简介

本文档介绍如何解决SD-WAN路由器使用过期证书而非新证书的DNS Umbrella问题。

背景信息

Cisco Catalyst SD-WAN路由器使用API密钥/密钥身份验证方法向Cisco Umbrella DNS注册的数字证书已于2024年9月30日到期。证书过期的Cisco SD-WAN路由器将无法向Cisco Umbrella DNS服务注册。此问题不适用于Umbrella DNS注册的基于令牌的身份验证。

有关详细信息，请参阅Field Notice FN74166中的Cisco Umbrella DNS certificate expiry 2024年9月30日。

具有过期的umbrella根CA证书的受影响SD-WAN设备无法与Cisco Umbrella DNS建立安全连接以进行设备注册。  由于设备未向Umbrella DNS服务注册，因此SD-WAN边缘不会将最终用户DNS请求重定向到Umbrella域服务器以执行DNS安全策略。来自SD-WAN边缘后方最终用户的DNS请求不会被丢弃，并且由最终用户设备上配置的DNS域服务器提供服务。

缺陷信息

证书已作为Cisco Bug ID CSCwi的一部分进行更新43360 :Umbrella云的DNS安全注册证书将于2024年9月到期。 （在17.9.6、17.12.4、17.15.1a中修正）

即使更新了证书，SSL握手也未能建立，这作为Cisco Bug ID CSCwm的一部分来处理73365 :尽管umbrella_root_ca.ca且设备上存在最新证书，但SSL握手仍失败。（在17.6.8a中固定）

固定已发布

CCO版本

特殊工程版本

补救矩阵

1.在控制器模式下运行Cisco IOS XE软件版本17.5.x或更早版本的思科设备

使用补救选项安装新的Umbrella RootCA证书。

自动

1. 对于SD-WAN Manager 20.9.1或更高版本，请使用Umbrella DNS证书脚本从vManage自动将证书复制到边缘设备。
2. Umbrela DNS证书脚本  
3. 请参阅GIT上的自述文件，了解使用该脚本的详细步骤。
4. 将RootCA证书复制到设备后，重新加载路由器以完成安装过程。

手动

1. 从New Umbrella Certificate网站下载新的未过期证书，并将其放置在SD-WAN重叠中有权访问受影响路由器的设备上。 
2. 输入Linux scp命令或类似机制，执行从下载设备到每个受影响路由器的安全文件复制。

   例如：

   scp ./isrgrootx1.pem <用户名>@<EdgeIP>:trustidrootx3_ca.ca

   使用管理员用户替换<Username>，使用受影响路由器的IP地址替换<EdgeIP>。

3. 将RootCA证书复制到设备后，重新加载路由器以完成安装过程。

2.在控制器模式下运行Cisco IOS XE软件版本17.6.x到17.8.x的Cisco设备

使用补救选项安装新的Umbrella RootCA证书。

自动

1. 对于SD-WAN Manager 20.9.1或更高版本，请使用Umbrella DNS证书脚本从vManage自动将证书复制到边缘设备。
2. Umbrella DNS证书脚本  
3. 请参阅GIT上的自述文件，了解使用该脚本的详细步骤。
4. 将RootCA证书复制到设备后，重新加载路由器以完成安装过程。

手动

1. 从New Umbrella Certificate网站下载新的未过期证书，并将其放置在SD-WAN重叠中有权访问受影响路由器的设备上。
2. 输入Linux scp命令或类似机制，从下载设备向每个受影响的路由器执行安全文件复制。

   例如：

   scp ./isrgrootx1.pem admin@<EdgeIP>:trustidrootx3_ca_092024.ca

   用受影响路由器的IP地址替换<EdgeIP>。

3. 将RootCA证书复制到设备后，重新加载路由器以完成安装过程

3.在控制器模式下运行Cisco IOS XE软件版本17.9.5a的Cisco设备

使用补救选项安装新的Umbrella RootCA证书（如本节所述），对于大多数平台而言，存在可随此修复程序一起使用的HOT SMU。您还可以选择运行上述脚本来安装新的Umbrella RootCA证书。

