- الرئيسية
- /
- المقال
شكرًا على ملاحظاتك.
في هذه المقالة
هل لديك ملاحظات؟يُجري متصفح جوجل كروم تغييرًا رئيسيًا في سياسته فيما يتعلق باستخدام المفاتيح الموسعة (EKU ) في المواقع الموثوقة علنًا SSL/TLS الشهادات.
النطاق
هذا لإعلامكم بتغيير قادم في سياسة متصفح جوجل كروم والذي يؤثر على إصدار شهادات TLS العامة ، ولتوضيح الإجراءات التي ستتخذها سيسكو لضمان استمرار دعم اتصالات TLS المتبادلة (mTLS) في بيئات Cisco Webex Calling Dedicated Instance و UCM Cloud.
تغيير سياسة شهادات جوجل كروم
ابتداءً من1 فبراير 2027 ، ستتوقف هيئات إصدار الشهادات العامة (CAs) المدرجة في برنامج Google Chrome Trust عن توقيع الشهادات التي تتضمن استخدام المفتاح الموسع لمصادقة العميل (clientAuth) (EKU).
اعتبارًا من15 مارس 2027 ، ستفرض جوجل سياسة تتطلب من هيئات إصدار الشهادات الجذرية العامة في متجر Chrome Root Store إصدار شهادات تحتوي فقط على EKU الخاص بمصادقة الخادم (serverAuth). ونتيجة لذلك، لن يُسمح بعد الآن لجهات إصدار الشهادات الجذرية العامة في متجر Chrome Root Store بإصدار شهادات تجمع بين كل من مصادقة الخادم ومصادقة العميل EKUs في شهادة واحدة.
تطبيقات UC المخصصة للمثيلات - السلوك الحالي
تستخدم تطبيقات UC المخصصة حاليًا شهادات تتضمن كلًا من مصادقة الخادم ومصادقة العميل EKUs ضمن شهادة واحدة لإنشاء الثقة لاتصالات mTLS. من المتوقع أن يتم تقديم دعم لشهادات الخادم والعميل المنفصلة مع إصدار تطبيق UC v15SU5، المقرر إصداره في وقت لاحق من عام 2026.
يستخدم Dedicated Instance حاليًا IdenTrust Commercial Root CA 1، وهو جزء من متجر Google Chrome Root Store، لتوقيع هذه الشهادات. ومع ذلك، ونظرًا لتغيير سياسة Chrome القادم، لن يُسمح لهذه الهيئة بإصدار شهادات تحتوي على كل من EKUs في شهادة واحدة بدءًا من1 فبراير2027 .
تقييم الأثر
الشهادات المتأثرة
شهادات تطبيق UC التالية موقعة باستخدام مرجع مصدق عام وتستخدم عادة لاتصالات mTLS:
| طلب الالتحاق بجامعة كاليفورنيا | نوع الشهادة | اتصالات mTLS الشائعة |
| سيسكو يونيفايد سي إم / الشركات الصغيرة والمتوسطة | هر / تومكات-ECDSA | LDAP، وFilebeat، وLogstash، وSIP OAuth عبر MRA، وRemote Syslog |
| مدير المكالمات / مدير المكالمات - ECDSA | خطوط SIP، والوصلات بين العقد وبين المجموعات | |
| Cisco Unity Connection | هر / تومكات-ECDSA | وكيل SIP، خطوط SIP |
| Cisco IM وPresence | هر / تومكات-ECDSA | — |
| كوب / كأس-ECDSA | تأمين بروتوكول SIP باستخدام CUCM، وعملاء الطرف الثالث، ووكيل SIP | |
| كوب-إكس إم بي بي / cup-xmpp-ECDSA | اتحاد XMPP | |
| Cisco Emergency Responder | هر / تومكات-ECDSA | — |
| Cisco Expressway | شهادة الخادم | الوصول عبر الهاتف المحمول والوصول عن بعد (MRA) |
لم تتأثر الشهادات
جميع الشهادات المتبقية في Dedicated Instance موقعة ذاتيًا. للحصول على معلومات إضافية، انظر إدارة شهادات المثيل المخصص.
