简介
本文档介绍如何解决SD-WAN路由器使用过期证书而非新证书的DNS Umbrella问题。
背景信息
Cisco Catalyst SD-WAN路由器使用API密钥/密钥身份验证方法向Cisco Umbrella DNS注册的数字证书已于2024年9月30日到期。证书过期的Cisco SD-WAN路由器将无法向Cisco Umbrella DNS服务注册。此问题不适用于Umbrella DNS注册的基于令牌的身份验证。
有关详细信息,请参阅Field Notice FN74166中的Cisco Umbrella DNS certificate expiry 2024年9月30日。
具有过期的umbrella根CA证书的受影响SD-WAN设备无法与Cisco Umbrella DNS建立安全连接以进行设备注册。 由于设备未向Umbrella DNS服务注册,因此SD-WAN边缘不会将最终用户DNS请求重定向到Umbrella域服务器以执行DNS安全策略。来自SD-WAN边缘后方最终用户的DNS请求不会被丢弃,并且由最终用户设备上配置的DNS域服务器提供服务。
缺陷信息
证书已作为Cisco Bug ID CSCwi的一部分进行更新43360
:Umbrella云的DNS安全注册证书将于2024年9月到期。 (在17.9.6、17.12.4、17.15.1a中修正)
即使更新了证书,SSL握手也未能建立,这作为Cisco Bug ID CSCwm的一部分来处理73365
:尽管umbrella_root_ca.ca且设备上存在最新证书,但SSL握手仍失败。(在17.6.8a中固定)
固定已发布
CCO版本
特殊工程版本
补救矩阵
版本
|
思科建议的补救步骤
|
17.3.x/17.4.x/17.5.x
|
按照第1节中的步骤操作。在控制器模式下运行Cisco IOS XE软件版本17.5.x或更早版本的Cisco设备
|
17.6.1-17.6.7、17.7.x、17.8.x
|
按照第2节中的步骤操作。在控制器模式下运行Cisco IOS XE软件版本17.6.x到17.8.x的Cisco设备
|
17.6.8安
|
此版本修复了Umbrella DNS证书到期问题。
|
17.9.1 - 17.9.4、17.10.x、17.11.x、17.12.1-17.12.2、17.13.x、17.14.x、17.15.1a
|
使用Umbrella DNS证书脚本将证书自动复制到边缘设备。请参阅GIT上的自述文件,了解运行脚本的步骤。
|
17.9.5安
|
执行第3部分中的步骤
|
17.9.6
|
执行第4节中的步骤
|
17.12.3安
|
执行第5节中的步骤
|
17.12.4
|
执行第6节中的步骤
|
1.在控制器模式下运行Cisco IOS XE软件版本17.5.x或更早版本的思科设备
使用补救选项安装新的Umbrella RootCA证书。
自动
- 对于SD-WAN Manager 20.9.1或更高版本,请使用Umbrella DNS证书脚本从vManage自动将证书复制到边缘设备。
- Umbrela DNS证书脚本
- 请参阅GIT上的自述文件,了解使用该脚本的详细步骤。
- 将RootCA证书复制到设备后,重新加载路由器以完成安装过程。
手动
- 从New Umbrella Certificate网站下载新的未过期证书,并将其放置在SD-WAN重叠中有权访问受影响路由器的设备上。
- 输入Linux scp命令或类似机制,执行从下载设备到每个受影响路由器的安全文件复制。
例如:
scp ./isrgrootx1.pem <用户名>@<EdgeIP>:trustidrootx3_ca.ca
使用管理员用户替换<Username>,使用受影响路由器的IP地址替换<EdgeIP>。
- 将RootCA证书复制到设备后,重新加载路由器以完成安装过程。
2.在控制器模式下运行Cisco IOS XE软件版本17.6.x到17.8.x的Cisco设备
使用补救选项安装新的Umbrella RootCA证书。
自动
- 对于SD-WAN Manager 20.9.1或更高版本,请使用Umbrella DNS证书脚本从vManage自动将证书复制到边缘设备。
- Umbrella DNS证书脚本
- 请参阅GIT上的自述文件,了解使用该脚本的详细步骤。
- 将RootCA证书复制到设备后,重新加载路由器以完成安装过程。
手动
- 从New Umbrella Certificate网站下载新的未过期证书,并将其放置在SD-WAN重叠中有权访问受影响路由器的设备上。
- 输入Linux scp命令或类似机制,从下载设备向每个受影响的路由器执行安全文件复制。
例如:
scp ./isrgrootx1.pem admin@<EdgeIP>:trustidrootx3_ca_092024.ca
用受影响路由器的IP地址替换<EdgeIP>。
- 将RootCA证书复制到设备后,重新加载路由器以完成安装过程
3.在控制器模式下运行Cisco IOS XE软件版本17.9.5a的Cisco设备
使用补救选项安装新的Umbrella RootCA证书(如本节所述),对于大多数平台而言,存在可随此修复程序一起使用的HOT SMU。您还可以选择运行上述脚本来安装新的Umbrella RootCA证书。
