DNS-paraplucertificaat wordt in oktober 2024 bijgewerkt

Downloadopties

  • PDF     (273.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:14 oktober 2024
Document-id:222467

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u het probleem met de DNS-paraplu kunt oplossen waarbij SD-WAN-routers het verlopen certificaat gebruiken in plaats van het nieuwe certificaat.

    Achtergrondinformatie

    Het digitale certificaat dat door Cisco Catalyst SD-WAN Routers wordt gebruikt om zich te registreren met behulp van de API Key/Secret-verificatiemethode met Cisco Umbrella DNS is op 30 september 2024 verlopen. Cisco SD-WAN-routers met het verlopen certificaat kunnen zich niet registreren bij de Cisco Umbrella DNS-service. Dit probleem is niet van toepassing op de op tokens gebaseerde authenticatie voor de Umbrella DNS-registratie.

    Raadpleeg het verlopen van het Cisco Umbrella DNS-certificaat op 30 september 2024 in Field Notice FN74166 voor meer informatie.

    Betrokken SD-WAN-apparaten met verlopen CA-hoofdcertificaat kunnen geen beveiligde verbindingen tot stand brengen met de Cisco Umbrella DNS voor apparaatregistratie.  Aangezien het apparaat niet is geregistreerd bij Umbrella DNS Service, worden DNS-verzoeken van eindgebruikers niet doorgestuurd naar de Umbrella-domeinserver door SD-WAN edge voor de handhaving van het DNS-beveiligingsbeleid. Het DNS-verzoek van de eindgebruikers achter de SD-WAN-rand wordt niet weggelaten en wordt onderhouden door de DNS-domeinserver die is geconfigureerd op de apparaten van de eindgebruiker.

    defectinformatie

    Het certificaat is bijgewerkt als onderdeel van Cisco bug ID CSCwi43360 Cert: Vervaldatum september 2024 voor DNS Security-registratie naar Umbrella Cloud.  (vastgesteld in 17.9.6, 17.12.4, 17.15.1a)

    Zelfs als het certificaat wordt bijgewerkt, kan de SSL-handshake niet worden vastgesteld, die wordt geadresseerd als onderdeel van Cisco-bug-ID CSCwm73365 SSL: handshake mislukt ondanks umbrella_root_ca.ca met het nieuwste certificaat aanwezig op het apparaat. (vastgelegd in 17.6.8a)

    Vast vrijgegeven

    CCO-releases

    loslaten

    17.6.8 bis


    ENGINEERING SPECIALE RELEASES

    loslaten 17 09 05 A 0 51
    loslaten 17.12.04.0.31

    saneringsmatrix

    vrijgave

    Aanbevolen stappen voor herstel door Cisco

    17.3.x/17.4.x/17.5.x

    Volg de stappen in sectie 1. Cisco Devices Running Cisco IOS XE Software Release 17.5.x of eerder in controllermodus  

    17.6.1-17.6.7, 17.7.x, 17.8.x

    Volg de stappen in rubriek 2. Cisco Devices Running Cisco IOS XE Software Release 17.6.x tot 17.8.x in controllermodus  

    17.6.8 bis

    De vervaldatum van het Umbrella DNS Cert is in deze release opgelost.

    17.9.1 - 17.9.4, 17.10.x, 17.11.x, 17.12.1 - 17.12.2, 17.13.x, 17.14.x, 17.15.1a

    Gebruik Umbrella DNS Cert Script voor automatische kopie van certificaten naar de Edge-apparaten. Raadpleeg het leesmij-bestand op de GIT voor de stappen die u kunt gebruiken voor het uitvoeren van het script.

    17,9,5 bis

    Volg de stappen in sectie 3  

    17.9.6

    Volg de stappen in rubriek 4  

    17.12.3 bis

    Volg de stappen in rubriek 5  

    17.12.4

    Volg de stappen in rubriek 6  

    1. Cisco-apparaten waarop Cisco IOS XE-software wordt uitgevoerd, release 17.5.x of eerder in controllermodus

    Gebruik de herstelopties om het nieuwe Umbrella RootCA-certificaat te installeren.

    geautomatiseerd

    1. Gebruik voor SD-WAN Manager 20.9.1 of hoger het Umbrella DNS Cert-script voor automatische kopie van certificaten naar de randapparaten van vManage.
    2. Umbrela DNS Cert Script  
    3. Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.
    4. Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien.

    manueel

    1. Download het nieuwe, niet-verlopen certificaat van de website New Umbrella Certificate en plaats het op een apparaat dat toegang heeft tot de betreffende router(s) in de SD-WAN-overlay. 
    2. Voer de Linux SCP-opdracht of een soortgelijk mechanisme in om een veilige bestandskopie van het downloadapparaat op elke getroffen router uit te voeren.

      Voorbeeld:

      scp ./isrgrootx1.pem <gebruikersnaam>@<EdgeIP>:trustidrootx3_ca.ca

      Vervang <gebruikersnaam> door een beheerdersgebruiker en <EdgeIP> door het IP-adres van de betreffende router.

    3. Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien.

    2. Cisco-apparaten waarop Cisco IOS XE-software wordt uitgevoerd, release 17.6.x tot 17.8.x in controllermodus

    Gebruik de herstelopties om het nieuwe Umbrella RootCA-certificaat te installeren.

    geautomatiseerd

    1. Gebruik voor SD-WAN Manager 20.9.1 of hoger het Umbrella DNS Cert-script voor automatische kopie van certificaten naar de randapparaten van vManage.
    2. Umbrella DNS Cert-script  
    3. Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.
    4. Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien.

    manueel

    1. Download het nieuwe, niet-verlopen certificaat van de website New Umbrella Certificate en plaats het op een apparaat dat toegang heeft tot de betreffende router(s) in de SD-WAN-overlay.
    2. Voer de Linux scp-opdracht of een soortgelijk mechanisme in om een veilige kopie van het bestand vanaf het downloadapparaat op elke getroffen router uit te voeren.

