已有帐户?

  •   个性化内容
  •   您的产品和支持

需要帐户?

创建帐户

IOS 2020年1月1日的自签名证书有效期

下载选项

  • PDF     (321.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (86.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (82.1 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2019 年 12 月 25 日
文档 ID:215118
关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    注意:本文与另外的上下文、示例、更新和Q&As一起包含FN40789内容。

    在00:00在1个一月2020 UTC,在IOS/IOS-XE系统生成的所有自签名证书(SSC)将超时,除非系统运行IOS/IOS-XE修正版本,当SSC生成。 从那以后,被不固定的IOS无法生成新建的SSCs。 在这些自签名证书取决于建立或终止安全连接的任何服务也许不工作,在证书超时后。

    此问题影响由Cisco IOS或Cisco IOS XE设备生成并且应用对在设备的一服务仅的自签名证书。由Certificate Authority (CA)生成,包括Cisco IOS CA功能生成的那些证书的证书,没有由此问题影响。

    受影响的系统

    所有IOS/IOS-XE系统使用自已签署的Certficate,那没有CSCvi48253 修正,或者那没有CSCvi48253 修正,当SSC生成。 包括:

    • 所有IOS 12.x
    • 在15.6(3)M7之前的所有IOS 15.x, 15.7(3)M5, 15.8(3)M3, 15.9(3)M
    • 在16.9.1之前的所有IOS-XE

    背景

    在Cisco IOS的某些功能和Cisco IOS XE软件依靠数字式地密码标识验证的签字的X.509证书。这些证书可以由外部第三方CA生成或他们在Cisco IOS或Cisco IOS XE设备可以生成作为自签名证书。Cisco IOS受到影响的版本和Cisco IOS XE软件永远将设置自签名证书的有效期为2020-01-01 00:00:00 UTC。在此日期,证书超时并且无效后。

    在自签名证书也许取决于的服务包括:

    一般功能:

    • 在TLS (HTTPS)的HTTP服务器- HTTPS将产生在表明的浏览器的一个错误证书超时。
    • 使用X.509证书验证SSH会话的SSH服务器用户也许不能验证。(此使用X.509证书是少见的。用户名/密码验证和公共/专用密钥验证不受影响。)
    • RESTCONF - RESTCONF连接也许发生故障。

    协作功能:

    • 在TLS的会话初始化协议(SIP)
    • Cisco Unified Communications Manager Express (CME)与启用的已加密信令
    • Cisco Unified Survivable Remote Site Telephony (SRST)与启用的已加密信令
    • Cisco IOS dspfarm资源(会议、媒介终接点或者转码)与启用的已加密信令
    • 小型客户机控制协议(SCCP)电话控制应用程序(STCAPP)端口配置与已加密信令
    • IP安全介质网关控制协议(MGCP)和H.323呼叫信令没有预先共享密钥
    • Cisco Unified通信在安全模式的网关服务API (使用HTTPS)

    无线功能:

    • 更旧的Cisco IOS接入点(被制造2005年或更加早期)和无线局域网控制器之间的LWAPP/CAPWAP连接;欲了解更详细的信息请参阅Cisco问题信息通告(Field Notice) FN63942

    问题症状

    尝试生成在的一自签名证书在2020-01-01 00:00:00 UTC以后的受到影响的Cisco IOS或Cisco IOS XE软件版本导致此错误:

      ../cert-c/source/certobj.c(535) : E_VALIDITY : validity period start later than end

    在自签名证书取决于的任何服务可能不作用。例如:

    • 在TLS呼叫的SIP不会完成。
    • 设备注册对与启用的已加密信令的Cisco Unified CME不再将作用。
    • 与启用的已加密信令的Cisco Unified SRST不会允许设备注册。
    • Cisco IOS dspfarm资源(会议、媒介终接点或者转码)与启用的已加密信令不再将注册。
    • STCAPP端口配置与已加密信令不再将注册。
    • 呼叫通过一个网关使用MGCP或在IPSec的H.323呼叫信令没有预先共享密钥将发生故障。
    • 在安全模式使用Cisco Unified通信网关服务API的API呼叫(使用HTTPS)将发生故障。
    • RESTCONF可能发生故障。
    • 管理设备的HTTPS会话将显示浏览器警告,表明证书超时。
    • AnyConnect SSL VPN会话不能设立或报告一无效证书。
    • IPSec连接不能设立。

    如何识别受影响的产品

    注意:将由此问题信息通告(Field Notice)影响,设备必须有定义的自签名证书,并且必须应用自签名证书到一个或更多功能如下所示。当证书超时和不要求即时动作,单独自签名证书的出现不会影响设备的操作。将被影响,设备必须满足在下面步骤3和的步骤4的标准。

    为了确定是否使用一自签名证书,请完成这些步骤:

    1. 输入show running-config|开始crypto命令在您的设备。

    2. 寻找crypto Pki trustpoint配置。

    3. 在crypto Pki trustpoint配置中,请寻找信任点登记配置。必须为“selfsigned”被影响配置信任点登记。另外,自签名证书必须在配置里也出现。注意信任点名称也许不包含词“自已签署的”如此示例所显示。

      crypto pki trustpoint TP-self-signed-XXXXXXXX
  enrollment selfsigned
  subject-name cn=IOS-Self-Signed-Certificate-662415686
  revocation-check none
  rsakeypair TP-self-signed-662415686
!
!
crypto pki certificate chain TP-self-signed-XXXXXXXX
certificate self-signed 01
  3082032E 31840216 A0030201 02024101 300D0609 2A864886 F70D0101 05050030 
  30312E30 2C060355 04031325 494A531D 53656C66 2D536967 6E65642D 43657274
  ...
  ECA15D69 11970A66 252D34DC 760294A6 D1EA2329 F76EB905 6A5153C9 24F2958F
  D19BFB22 9F89EE23 02D22D9D 2186B1A1 5AD4

      如果信任点登记没有为“selfsigned”配置-设备没有由此问题信息通告(Field Notice)影响。不需要采取任何操作。

      如果信任点登记为“selfsigned”配置,并且,如果自签名证书在配置里出现-设备也许由此问题信息通告(Field Notice)影响。继续执行第 4 步。

    4. 如果在步骤3确定了信任点登记为“selfsigned”配置,并且自签名证书在配置里出现,则看到的检查自签名证书是否应用对在设备的一个功能。

      也许附加到SSC的多种功能在这些配置示例方面显示:


    • 对于HTTPS服务器,此文本一定存在:

      ip http secure-server

    另外,信任点可能也定义如下所示。如果下面的命令不存在,默认行为是使用自签名证书

    ip http secure-trustpoint TP-self-signed-XXXXXXXX

    如果信任点定义除自签名证书之外,并且它指向证书,您没有被影响。

    对于HTTPS服务器,过期的证书的影响较小,因为自签名证书由Web浏览器已经是不信任并且生成警告,既使当他们没有超时。过期的证书的出现可能更改您在浏览器收到的警告。

    • 对于在TLS的SIP,此文本将是存在配置文件:

      voice service voip
 sip
  session transport tcp tls
!
sip-ua
crypto signaling default trustpoint <self-signed-trustpoint-name>
! or
crypto signaling remote-addr a.b.c.d /nn trustpoint <self-signed-trustpoint-name>
!

    • 对于与启用的已加密信令的Cisco Unified CME,此文本将是存在配置文件:

      telephony-service
 secure-signaling trustpoint <self-signed-trustpoint-name>
 tftp-server-credentials trustpoint <self-signed-trustpoint-name>

    • 对于与启用的已加密信令的Cisco Unified SRST,此文本将是存在配置文件:

      credentials
 trustpoint <self-signed-trustpoint-name>

    • 对于Cisco IOS dspfarm资源(会议、媒介终接点或者转码)与启用的已加密信令,此文本将是存在配置文件:

      dspfarm profile 1 conference security
trustpoint <self-signed-trustpoint-name>
!
dspfarm profile 2 mtp security
trustpoint <self-signed-trustpoint-name>
!
dspfarm profile 3 transcode security
 trustpoint <self-signed-trustpoint-name>
!
sccp ccm 127.0.0.1 identifier 1 priority 1 version 7.0 trustpoint <self-signed-trustpoint-name>
!

    • 对于STCAPP端口配置与已加密信令,此文本将是存在配置文件:

      stcapp security trustpoint <self-signed-trustpoint-name>
stcapp security mode encrypted

    • 对于Cisco Unified通信在安全模式的网关服务API,此文本将是存在配置文件:

      uc secure-wsapi
ip http secure-server
ip http secure-trustpoint TP-self-signed-XXXXXXXX

    • 对于SSLVPN,此文本将是存在配置文件:

      webvpn gateway <gw name>
 ssl trustpoint TP-self-signed-XXXXXXXX

      OR

      crypto ssl policy <policy-name>
        pki trustpoint <trustpoint-name> sign

    • 对于ISAKMP和IKEv2,也许使用自签名证书,如果其中任一配置存在(配置的进一步分析要求为了确定功能是否使用自签名证书与不同的身份验证) :

      crypto isakmp policy <number>
 authentication pre-share | rsa-encr < NOT either of these
!
crypto ikev2 profile <prof name>
 authentication local rsa-sig
 pki trustpoint TP-self-signed-xxxxxx
!
crypto isakmp profile <prof name>
 ca trust-point TP-self-signed-xxxxxx

    • SSH服务器,请注意: 是extreemly不太可能的您有效利用证书验证SSH会话。 然而,您能通过检查您的配置验证此。 您必须有下面全部三条线路为了被影响。 

      注释 2:IF您有效利用用户名和密码组合对SSH到您的设备您然后没有被影响。

      ip ssh server certificate profile
 ! Certificate used by server 
 server
  trustpoint sign TP-self-signed-xxxxxx

    • 对于RESTCONF,此文本将是存在配置文件:

      restconf
      ! And one of the following
ip http secure-trustpoint TP-self-signed-XXXXXXXXX
! OR
ip http client secure-trustpoint TP-self-signed-XXXXXXXX

    应急方案/解决方法

    解决方案将升级Cisco IOS或Cisco IOS XE软件对包括修正的版本:

    • Cisco IOS XE Software Release 16.9.1和以后
    • Cisco IOS Software Release 15.6(3)M7和以后;15.7(3)M5和以后;或者15.8(3)M3和以后

    在您升级软件后,您必须重新生成自签名证书和导出它到也许要求证书在他们的信任存储的所有设备。

    如果立即软件升级不可行,三应急方案是可用的。

    应急方案1 -从第3部分Certificate Authority (CA)获取有效证书

    安装从a的证书认证机关。 普通的CA包括: 科莫多,请加密, RapidSSL、Thawte、Sectigo、GeoTrust, Symantec和许多其他。

    使用此应急方案,证书请求由Cisco IOS生成并且显示。管理员复制请求并且然后提交它对第三方CA并且获取结果。

    注意:使用CA签署证书认为最佳安全做法。此步骤提供作为在此问题信息通告(Field Notice)的一应急方案;然而,继续使用第三方CA签发的证书,在您应用此应急方案后是更可取的,而不是使用自签名证书。

    为了安装从第三方CA的一证书,请完成这些步骤:

    1. 创建证书签名请求(CSR)。

      Router# conf t
      
	Enter configuration commands, one per line. End with CNTL/Z.
      	Router(config)# crypto pki trustpoint TEST
      	Router(ca-trustpoint)# enrollment term pem
      	Router(ca-trustpoint)# subject-name CN=TEST
      	Router(ca-trustpoint)# revocation-check none
      	Router(ca-trustpoint)# rsakeypair TEST
      	Router(ca-trustpoint)# exit
      	Router(config)# crypto pki enroll TEST
      	% Start certificate enrollment ..
      	% The subject name in the certificate will include: CN=TEST
      	% The subject name in the certificate will include: Router.cisco.com
      	% The serial number in the certificate will be: FTX1234ABCD
      	% Include an IP address in the subject name? [no]: no
      	Display Certificate Request to terminal? [yes/no]: yes
      	Certificate Request follows:
      