- HOT SMU适用于这些平台 — “无中断/建议的SMU,SSL握手失败,尽管umbrella_root_ca.ca且设备上存在最新证书”:
4431 集成多业务路由器
4451-X集成多业务路由器
ASR 1001-X路由器
虚拟路由器
4331 集成多业务路由器
4221 集成多业务路由器
4351 集成多业务路由器
Catalyst 8500L边缘平台
ASR 1001-HX路由器
4321 集成多业务路由器
Catalyst 8500边缘平台
4461 集成多业务路由器
- 除SMU之外,请运行脚本Umbrella DNS Cert Script有关使用该脚本的详细步骤,请参阅GIT上的自述文件。
只编写脚本选项:
ASR1002-X路由器
Catalyst 8300边缘平台
运行Cisco IOS XE SD-WAN的ISR 1000系列
4.在控制器模式下运行Cisco IOS XE软件版本17.9.6的Cisco设备
- HOT SMU适用于这些平台 — “Hitless/Recommended SMU, SSL handshake fails while umbrella_root_ca.ca with latest certificate is present on the device”(无提示/推荐SMU,SSL握手失败,尽管umbrella_root_ca.ca有最新的证书):
4221 集成多业务路由器
4321 集成多业务路由器
4451-X集成多业务路由器
Catalyst 8500边缘平台
4431 集成多业务路由器
虚拟路由器
4461 集成多业务路由器
4331 集成多业务路由器
4351 集成多业务路由器
ASR 1001-HX路由器
ASR 1001-X路由器
Catalyst 8500L边缘平台
Catalyst 1101坚固型路由器
Catalyst IR1831坚固型路由器
Catalyst IR1821坚固型路由器
Catalyst IR1833坚固型路由器
Catalyst IR1835坚固型路由器
- 除SMU之外,请运行脚本Umbrella DNS Cert Script有关使用该脚本的详细步骤,请参阅GIT上的自述文件。
只编写脚本选项:
ASR1002-X路由器
Catalyst 8300边缘平台
运行Cisco IOS XE SD-WAN的ISR 1000系列
5.控制器模式下为Cisco IOS XE软件版本17.12.3a的Cisco设备
- HOT SMU适用于这些平台 — “Hitless/Recommended SMU, SSL handshake fails while umbrella_root_ca.ca with latest certificate is present on the device”(无提示/推荐SMU,SSL握手失败,尽管umbrella_root_ca.ca有最新的证书):
4221 集成多业务路由器
Catalyst 8300边缘平台
4331 集成多业务路由器
4461 集成多业务路由器
1100 集成多业务路由器
4351 集成多业务路由器
4321 集成多业务路由器
4431 集成多业务路由器
虚拟路由器
4451-X集成多业务路由器
Catalyst 8500L边缘平台
Catalyst 8500边缘平台
ASR 1001-HX路由器
2.替代SMU,运行脚本Umbrella DNS Cert Script
请参阅GIT上的自述文件,了解使用该脚本的详细步骤。
6.在控制器模式下运行Cisco IOS XE软件版本17.12.4的Cisco设备
- HOT SMU适用于这些平台 — “Hitless/Recommended SMU, SSL handshake fails while umbrella_root_ca.ca with latest certificate is present on the device”(无提示/推荐SMU,SSL握手失败,尽管umbrella_root_ca.ca有最新的证书):
Catalyst 8500边缘平台
ASR 1001-HX路由器
4331 集成多业务路由器
4321 集成多业务路由器
4221 集成多业务路由器
虚拟路由器
4351 集成多业务路由器
4451-X集成多业务路由器
4461 集成多业务路由器
Catalyst 8300边缘平台
ASR 1002-HX路由器
4431 集成多业务路由器
1100 集成多业务路由器
Catalyst 8500L边缘平台
Catalyst IR1833坚固型路由器
Catalyst IR1835坚固型路由器
Catalyst IR1831坚固型路由器
Catalyst IR1821坚固型路由器
- SMU的替代方案是运行脚本Umbrella DNS Cert Script有关使用该脚本的详细步骤,请参阅GIT上的自述文件。
警告:只要设备没有重新启动或没有新注册,来自设备的Umbrella DNS注册将继续工作。
注意:如果删除并重新应用umbrella配置,则会触发重新注册umbrella DNS。只要不遵循此过程,保护伞DNS就会正常工作。