      Voorbeeld:

      scp ./isrgrootx1.pem admin@<EdgeIP>:trustidrootx3_ca_092024.ca

      Vervang <EdgeIP> door het IP-adres van de betreffende router.

    3. Nadat het RootCA-certificaat naar het apparaat is gekopieerd, laadt u de router opnieuw om het installatieproces te voltooien

    3. Cisco-apparaten waarop Cisco IOS XE Software Release 17.9.5a wordt uitgevoerd in controllermodus

    Gebruik de herstelopties om het nieuwe Umbrella RootCA-certificaat te installeren, zoals uitgelegd in deze sectie, voor de meeste platforms is er een HOT SMU beschikbaar met de oplossing. U hebt ook de optie om het genoemde script uit te voeren om het nieuwe Umbrella RootCA-certificaat te installeren.

    1. De HOT SMU is van toepassing op deze platforms – "Hitless/Recommended SMU, SSL handshake fails despite umbrella_root_ca.ca with latest certificate being present on the device":

    4431 Integrated Services Router
    4451-X geïntegreerde routerservices

    ASR 1001-X-router
    Virtuele routers
    4331 Integrated Services Router
    4221 Integrated Services Router
    4351 Integrated Services Router
    Catalyst 8500L Edge-platform
    ASR 1001-HX-router
    4321 Integrated Services Router

    Catalyst 8500 Edge-platform

    4461 Integrated Services Router

    1. Alternatief voor SMU, voer het script uit Umbrella DNS Cert Script Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.

    Alleen scriptoptie voor:
    ASR1002-X-router

    Catalyst 8300 Edge-platform

    ISR 1000-reeks met Cisco IOS XE SD-WAN

    4. Cisco-apparaten waarop Cisco IOS XE Software Release 17.9.6 wordt uitgevoerd in controllermodus

    1. De HOT SMU is van toepassing op deze platforms - "Hitless/Recommended SMU, SSL handshake fails despite umbrella_root_ca.ca with latest certificate being present on the device":

    4221 Integrated Services Router
    4321 Integrated Services Router
    4451-X geïntegreerde routerservices
    Catalyst 8500 Edge-platform
    4431 Integrated Services Router
    Virtuele routers
    4461 Integrated Services Router
    4331 Integrated Services Router
    4351 Integrated Services Router
    ASR 1001-HX-router
    ASR 1001-X-router
    Catalyst 8500L Edge-platform

    Robuuste Catalyst 1101-router

    Robuuste katalysator IR1831-router
    Robuuste katalysator IR1821-router
    Robuuste katalysator IR1833-router
    Robuuste katalysator IR1835-router

    1. Alternatief voor SMU, voer het script uit Umbrella DNS Cert Script Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.

    Alleen scriptoptie voor:

    ASR1002-X-router

    Catalyst 8300 Edge-platform

    ISR 1000-reeks met Cisco IOS XE SD-WAN

    5. Cisco-apparaten die Cisco IOS XE-software zijn, release 17.12.3a in controllermodus

    1. De HOT SMU is van toepassing op deze platforms - "Hitless/Recommended SMU, SSL handshake fails despite umbrella_root_ca.ca with latest certificate being present on the device":

    4221 Integrated Services Router
    Catalyst 8300 Edge-platform
    4331 Integrated Services Router
    4461 Integrated Services Router
    1100 Integrated Services Router
    4351 Integrated Services Router
    4321 Integrated Services Router
    4431 Integrated Services Router
    Virtuele routers
    4451-X geïntegreerde routerservices

    Catalyst 8500L Edge-platform
    Catalyst 8500 Edge-platform
    ASR 1001-HX-router

    2. Alternatief voor SMU, voer het script uit Umbrella DNS Cert Script

    Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.

    6. Cisco-apparaten waarop Cisco IOS XE-software wordt uitgevoerd, versie 17.12.4 in controllermodus

    1. De HOT SMU is van toepassing op deze platforms - "Hitless/Recommended SMU, SSL handshake fails despite umbrella_root_ca.ca with latest certificate being present on the device":  

    Catalyst 8500 Edge-platform
    ASR 1001-HX-router
    4331 Integrated Services Router
    4321 Integrated Services Router
    4221 Integrated Services Router
    Virtuele routers
    4351 Integrated Services Router
    4451-X geïntegreerde routerservices
    4461 Integrated Services Router
    Catalyst 8300 Edge-platform
    ASR 1002-HX-router
    4431 Integrated Services Router

    1100 Integrated Services Router

    Catalyst 8500L Edge-platform

    Robuuste katalysator IR1833-router
    Robuuste katalysator IR1835-router
    Robuuste katalysator IR1831-router
    Robuuste katalysator IR1821-router

    1. Het alternatief voor SMU is om het script uit te voeren Umbrella DNS Cert Script Raadpleeg het leesmij-bestand op de GIT voor gedetailleerde stappen om het script te gebruiken.

    Let op: Umbrella DNS-registraties van de apparaten blijven werken zolang het apparaat niet opnieuw wordt opgestart of er geen nieuwe registraties zijn. 

    Let op: Als de parapluconfiguratie wordt verwijderd en opnieuw wordt toegepast, wordt de paraplu-DNS opnieuw geregistreerd. Zolang dit proces niet wordt gevolgd, functioneert de overkoepelende DNS goed.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    14-Oct-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Ankur Kamlesh Soni
      Cisco Software Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten