Inleiding
In dit document wordt beschreven hoe u het probleem met de DNS-paraplu kunt oplossen waarbij SD-WAN-routers het verlopen certificaat gebruiken in plaats van het nieuwe certificaat.
Achtergrondinformatie
Het digitale certificaat dat door Cisco Catalyst SD-WAN Routers wordt gebruikt om zich te registreren met behulp van de API Key/Secret-verificatiemethode met Cisco Umbrella DNS is op 30 september 2024 verlopen. Cisco SD-WAN-routers met het verlopen certificaat kunnen zich niet registreren bij de Cisco Umbrella DNS-service. Dit probleem is niet van toepassing op de op tokens gebaseerde authenticatie voor de Umbrella DNS-registratie.
Raadpleeg het verlopen van het Cisco Umbrella DNS-certificaat op 30 september 2024 in Field Notice FN74166 voor meer informatie.
Betrokken SD-WAN-apparaten met verlopen CA-hoofdcertificaat kunnen geen beveiligde verbindingen tot stand brengen met de Cisco Umbrella DNS voor apparaatregistratie. Aangezien het apparaat niet is geregistreerd bij Umbrella DNS Service, worden DNS-verzoeken van eindgebruikers niet doorgestuurd naar de Umbrella-domeinserver door SD-WAN edge voor de handhaving van het DNS-beveiligingsbeleid. Het DNS-verzoek van de eindgebruikers achter de SD-WAN-rand wordt niet weggelaten en wordt onderhouden door de DNS-domeinserver die is geconfigureerd op de apparaten van de eindgebruiker.
defectinformatie
Het certificaat is bijgewerkt als onderdeel van Cisco bug ID CSCwi43360
Cert: Vervaldatum september 2024 voor DNS Security-registratie naar Umbrella Cloud. (vastgesteld in 17.9.6, 17.12.4, 17.15.1a)
Zelfs als het certificaat wordt bijgewerkt, kan de SSL-handshake niet worden vastgesteld, die wordt geadresseerd als onderdeel van Cisco-bug-ID CSCwm73365
SSL: handshake mislukt ondanks umbrella_root_ca.ca met het nieuwste certificaat aanwezig op het apparaat. (vastgelegd in 17.6.8a)
Vast vrijgegeven
CCO-releases
ENGINEERING SPECIALE RELEASES
saneringsmatrix
vrijgave
|
Aanbevolen stappen voor herstel door Cisco
|
17.3.x/17.4.x/17.5.x
|
Volg de stappen in sectie 1. Cisco Devices Running Cisco IOS XE Software Release 17.5.x of eerder in controllermodus
|
17.6.1-17.6.7, 17.7.x, 17.8.x
|
Volg de stappen in rubriek 2. Cisco Devices Running Cisco IOS XE Software Release 17.6.x tot 17.8.x in controllermodus
|
17.6.8 bis
|
De vervaldatum van het Umbrella DNS Cert is in deze release opgelost.
|
17.9.1 - 17.9.4, 17.10.x, 17.11.x, 17.12.1 - 17.12.2, 17.13.x, 17.14.x, 17.15.1a
|
Gebruik Umbrella DNS Cert Script voor automatische kopie van certificaten naar de Edge-apparaten. Raadpleeg het leesmij-bestand op de GIT voor de stappen die u kunt gebruiken voor het uitvoeren van het script.
|
17,9,5 bis
|
Volg de stappen in sectie 3
|
17.9.6
|
Volg de stappen in rubriek 4
|
17.12.3 bis
|
Volg de stappen in rubriek 5
|
17.12.4
|
Volg de stappen in rubriek 6
|
1. Cisco-apparaten waarop Cisco IOS XE-software wordt uitgevoerd, release 17.5.x of eerder in controllermodus
Gebruik de herstelopties om het nieuwe Umbrella RootCA-certificaat te installeren.
geautomatiseerd
- Gebruik voor SD-WAN Manager 20.9.1 of hoger het Umbrella DNS Cert-script voor automatische kopie van certificaten naar de randapparaten van vManage.
- Umbrela DNS Cert Script
- Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.
- Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien.
manueel
- Download het nieuwe, niet-verlopen certificaat van de website New Umbrella Certificate en plaats het op een apparaat dat toegang heeft tot de betreffende router(s) in de SD-WAN-overlay.
- Voer de Linux SCP-opdracht of een soortgelijk mechanisme in om een veilige bestandskopie van het downloadapparaat op elke getroffen router uit te voeren.
Voorbeeld:
scp ./isrgrootx1.pem <gebruikersnaam>@<EdgeIP>:trustidrootx3_ca.ca
Vervang <gebruikersnaam> door een beheerdersgebruiker en <EdgeIP> door het IP-adres van de betreffende router.
- Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien.
2. Cisco-apparaten waarop Cisco IOS XE-software wordt uitgevoerd, release 17.6.x tot 17.8.x in controllermodus
Gebruik de herstelopties om het nieuwe Umbrella RootCA-certificaat te installeren.
geautomatiseerd
- Gebruik voor SD-WAN Manager 20.9.1 of hoger het Umbrella DNS Cert-script voor automatische kopie van certificaten naar de randapparaten van vManage.
- Umbrella DNS Cert-script
- Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.
- Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien.
manueel
- Download het nieuwe, niet-verlopen certificaat van de website New Umbrella Certificate en plaats het op een apparaat dat toegang heeft tot de betreffende router(s) in de SD-WAN-overlay.
- Voer de Linux scp-opdracht of een soortgelijk mechanisme in om een veilige kopie van het bestand vanaf het downloadapparaat op elke getroffen router uit te voeren.
Voorbeeld:
scp ./isrgrootx1.pem admin@<EdgeIP>:trustidrootx3_ca_092024.ca
Vervang <EdgeIP> door het IP-adres van de betreffende router.
- Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien
3. Cisco-apparaten waarop Cisco IOS XE Software Release 17.9.5a wordt uitgevoerd in controllermodus
Gebruik de herstelopties om het nieuwe Umbrella RootCA-certificaat te installeren, zoals uitgelegd in deze sectie, voor de meeste platforms is er een HOT SMU beschikbaar met de oplossing. U hebt ook de optie om het genoemde script uit te voeren om het nieuwe Umbrella RootCA-certificaat te installeren.
- De HOT SMU is van toepassing op deze platforms – "Hitless/Recommended SMU, SSL handshake fails despite umbrella_root_ca.ca with latest certificate being present on the device":
4431 Integrated Services Router
4451-X geïntegreerde routerservices
ASR 1001-X-router
Virtuele routers
4331 Integrated Services Router
4221 Integrated Services Router
4351 Integrated Services Router
Catalyst 8500L Edge-platform
ASR 1001-HX-router
4321 Integrated Services Router
Catalyst 8500 Edge-platform
4461 Integrated Services Router
- Alternatief voor SMU, voer het script uit Umbrella DNS Cert Script Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.
Alleen scriptoptie voor:
ASR1002-X-router
Catalyst 8300 Edge-platform
ISR 1000-reeks met Cisco IOS XE SD-WAN
4. Cisco-apparaten waarop Cisco IOS XE Software Release 17.9.6 wordt uitgevoerd in controllermodus
- De HOT SMU is van toepassing op deze platforms - "Hitless/Recommended SMU, SSL handshake fails despite umbrella_root_ca.ca with latest certificate being present on the device":
4221 Integrated Services Router
4321 Integrated Services Router
4451-X geïntegreerde routerservices
Catalyst 8500 Edge-platform
4431 Integrated Services Router
Virtuele routers
4461 Integrated Services Router
4331 Integrated Services Router
4351 Integrated Services Router
ASR 1001-HX-router
ASR 1001-X-router
Catalyst 8500L Edge-platform
Robuuste Catalyst 1101-router
Robuuste katalysator IR1831-router
Robuuste katalysator IR1821-router
Robuuste katalysator IR1833-router
Robuuste katalysator IR1835-router
- Alternatief voor SMU, voer het script uit Umbrella DNS Cert Script Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.
Alleen scriptoptie voor:
ASR1002-X-router
Catalyst 8300 Edge-platform
ISR 1000-reeks met Cisco IOS XE SD-WAN
5. Cisco-apparaten die Cisco IOS XE-software zijn, release 17.12.3a in controllermodus
- De HOT SMU is van toepassing op deze platforms - "Hitless/Recommended SMU, SSL handshake fails despite umbrella_root_ca.ca with latest certificate being present on the device":
4221 Integrated Services Router
Catalyst 8300 Edge-platform
4331 Integrated Services Router
4461 Integrated Services Router
1100 Integrated Services Router
4351 Integrated Services Router
4321 Integrated Services Router
4431 Integrated Services Router
Virtuele routers
4451-X geïntegreerde routerservices
Catalyst 8500L Edge-platform
Catalyst 8500 Edge-platform
ASR 1001-HX-router
2. Alternatief voor SMU, voer het script uit Umbrella DNS Cert Script
Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.
6. Cisco-apparaten waarop Cisco IOS XE-software wordt uitgevoerd, versie 17.12.4 in controllermodus
- De HOT SMU is van toepassing op deze platforms - "Hitless/Recommended SMU, SSL handshake fails despite umbrella_root_ca.ca with latest certificate being present on the device":
Catalyst 8500 Edge-platform
ASR 1001-HX-router
4331 Integrated Services Router
4321 Integrated Services Router
4221 Integrated Services Router
Virtuele routers
4351 Integrated Services Router
4451-X geïntegreerde routerservices
4461 Integrated Services Router
Catalyst 8300 Edge-platform
ASR 1002-HX-router
4431 Integrated Services Router
1100 Integrated Services Router
Catalyst 8500L Edge-platform
Robuuste katalysator IR1833-router
Robuuste katalysator IR1835-router
Robuuste katalysator IR1831-router
Robuuste katalysator IR1821-router
- Het alternatief voor SMU is om het script uit te voeren Umbrella DNS Cert Script Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.
Let op: Umbrella DNS-registraties van de apparaten blijven werken zolang het apparaat niet opnieuw wordt opgestart of er geen nieuwe registraties zijn.
Let op: Als de parapluconfiguratie wordt verwijderd en opnieuw wordt toegepast, wordt de paraplu-DNS opnieuw geregistreerd. Zolang dit proces niet wordt gevolgd, functioneert de overkoepelende DNS goed.