        -----BEGIN CERTIFICATE REQUEST-----
      	A Base64 Certificate is displayed here. Copy it, along with the ---BEGIN and ---END lines.
      	-----END CERTIFICATE REQUEST-----
      
	---End - This line not part of the certificate request---

    2. 提交CSR对第三方CA。

      注意:提交CSR对第三方CA和获取使用的发生的证书的步骤变化基于CA。参考您的CA的文档关于关于如何的说明执行此步骤。

    3. 与CA证书一起下载路由器的新的身份证书。

    4. 安装在设备的CA证书。

      Router# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# crypto pki auth TEST
	
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
	
-----BEGIN CERTIFICATE-----
REMOVED
-----END CERTIFICATE-----
	
Certificate has the following attributes:
   Fingerprint MD5: 79D15A9F C7EB4882 83AC50AC 7B0FC625
   Fingerprint SHA1: 0A80CC2C 9C779D20 9071E790 B82421DE B47E9006
	   
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

    5. 安装在设备的身份证书。

      Router(config)# crypto pki import TEST certificate
	
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
	
-----BEGIN CERTIFICATE-----
REMOVED
-----END CERTIFICATE-----
	
% Router Certificate successfully imported

    应急方案2 -请使用IOS CA服务器生成新证书

    请使用活动进程IOS认证机关服务器生成和签署新证书。

    注意:本地CA服务功能不是可用的在所有产品。

    Router# conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)# ip http server
    Router(config)# crypto pki server IOS-CA
    Router(cs-server)# grant auto
    Router(cs-server)# database level complete
    Router(cs-server)# no shut
    %Some server settings cannot be changed after CA certificate generation.
    % Please enter a passphrase to protect the private key
    % or type Return to exit
    Password: <password>
    
Re-enter password: <password>
    % Generating 1024 bit RSA keys, keys will be non-exportable...
    [OK] (elapsed time was 1 seconds)
    
% Certificate Server enabled.

    Router# show crypto pki server IOS-CA Certificates
    Serial Issued date Expire date Subject Name
    1 21:31:40 EST Jan 1 2020 21:31:40 EST Dec 31 2022 cn=IOS-CA


    
Router# conf t

    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)# crypto pki trustpoint TEST
    Router(ca-trustpoint)# enrollment url http://<local interface ip>:80 # Replace <local interface ip> with the IP address of an interface on the router
    Router(ca-trustpoint)# subject-name CN=TEST
    Router(ca-trustpoint)# revocation-check none
    Router(ca-trustpoint)# rsakeypair TEST
    Router(ca-trustpoint)# exit
    
Router# conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)# crypto pki auth TEST
    Certificate has the following attributes:
    Fingerprint MD5: C281D9A0 337659CB D1B03AA6 11BD6E40
    Fingerprint SHA1: 1779C425 3DCEE86D 2B11C880 D92361D6 8E2B71FF
    
% Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    
Router(config)# crypto pki enroll TEST
    %
    % Start certificate enrollment ..
    % Create a challenge password. You will need to verbally provide this
    password to the CA Administrator in order to revoke your certificate.
    For security reasons your password will not be saved in the configuration.
    Please make a note of it.
    
Password: <passsword>
    Re-enter password: <password>
    
% The subject name in the certificate will include: CN=TEST
    % The subject name in the certificate will include: Router.cisco.com
    % Include the router serial number in the subject name? [yes/no]: yes
    % The serial number in the certificate will be: FTX1234ABCD
    % Include an IP address in the subject name? [no]: no
    
Request certificate from CA? [yes/no]: yes
    
% Certificate request sent to Certificate Authority
    % The 'show crypto pki certificate verbose TEST' command will show the fingerprint.

