Cisco Webex Root CA-certificaatupdate op 2021-03-31

Inleiding

Dit document beschrijft hoe Cisco Webex naar een nieuwe certificaatinstantie, IdenTrust Commercial Root CA 1, zal overgaan. Klanten die Expressway gebruiken om te bellen naar Webex-vergaderingen, of een van de connectors die Expressway benut, moeten het nieuwe certificaat uploaden naar hun Expressway-apparaten vóór 2021-03-31.

Gebruikte componenten

De informatie in dit document is gebaseerd op Video Communication Server (VCS)-Expressway of Expressway.

Probleem

Als Root CA-certificaten niet worden geüpload op Expressway truststore, kan TLS-onderhandeling met Webex mislukken voor deze implementaties:

• U gebruikt endpoints om verbinding te maken met het Cisco Webex Video Platform via een VCS-Expressway of Expressway Edge. U moet het nieuwe certificaat toevoegen aan de Trusted Root Store van de VCS of Expressway.
• U gebruikt een Connector of Hybride Service op een VCS-Control of Expressway Core en u hebt niet gekozen voor Cloud Certificate Management. U moet het nieuwe certificaat toevoegen aan de Trusted Root Store van de VCS.

• U gebruikt Cisco Webex Edge Audio via een VCS-Expressway of Expressway Edge. U moet het certificaat toevoegen aan het vertrouwde basisarchief van de VCS of Expressway.
• 2021-03-23 update: Klanten die gebruik maken van Cloud Certificate Management zullen het nieuwe IdenTrust certificaat niet zien in hun huidige lijst van certificaten. Het bestaande Quovadis-certificaat (O=QuoVadis Limited, CN=QuoVadis Root CA 2) is nog steeds geldig. Het IdenTrust-certificaat wordt op een toekomstig TBD-tijdstip beschikbaar voor Cloud Certificate Management. Klanten die gebruik maken van Cloud Certificate Management zullen geen onderbrekingen van de service ervaren als gevolg van deze aankondiging en hoeven op dit moment geen actie te ondernemen.

• U hebt de toegang tot URL’s beperkt voor het controleren van lijsten met certificaatherroeping. U moet Webex-clients toestaan om de certificaatherroepingslijst te bereiken die wordt gehost op http://validation.identrust.com/crl/hydrantidcao1.crl.
  Cisco heeft ook *.identrust.com toegevoegd aan de lijst met URL’s die moeten worden toegestaan voor certificaatverificatie.
• U maakt geen gebruik van de standaard Certificate Trust Stores voor uw besturingssystemen. U moet het certificaat toevoegen aan uw vertrouwde basiswinkel. Dit certificaat bevindt zich standaard in de standaard trust store van alle grote besturingssystemen.

Oplossing

Deze stappen worden ook uitgelegd in de Cisco Webex Root CA Certificate update voor Expressway video van maart 2021.

Voltooi deze stappen om het nieuwe certificaat te uploaden naar een VCS-Control, VCS-Expressway, Expressway-Core en Expressway Edge.

Stap 1: Download de IdenTrust Commercial Root CA 1 en sla deze op als identrust_RootCA1.pem of identrust_RootCA1.cer.

a. Access IdenTrust Commercial Root CA 1.

b. Kopieert de tekst binnen het vak.

c. Sla de tekst op de Kladblok op en sla het bestand op. Geef het bestand identrust_RootCA1.pem of identrust_RootCA1.cer een naam.

Kies op al uw Expressway-apparaten Onderhoud > Beveiliging > Betrouwbaar CA-certificaat.

Stap 2: Upload het bestand op Expressway Trust Store.

a. Klik op CA-certificaat toevoegen om het CA-certificaat te uploaden in Expressway Trust Store.

b. Klik op Bladeren. Upload het bestand identrust_RootCA1.pem of identrust_RootCA1.cer. Voeg het CA-certificaat toe.

Stap 3: Controleer of het geüpload certificaat aanwezig is in de VCS / Expressway Trust Store.

Na deze handeling hoeft u niet opnieuw te starten of te herstarten om de wijzigingen van kracht te laten worden.