簡介

本文描述如何解決SD-WAN路由器使用過期證書而非新證書的DNS Umbrella問題。

背景資訊

Cisco Catalyst SD-WAN路由器使用API金鑰/金鑰身份驗證方法註冊到Cisco Umbrella DNS的數位證書已於2024年9月30日到期。證書過期的Cisco SD-WAN路由器將無法向Cisco Umbrella DNS服務註冊。此問題不適用於Umbrella DNS註冊的基於令牌的身份驗證。

有關詳細資訊，請參閱現場通知FN74166 中的Cisco Umbrella DNS證書到期日期（2024年9月30日）。

具有過期umbrella根CA證書的受影響SD-WAN裝置無法與Cisco Umbrella DNS建立安全連線以進行裝置註冊。  由於裝置未在Umbrella DNS服務中註冊，因此SD-WAN邊緣不會將終端使用者DNS請求重定向到Umbrella域伺服器以實施DNS安全策略。來自SD-WAN邊緣後方終端使用者的DNS請求不會被丟棄，並且由終端使用者裝置上配置的DNS域伺服器提供服務。

缺陷資訊

此憑證已作為Cisco錯誤ID CSCwi43360的一部分更新 :證書將於2024年9月到期，用於向Umbrella雲註冊DNS安全。 （已在17.9.6、17.12.4、17.15.1a中修正）

即使正在更新憑證，SSL交握也未能建立，這作為Cisco錯誤ID CSCwm73365的一部分處理 :儘管umbrella_root_ca.ca和裝置上存在最新證書，但是SSL握手仍失敗。（已在17.6.8a中修正）

已釋放已固定

CCO版本

工程特別版

修正表

1.在控制器模式下運行Cisco IOS XE軟體版本17.5.x或更低版本的Cisco裝置

使用補救選項安裝新的Umbrella RootCA證書。

自動

1. 對於SD-WAN Manager 20.9.1或更高版本，請使用Umbrella DNS證書指令碼從vManage自動將證書複製到邊緣裝置。
2. Umbrela DNS證書指令碼  
3. 請參閱GIT上的自述檔案，瞭解使用指令碼的詳細步驟。
4. 將RootCA證書複製到裝置後，重新載入路由器以完成安裝過程。

手動

1. 從New Umbrella Certificate網站下載新的未過期證書，並將其放在能夠訪問SD-WAN重疊中受影響路由器的裝置上。 
2. 輸入Linux scp命令或類似機制，執行從下載裝置到每個受影響路由器的安全檔案複製。

   舉例來說：

   scp ./isrgrootx1.pem <使用者名稱>@<EdgeIP>:trustidrootx3_ca.ca

   用管理員使用者替換<Username>，用受影響路由器的IP地址替換<EdgeIP>。

3. 將RootCA證書複製到裝置後，重新載入路由器以完成安裝過程。

2.在控制器模式下運行Cisco IOS XE軟體版本17.6.x到17.8.x的Cisco裝置

使用補救選項安裝新的Umbrella RootCA證書。

自動

1. 對於SD-WAN Manager 20.9.1或更高版本，請使用Umbrella DNS證書指令碼從vManage自動將證書複製到邊緣裝置。
2. Umbrella DNS證書指令碼  
3. 請參閱GIT上的自述檔案，瞭解使用指令碼的詳細步驟。
4. 將RootCA證書複製到裝置後，重新載入路由器以完成安裝過程。

手動

1. 從New Umbrella Certificate網站下載新的未過期證書，並將其放在能夠訪問SD-WAN重疊中受影響路由器的裝置上。
2. 輸入Linux scp命令或類似機制，從下載裝置向每個受影響的路由器執行安全檔案複製。

   舉例來說：

   scp ./isrgrootx1.pem admin@<EdgeIP>:trustidrootx3_ca_092024.ca

   用受影響路由器的IP地址替換<EdgeIP>。

3. 將RootCA證書複製到裝置後，重新載入路由器以完成安裝過程

3.在控制器模式下運行Cisco IOS XE軟體版本17.9.5a的Cisco裝置

使用補救選項安裝新的Umbrella RootCA證書（如本節所述），對於大多數平台而言，該修復程式都有一個熱SMU。您還可以選擇運行上述指令碼來安裝新的Umbrella RootCA證書。