    应急方案3 -请使用Openssl生成新的自签名证书

    请使用Openssl生成PKCS12证书套件和导入套件到Cisco IOS。

    LINUX、UNIX或者MAC (OSX)示例

    User@linux-box$ openssl req -newkey rsa:2048 -nodes -keyout tmp.key -x509 -days 4000 -out tmp.cer -subj
    "/CN=SelfSignedCert" &> /dev/null && openssl pkcs12 -export -in tmp.cer -inkey tmp.key -out tmp.bin
    -passout pass:Cisco123 && openssl pkcs12 -export -out certificate.pfx -password pass:Cisco123 -inkey
    tmp.key -in tmp.cer && rm tmp.bin tmp.key tmp.cer && openssl base64 -in certificate.pfx
    
MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
    BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQIGnxm
    t5r28FECAggAgIIDEKyw10smucdQGt1c0DdfYXwUo8BwaBnzQvN0ClawXNQln2bT
    vrhus6LfRvVxBNPeQz2ADgLikGxatwV5EDgooM+IEucKDURGLEotaRrVU5Wk3EGM
    mjC6Ko9OaM30vhAGEEXrk26cq+OWsEuF3qudggRYv2gIBcrJ2iUQNFsBIrvlGHRo
    FphOTqhVaAPxZS7hOB30cK1tMKHOIa8EwygyBvQPfjjBT79QFgeexIJFmUtqYX/P
    <OUTPUT OMITTED FOR BREVITY>
    tT6r4SuibYKu6HV45ffjSzOimcJI+D9LKhLWR6pK/k5ge8v7aK9/rsVbjavbdy7b
    CSqGSIb3DQEJFTEWBBS96DY/gRfN1dSx46P1EqjPvSYiETAxMCEwCQYFKw4DAhoF
    AAQU+EX0kNvuNz6XmFxXER8wlqKTGvgECA+D+Z81uwafAgIIAA==

    Cisco IOS或IOS XE路由器示例

    Router# conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)# crypto pki trustpoint TEST
    Router(ca-trustpoint)# enrollment terminal
    Router(ca-trustpoint)# revocation-check none
    Router(ca-trustpoint)# exit
    
R1(config)#crypto pki import TEST pkcs12 terminal password Cisco123
    Enter the base 64 encoded pkcs12.
    End with a blank line or the word "quit" on a line by itself:
    MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
    BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQItyCo
    Vh05+0QCAggAgIIDENUWY+UeuY5sIRZuoBi2nEhdIPd1th/auBYtX79aXGiz/iEW
    <OUTPUT OMITTED FOR BREVITY>
    IY1l273y9bC3qPVJ0UGoQW8SGfarqEjaqxdAet66E5V6u9Yvd4oMsIYGsa70m+FN
    CsUVj+ll5hzGjK78L0ycXWpH4gDOGYBVf+D7mgWqaqZvxYUoEkOrTMmW5zElMCMG
    CSqGSIb3DQEJFTEWBBSgiBJIYpJLzo/GYN0sesZh3wGmPTAxMCEwCQYFKw4DAhoF
    AAQUdeUrLIC2uo/mbyE86he5+qEjmPYECKu76GWaeKb7AgIIAA==
    quit
    
CRYPTO_PKI: Imported PKCS12 file successfully.

    R1(config)#

    验证新证书安装:

    R1#show crypto pki certificates TEST
Load for five secs: 5%/1%; one minute: 2%; five minutes: 3%
Time source is SNTP, 15:04:37.593 UTC Mon Dec 16 2019
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 00A16966E46A435A99
  Certificate Usage: General Purpose
  Issuer:
    cn=SelfSignedCert
  Subject:
    cn=SelfSignedCert
  Validity Date:
    start date: 14:54:46 UTC Dec 16 2019
    end   date: 14:54:46 UTC Nov 28 2030

    更多信息

    请参阅FN70489问题信息通告(Field Notice) :FN - 70489 - PKI在Cisco IOS和Cisco IOS XE软件的自签名证书有效期

    请参阅CSCvi48253 自签名证书超时在00:00 1个一月2020 UTC,不能从那以后创建。

    Q&A

    问:问题是什么?

    在产品生成的自已签署的X.509 PKI证书运行受影响的Cisco IOS或Cisco IOS XE版本在01/01/2020 00:00:00 UTC超时。新的自签名证书在受影响的设备不可能创建在01/01/2020 00:00:00 UTC以后。在证书超时后,其中任一服务取决于在这些自签名证书可能不再工作。

    问:如果产品的自签名证书超时,什么是影响对客户网络?

