れになりました。証明書の有効期限が切れた Cisco SD-WAN ルータは、Cisco Umbrella DNS サービスへの登録に失敗します。この問題は、Umbrella DNS登録のトークンベースの認証には該当しません。

    詳細については、Field Notice FN74166 の2024年9月30日のCisco Umbrella DNS証明書の期限切れを参照してください。

    期限切れの包括ルートCA証明書を持つ該当SD-WANデバイスは、デバイス登録のためにCisco Umbrella DNSとのセキュアな接続を確立できません。  デバイスがUmbrella DNSサービスに登録されていないため、エンドユーザのDNS要求は、SD-WANエッジによってDNSセキュリティポリシーの適用のためにUmbrellaドメインサーバにリダイレクトされません。SD-WANエッジの背後にあるエンドユーザからのDNS要求はドロップされず、エンドユーザデバイスで設定されたDNSドメインサーバによって処理されます。

    不具合情報

    この証明書は、Cisco Bug ID CSCwi43360 : UmbrellaクラウドへのDNSセキュリティ登録の証明書は2024年9月に期限切れになります。 (17.9.6、17.12.4、17.15.1aで修正)

    証明書が更新されても、SSLハンドシェイクの確立に失敗する。これはCisco Bug ID CSCwm73365 :デバイスに最新の証明書が存在するにもかかわらず、SSLハンドシェイクが失敗します。(17.6.8aで修正)

    修正済みリリース

    CCOリリース

    Release

    17.6.8a


    Engineering Special リリース

    Release 17.09.05a.0.51
    Release 17.12.04.0.31

    修復マトリックス

    リリース

    シスコが推奨する修復手順

    17.3.x/17.4.x/17.5.x

    セクション1の手順に従います。コントローラモードでCisco IOS XEソフトウェアリリース17.5.x以前を実行しているシスコデバイス  

    17.6.1 ~ 17.6.7、17.7.x、17.8.x

    セクション2の手順に従います。コントローラモードでCisco IOS XEソフトウェアリリース17.6.x ~ 17.8.xを実行しているシスコデバイス  

    17.6.8a

    Umbrella DNS証明書の期限切れの問題は、このリリースで修正されています。

    17.9.1 ~ 17.9.4、17.10.x、17.11.x、17.12.1 ~ 17.12.2、17.13.x、17.14.x、17.15.1a

    エッジデバイスへの証明書の自動コピーに、Umbrella DNS証明書スクリプトを使用します。スクリプトの実行に使用する手順については、GITのreadmeファイルを参照してください。

    17.9.5a

    セクション3の手順に従います  

    17.9.6

    セクション4の手順に従います  

    17.12.3a

    セクション5の手順に従います  

    17.12.4

    セクション6の手順に従います  

    1. コントローラモードでCisco IOS XEソフトウェアリリース17.5.x以前を実行しているシスコデバイス

    修復オプションを使用して、新しいUmbrellaルートCA証明書をインストールします。

    自動化

    1. SD-WAN Manager 20.9.1以降では、vManageからエッジデバイスへの証明書の自動コピーにUmbrella DNS証明書スクリプトを使用します。
    2. Umbrela DNS証明書スクリプト  
    3. スクリプトの詳細な使用手順については、GITのreadmeファイルを参照してください。
    4. RootCA証明書がデバイスにコピーされたら、ルータをリロードしてインストールプロセスを完了します。

    手動

    1. New Umbrella Certificate Webサイトから新しい期限切れではない証明書をダウンロードし、SD-WANオーバーレイの該当ルータにアクセスできるデバイスに配置します。 
    2. Linux scp コマンドまたは同様のメカニズムを入力して、ダウンロードデバイスから影響を受ける各ルータに安全なファイルコピーを実行します。

      例:

      scp ./isrgrootx1.pem <ユーザ名>@<EdgeIP>:trustidrootx3_ca.ca

      <Username>をadminユーザに、<EdgeIP>を該当ルータのIPアドレスに置き換えます。

    3. RootCA証明書がデバイスにコピーされたら、ルータをリロードしてインストールプロセスを完了します。

    2. コントローラモードでCisco IOS XEソフトウェアリリース17.6.x ~ 17.8.xを実行しているシスコデバイス

    修復オプションを使用して、新しいUmbrellaルートCA証明書をインストールします。

    自動化

    1. SD-WAN Manager 20.9.1以降では、vManageからエッジデバイスへの証明書の自動コピーにUmbrella DNS証明書スクリプトを使用します。
    2. Umbrella DNS証明書スクリプト  
    3. スクリプトの詳細な使用手順については、GITのreadmeファイルを参照してください。
    4. RootCA証明書がデバイスにコピーされたら、ルータをリロードしてインストールプロセスを完了します。

    手動

    1. New Umbrella Certificate Webサイトから新しい期限切れではない証明書をダウンロードし、SD-WANオーバーレイの該当ルータにアクセスできるデバイスに配置します。
    2. Linux scp コマンドまたは同様のメカニズムを入力して、ダウンロードデバイスから影響を受ける各ルータに安全なファイルコピーを実行します。

      例:

      scp ./isrgrootx1.pem admin@<EdgeIP>:trustidrootx3_ca_092024.ca

      <EdgeIP> を影響を受けるルータの IP アドレスに置き換えます。

    3. RootCA証明書がデバイスにコピーされたら、ルータをリロードしてインストールプロセスを完了します

    3. コントローラモードでCisco IOS XEソフトウェアリリース17.9.5aを実行しているシスコデバイス

    このセクションで説明されているように、修復オプションを使用して新しい包括ルートCA証明書をインストールします。ほとんどのプラットフォームでは、修正で利用可能なホットSMUがあります。新しいUmbrellaルートCA証明書をインストールするために記載されているスクリプトを実行するオプションもあります。

    1. HOT SMUは次のプラットフォームに適用されます。「無中断/推奨SMU、SSLハンドシェイクが、デバイスに最新の証明書が存在するumbrella_root_ca.caにもかかわらず失敗する」(「SSLハンドシェイクが失敗します。

    4431サービス統合型ルータ
    4451-Xサービス統合型ルータ

    ASR 1001-Xルータ
    仮想ルータ
    4331サービス統合型ルータ
    4221サービス統合型ルータ
    4351サービス統合型ルータ
    Catalyst 8500Lエッジプラットフォーム
    ASR 1001-HXルータ
    4321サービス統合型ルータ

    Catalyst 8500エッジプラットフォーム

    4461サービス統合型ルータ

    1. SMUの代わりに、スクリプトUmbrella DNS Cert Scriptを実行します。スクリプトの詳細な使用手順については、GITのreadmeファイルを参照してください。

    スクリプトのみのオプション:
    ASR1002-Xルータ

    Catalyst 8300エッジプラットフォーム

    Cisco IOS XE SD-WANを実行するISR 1000シリーズ

    4. コントローラモードでCisco IOS XEソフトウェアリリース17.9.6を実行しているシスコデバイス

    1. HOT SMUは次のプラットフォームに適用されます。「無中断/推奨SMU、SSLハンドシェイクが、デバイスに最新の証明書が存在するumbrella_root_ca.caにもかかわらず失敗する」:

    4221サービス統合型ルータ
    4321サービス統合型ルータ
    4451-Xサービス統合型ルータ
    Catalyst 8500エッジプラットフォーム
    4431サービス統合型ルータ
    仮想ルータ
    4461サービス統合型ルータ
    4331サービス統合型ルータ
    4351サービス統合型ルータ
    ASR 1001-HXルータ
    ASR 1001-Xルータ
    Catalyst 8500Lエッジプラットフォーム

    Catalyst 1101高耐久性ルータ

    Catalyst IR1831高耐久性ルータ
    Catalyst IR1821高耐久性ルータ
    Catalyst IR1833高耐久性ルータ
    Catalyst IR1835高耐久性ルータ

    1. SMUの代わりに、スクリプトUmbrella DNS Cert Scriptを実行します。スクリプトの詳細な使用手順については、GITのreadmeファイルを参照してください。

    スクリプトのみのオプション:

    ASR1002-Xルータ

    Catalyst 8300エッジプラットフォーム

    Cisco IOS XE SD-WANを実行するISR 1000シリーズ

    5. コントローラモードのCisco IOS XEソフトウェアリリース17.12.3aが稼働するシスコデバイス

    1. HOT SMUは次のプラットフォームに適用されます。「無中断/推奨SMU、SSLハンドシェイクが、デバイスに最新の証明書が存在するumbrella_root_ca.caにもかかわらず失敗する」:

    4221サービス統合型ルータ
    Catalyst 8300エッジプラットフォーム
    4331サービス統合型ルータ
    4461サービス統合型ルータ
    1100サービス統合型ルータ
    4351サービス統合型ルータ
    4321サービス統合型ルータ
    4431サービス統合型ルータ
    仮想ルータ
    4451-Xサービス統合型ルータ

    Catalyst 8500Lエッジプラットフォーム
    Catalyst 8500エッジプラットフォーム
    ASR 1001-HXルータ

    2. SMUの代わりに、スクリプトUmbrella DNS Cert Scriptを実行します。

    スクリプトの詳細な使用手順については、GITのreadmeファイルを参照してください。

    6. コントローラモードでCisco IOS XEソフトウェアリリース17.12.4を実行しているシスコデバイス

    1. HOT SMUは次のプラットフォームに適用されます。「無中断/推奨SMU、SSLハンドシェイクが、デバイスに最新の証明書が存在するumbrella_root_ca.caにもかかわらず失敗する」:  

    Catalyst 8500エッジプラットフォーム
    ASR 1001-HXルータ
    4331サービス統合型ルータ
    4321サービス統合型ルータ
    4221サービス統合型ルータ
    仮想ルータ
    4351サービス統合型ルータ
    4451-Xサービス統合型ルータ
    4461サービス統合型ルータ
    Catalyst 8300エッジプラットフォーム
    ASR 1002-HXルータ
    4431サービス統合型ルータ

    1100サービス統合型ルータ

    Catalyst 8500Lエッジプラットフォーム

    Catalyst IR1833高耐久性ルータ
    Catalyst IR1835高耐久性ルータ
    Catalyst IR1831高耐久性ルータ
    Catalyst IR1821高耐久性ルータ

    1. SMUの代替はスクリプトUmbrella DNS Cert Scriptを実行することです。スクリプトの詳細な使用手順については、GITのreadmeファイルを参照してください。

    注意:デバイスのリブートや新規登録がない限り、デバイスからの包括DNS登録は機能し続けます。 

    注意:umbrella設定が削除されて再適用されると、umbrella DNSの再登録がトリガーされます。このプロセスに従わない限り、包括DNSは正常に機能します。

    更新履歴

    改定 発行日 コメント
    1.0
    14-Oct-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • アンクル・カムレシュ・ソニ
      シスコソフトウェアエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています