Este documento descreve os alertas de expiração de certificado de CA personalizado em um Secure Email Gateway (ESA) após uma atualização para o AsyncOS 14.x.
O sintoma são alertas de expiração para certificados que foram anexados à lista de CA (Autoridade de Certificação) Personalizada durante a atualização. O impacto é limitado a alertas informativos, pois a expiração de certificados na lista personalizada não afeta os certificados na lista do sistema. A solução é verificar a origem do certificado e substituir o certificado de autoridade de certificação personalizado necessário ou remover o certificado expirado da lista personalizada.
Este documento é baseado no Cisco Secure Email Gateway executando o AsyncOS 14.0 ou posterior.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Durante o processo de atualização para o AsyncOS 14.x, os clientes são solicitados a confirmar se desejam anexar certificados de sistema mais antigos à lista de CAs personalizadas. Esse comportamento também é documentado nas notas de versão do AsyncOS 14.0, conforme mostrado na Imagem 1. Consulte as Notas de versão do Cisco Secure Email Gateway para AsyncOS 14.0.
Imagem 1. Trecho das notas de versão que mostra o prompt de atualização para anexar certificados do sistema mais antigos à lista de CAs personalizadas.

Após uma atualização para o AsyncOS 14.x, os certificados de sistema mais antigos que foram anexados à lista personalizada podem expirar com o tempo e gerar alertas como este exemplo.
26 Jun 2021 11:27:29 -0400 Seu certificado CA:Root CA Generalitat Valenciana expira em 5 dias (s).
Esses alertas indicam a expiração de certificados do sistema mais antigos, que foram anexados à lista personalizada no momento da atualização, ou um certificado personalizado usado anteriormente próximo da expiração.
Os alertas para certificados do sistema mais antigos na lista personalizada são informativos e você pode optar por removê-los da lista personalizada ou permitir que eles expirem.
Essa condição não afeta o serviço, mas o alerta pode ser indesejável.
Se você vir alertas para um certificado de CA personalizado que é exigido pela sua organização e não faz parte da lista do sistema no momento, entre em contato com a CA para obter um certificado atualizado e substitua-o conforme descrito no procedimento de gerenciamento de certificado do Guia de administração do Cisco Secure Email Gateway.
O pacote de certificados da CA do sistema é atualizado automaticamente após uma atualização e periodicamente a partir daí. A expiração de certificados na lista personalizada não afeta os certificados na lista do sistema.
Para verificar se a lista do sistema e a lista personalizada estão habilitadas, navegue para Rede > Certificados > Autoridades de certificado > Editar configurações.
Você também pode exportar as listas do sistema e personalizadas do mesmo menu ou usar os comandos CLI certconfig e certauauthority para revisar os certificados em ambas as listas conforme necessário.
Se você quiser remover o certificado que gera alertas na lista de CAs personalizadas, conclua estas etapas como um administrador sobre SSH para o equipamento.
Este exemplo de CLI mostra o fluxo de trabalho.
example.com> certconfig Choose the operation you want to perform: - CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles - CERTAUTHORITY - Manage System and Customized Authorities - CRL - Manage Certificate Revocation Lists []> certauthority Certificate Authority Summary Custom List: Enabled System List: Enabled Choose the operation you want to perform: - CUSTOM - Manage Custom Certificate Authorities - SYSTEM - Manage System Certificate Authorities []> custom Choose the operation you want to perform: - DISABLE - Disable the custom certificate authorities list - IMPORT - Import the list of custom certificate authorties - EXPORT - Export the list of custom certificate authorties - DELETE - Remove a certificate from the custom certificate authorty list - PRINT - Print the list of custom certificate authorties - CHECK_CA_FLAG - Check CA flag in uploaded custom CA certs []> delete You must enter a value from 1 to 104. ... 59. [Root CA Generalitat Valenciana] <<< Select this certificate based on the sample alert in this example ... 93. [thawte Primary Root CA] Select the custom CA certificate you want to delete []> 59 Are you sure you want to delete "Root CA Generalitat Valenciana"? [N]> Y Custom CA certificate "Root CA Generalitat Valenciana" removed Choose the operation you want to perform: - DISABLE - Disable the custom certificate authorities list - IMPORT - Import the list of custom certificate authorties - EXPORT - Export the list of custom certificate authorties - DELETE - Remove a certificate from the custom certificate authorty list - PRINT - Print the list of custom certificate authorties - CHECK_CA_FLAG - Check CA flag in uploaded custom CA certs []> [ENTER] Certificate Authority Summary Custom List: Enabled System List: Enabled Choose the operation you want to perform: - CUSTOM - Manage Custom Certificate Authorities - SYSTEM - Manage System Certificate Authorities []> [ENTER] Choose the operation you want to perform: - CERTIFICATE - Import, Create a request, Edit or Remove Certificate Profiles - CERTAUTHORITY - Manage System and Customized Authorities - CRL - Manage Certificate Revocation Lists []> [ENTER] example.com> commit
Certifique-se de executar commit no final.
| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
07-Jul-2026
|
Recertificação. |
1.0 |
29-Jun-2021
|
Versão inicial |