    依靠自签名证书的所有受影响的产品的功能可能不再操作,在证书超时后。 请参阅问题信息通告(Field Notice)关于其他详细信息。

    问:如何知道我是否是受此问题的影响的?

    问题信息通告(Field Notice)提供说明确定是否使用一自签名证书,并且您的配置是否是受此问题的影响的。请参阅在问题信息通告(Field Notice)的“如何识别受影响的产品”部分。

    问:有没有我能运行发现的脚本我是否受影响?

    可以。使用Cisco CLI分析器,请运行系统诊断运行。如果证书存在,并且使用警报将显示。https://cway.cisco.com/cli/

    Q. Cisco为此问题提供了软件修正?

    可以。Cisco发布此问题的软件修正以及在事件的应急方案软件升级不立即可行。请参阅问题信息通告(Field Notice)关于完整详细信息。

    问:使用证书,此问题是否影响任何思科产品?

    不能。此问题影响仅产品使用Cisco IOS或Cisco IOS XE特定版本生成的自签名证书与证书应用对一服务在产品。产品使用Certificate Authority (CA)生成的证书没有由此问题影响。

    问:思科产品仅使用自签名证书?

    不证书可以由外部第三方生成认证机关或他们在Cisco IOS或Cisco IOS XE设备可以生成作为自签名证书。特定用户要求可能导致使用自签名证书选择。Certificate Authority (CA)生成的证书没有由此问题影响。

    Q. 此问题为什么出现?

    不幸地,尽管技术供应商最好的努力,软件缺陷仍然发生。当bug在所有Cisco技术方面时发现,我们做到透明度,并且对提供他们需要保护他们的网络的我们的客户信息。

    在这种情况下,问题是由方面Cisco IOS受影响的版本和Cisco IOS XE永远将设置自签名证书的有效期为01/01/2020 00:00:00 UTC的已知软件Bug导致的在。在此日期,证书超时并且无效后,可能影响产品功能。

    问:有效期一月1, 2020 00:00:00 UTC为什么选择?

    证书通常有一个有效期。一旦此软件Bug,一月1, 2020日期使用了在Cisco IOS和Cisco IOS XE软件开发期间在10年期间前并且是人为错误。

    问:什么产品是受此问题的影响的?

    在15.6(03)M07之前的任何思科产品运行Cisco IOS版本、15.7(03)M05, 15.8(03)M03和15.9(03)M和任何思科产品运行Cisco IOS XE版本在16.9.1之前

    问:什么用户需求执行?

    我们要求我们的客户查看问题信息通告(Field Notice)估计他们是否由此问题影响,并且,如果那样,遵从应急方案/解决方法说明缓和此问题。

    问:此问题是否是安全漏洞?

    不能。这不是安全漏洞,并且没有风险对于产品的完整性。

    问:SSH受影响?

    不SSH使用RSA密钥对,但是不使用除了在一少见配置里的证书。为了使使用的IOS证书以下配置一定存在。

    ip ssh server certificate profile
   server
      trustpoint sign TP-self-signed-xxxxxx

    问:什么修正版本为经典Catalyst 2K是可用的, 3K, 4K, 6K平台?

    对于北极星基于platforms(3650/3850/Catalyst 9K系列),请修复向前是可用16.9.1
    对于CDB平台,修正向前是联机15.2(7)E1a

    其他经典交换平台: 

    commits进展中,但是我们未张贴CCO版本。下CCO版本将有修正。

    在interm请使用其他可用的应急方案之一。

    问:WAAS受影响?

    WAAS将继续正常运行然而,并且优化流量, AppNav XE &中央管理器将脱机到有已到期自签名证书的设备。这意味着一不能监控AppNav集群或更改WAAS的任何策略。总之, WAAS将继续适当地运作,但是管理和监听将被暂停,直到证书问题是解决的。  要解决问题,新证书在IOS将需要生成然后导入到中央管理器。
    TAC Authored

    由思科工程师提供

    • Aaron Leonard
      Cisco用户体验
    • David White Jr
      Cisco用户体验
    • Jay Young
      Cisco用户体验

    此文档是否有帮助?

    Feedback反馈

    联系我们

    相关的思科社区讨论