1. HOT SMU适用于这些平台 — “无中断/建议的SMU，SSL握手失败，尽管umbrella_root_ca.ca且设备上存在最新证书”:

4431 集成多业务路由器
4451-X集成多业务路由器

ASR 1001-X路由器
虚拟路由器
4331 集成多业务路由器
4221 集成多业务路由器
4351 集成多业务路由器
Catalyst 8500L边缘平台
ASR 1001-HX路由器
4321 集成多业务路由器

Catalyst 8500边缘平台

4461 集成多业务路由器

2. 除SMU之外，请运行脚本Umbrella DNS Cert Script有关使用该脚本的详细步骤，请参阅GIT上的自述文件。

只编写脚本选项：
ASR1002-X路由器

Catalyst 8300边缘平台

运行Cisco IOS XE SD-WAN的ISR 1000系列

4.在控制器模式下运行Cisco IOS XE软件版本17.9.6的Cisco设备

1. HOT SMU适用于这些平台 — “Hitless/Recommended SMU， SSL handshake fails while umbrella_root_ca.ca with latest certificate is present on the device”(无提示/推荐SMU，SSL握手失败，尽管umbrella_root_ca.ca有最新的证书):

4221 集成多业务路由器
4321 集成多业务路由器
4451-X集成多业务路由器
Catalyst 8500边缘平台
4431 集成多业务路由器
虚拟路由器
4461 集成多业务路由器
4331 集成多业务路由器
4351 集成多业务路由器
ASR 1001-HX路由器
ASR 1001-X路由器
Catalyst 8500L边缘平台

Catalyst 1101坚固型路由器

Catalyst IR1831坚固型路由器
Catalyst IR1821坚固型路由器
Catalyst IR1833坚固型路由器
Catalyst IR1835坚固型路由器

3. 除SMU之外，请运行脚本Umbrella DNS Cert Script有关使用该脚本的详细步骤，请参阅GIT上的自述文件。

只编写脚本选项：

ASR1002-X路由器

Catalyst 8300边缘平台

运行Cisco IOS XE SD-WAN的ISR 1000系列

5.控制器模式下为Cisco IOS XE软件版本17.12.3a的Cisco设备

1. HOT SMU适用于这些平台 — “Hitless/Recommended SMU， SSL handshake fails while umbrella_root_ca.ca with latest certificate is present on the device”(无提示/推荐SMU，SSL握手失败，尽管umbrella_root_ca.ca有最新的证书):

4221 集成多业务路由器
Catalyst 8300边缘平台
4331 集成多业务路由器
4461 集成多业务路由器
1100 集成多业务路由器
4351 集成多业务路由器
4321 集成多业务路由器
4431 集成多业务路由器
虚拟路由器
4451-X集成多业务路由器

Catalyst 8500L边缘平台
Catalyst 8500边缘平台
ASR 1001-HX路由器

2.替代SMU，运行脚本Umbrella DNS Cert Script

请参阅GIT上的自述文件，了解使用该脚本的详细步骤。

6.在控制器模式下运行Cisco IOS XE软件版本17.12.4的Cisco设备

1. HOT SMU适用于这些平台 — “Hitless/Recommended SMU， SSL handshake fails while umbrella_root_ca.ca with latest certificate is present on the device”(无提示/推荐SMU，SSL握手失败，尽管umbrella_root_ca.ca有最新的证书):  

Catalyst 8500边缘平台
ASR 1001-HX路由器
4331 集成多业务路由器
4321 集成多业务路由器
4221 集成多业务路由器
虚拟路由器
4351 集成多业务路由器
4451-X集成多业务路由器
4461 集成多业务路由器
Catalyst 8300边缘平台
ASR 1002-HX路由器
4431 集成多业务路由器

1100 集成多业务路由器

Catalyst 8500L边缘平台

Catalyst IR1833坚固型路由器
Catalyst IR1835坚固型路由器
Catalyst IR1831坚固型路由器
Catalyst IR1821坚固型路由器

2. SMU的替代方案是运行脚本Umbrella DNS Cert Script有关使用该脚本的详细步骤，请参阅GIT上的自述文件。