1. HOT SMU適用於這些平台 — 「Hitless/Recommended SMU， SSL handshake failed while umbrella_root_ca.ca with latest certificate is present on the device」:

4431整合式服務路由器
4451-X整合式服務路由器

ASR 1001-X路由器
虛擬路由器
4331整合式服務路由器
4221整合式服務路由器
4351整合式服務路由器
Catalyst 8500L邊緣平台
ASR 1001-HX路由器
4321整合式服務路由器

Catalyst 8500邊緣平台

4461整合式服務路由器

2. 除SMU之外，請運行指令碼Umbrella DNS Cert Script有關使用該指令碼的詳細步驟，請參閱GIT上的自述檔案。

只編寫指令碼選項：
ASR1002-X路由器

Catalyst 8300邊緣平台

運行Cisco IOS XE SD-WAN的ISR 1000系列

4.在控制器模式下運行Cisco IOS XE軟體版本17.9.6的Cisco裝置

1. HOT SMU適用於這些平台 — 「Hitless/Recommended SMU， SSL handshake failed whatever umbrella_root_ca.ca with latest certificate is present on the device」：

4221整合式服務路由器
4321整合式服務路由器
4451-X整合式服務路由器
Catalyst 8500邊緣平台
4431整合式服務路由器
虛擬路由器
4461整合式服務路由器
4331整合式服務路由器
4351整合式服務路由器
ASR 1001-HX路由器
ASR 1001-X路由器
Catalyst 8500L邊緣平台

Catalyst 1101強固型路由器

Catalyst IR1831強固型路由器
Catalyst IR1821強固型路由器
Catalyst IR1833強固型路由器
Catalyst IR1835強固型路由器

3. 除SMU之外，請運行指令碼Umbrella DNS Cert Script有關使用該指令碼的詳細步驟，請參閱GIT上的自述檔案。

只編寫指令碼選項：

ASR1002-X路由器

Catalyst 8300邊緣平台

運行Cisco IOS XE SD-WAN的ISR 1000系列

5.控制器模式中為Cisco IOS XE軟體版本17.12.3a的Cisco裝置

1. HOT SMU適用於這些平台 — 「Hitless/Recommended SMU， SSL handshake failed whatever umbrella_root_ca.ca with latest certificate is present on the device」：

4221整合式服務路由器
Catalyst 8300邊緣平台
4331整合式服務路由器
4461整合式服務路由器
1100整合式服務路由器
4351整合式服務路由器
4321整合式服務路由器
4431整合式服務路由器
虛擬路由器
4451-X整合式服務路由器

Catalyst 8500L邊緣平台
Catalyst 8500邊緣平台
ASR 1001-HX路由器

2.替代SMU，運行指令碼Umbrella DNS Cert Script

請參閱GIT上的自述檔案，瞭解使用指令碼的詳細步驟。

6.在控制器模式下運行Cisco IOS XE軟體版本17.12.4的Cisco裝置

1. HOT SMU適用於這些平台 — 「Hitless/Recommended SMU， SSL handshake failed whatever umbrella_root_ca.ca with latest certificate is present on the device」：  

Catalyst 8500邊緣平台
ASR 1001-HX路由器
4331整合式服務路由器
4321整合式服務路由器
4221整合式服務路由器
虛擬路由器
4351整合式服務路由器
4451-X整合式服務路由器
4461整合式服務路由器
Catalyst 8300邊緣平台
ASR 1002-HX路由器
4431整合式服務路由器

1100整合式服務路由器

Catalyst 8500L邊緣平台

Catalyst IR1833強固型路由器
Catalyst IR1835強固型路由器
Catalyst IR1831強固型路由器
Catalyst IR1821強固型路由器

2. SMU的替代方案是運行指令碼Umbrella DNS Cert Script有關使用該指令碼的詳細步驟，請參閱GIT上的自述檔案。