خطة سيسكو للمعالجة
لمعالجة تغيير سياسة Chrome والحفاظ على وظائف mTLS دون انقطاع، ستتخذ Cisco الإجراء التالي:
- اعتبارًا من1 يونيو 2026، ستقوم شركة Cisco بتغيير المرجعالمصدق الجذر العام المستخدم لتوقيع شهادات تطبيقDedicated Instance UC من IdenTrust Commercial Root CA 1 إلى IdenTrust Public Sector Root CA 1 لجميع عمليات تجديد الشهادات.
تبقى عملية تجديد الشهادة كما هي، ويقوم مركز تنبيهات مركز التحكم بإخطار العملاء من خلال تنبيهالصيانةوالانقطاع " عند جدولة التجديد. للمزيد من المعلومات، راجع تنبيهات الصيانة.
- ستستمر الشهادات في تضمين كل من وحدات استخدام المصادقة الموسعة للخادم والعميل.
الإجراءات المطلوبة من العملاء والشركاء
يجب على أي تطبيقات أو خدمات تابعة لجهات خارجية في بيئة العميل التي تربط تطبيقات UC في مثيل مخصص باستخدام اتصالات TLS أو mTLS أن تستخدم نفس سلسلة الشهادات مثل تطبيقات UC في المثيل المخصص. إذا لم يكن مخزن شهادات IdenTrust الخاص بأنظمة أو تطبيقات العميل يتضمن بالفعل سلطات الشهادات المطلوبة، فيجب استيراد شهادة الجذر الجديدة لمنع حدوث ذلك. TLS/mTLS أعطال في الاتصال.
- تدقيق اتصالات mTLS الحالية
- حدد التطبيقات أو خدمات الطرف الثالث أو عمليات التكامل التي تتصل بتطبيقات UC في مثيل مخصص باستخدام TLS أو mTLS.
- تحقق مما إذا كانت تلك التطبيقات تثق في شهادة المرجع المصدق العامة الجديدة: IdenTrust Public Sector Root CA 1.
- أضف شهادة المرجع المصدق العامة الجديدة (إذا لزم الأمر)
- إذا لم يكن IdenTrust Public Sector Root CA 1 موثوقًا به بالفعل في تطبيق العميل أو مخزن الثقة الخاص بالنظام، فيجب إضافته.
- ويمكن تنزيلها أيضاً من الروابط التالية:
شهادة الجذر: IdenTrust القطاع العام الجذر CA 1
صفحة تنزيل بديلة: تنزيلات دعم IdenTrust
Issuing/Sub كاليفورنيا: IdenTrust Public Sector Server CA 1.
بالنسبة لمعظم التطبيقات، فإن الثقة في شهادة المرجع المصدق الجذرية كافية إذا قدم الخادم السلسلة الكاملة. ال Issuing/Sub من المفيد تضمين شهادة المصادقة للتطبيقات التي تتطلب استيراد الشهادة الوسيطة بشكل منفصل.
اعتبارات مخزن الثقة الافتراضي
يُعتبر IdenTrust Public Sector Root CA 1 موثوقًا به افتراضيًا في مخازن الثقة القياسية لأنظمة التشغيل والمنصات التالية:
ونتيجة لذلك، لا يلزم اتخاذ أي إجراء من جانب العميل بالنسبة لنقاط النهاية أو الأنظمة التي تستخدم مخازن الثقة الافتراضية على هذه المنصات، ما لم يتم تعديل مخزن الثقة أو تقييده بشكل صريح من خلال سياسة العميل.
ملاحظة متجر الثقة لنظام Android
يتم تضمين IdenTrust Public Sector Root CA 1 في متجر CA الخاص بنظام Android وهو موثوق به بشكل افتراضي على إصدارات Android المدعومة حاليًا. لا يوفر نظام أندرويد خريطة عامة خاصة بكل إصدار لتواريخ إدخال شهادات الجذر الفردية. تتم إدارة الثقة من خلال متجر CA الخاص بنظام Android ويتم توزيعها عبر تحديثات نظام التشغيل وتحديثات نظام Google Play.
لا يلزم اتخاذ أي إجراء من جانب العميل إلا إذا تم تعديل مخزن الثقة الخاص بنظام Android بشكل صريح من خلال سياسة الجهاز أو ضوابط إدارة المؤسسة أو قيود الثقة الخاصة بالتطبيق.
اعتبارات الوصول إلى المتصفح (جوجل كروم)
لا يتم تضمين IdenTrust Public Sector Root CA 1 في متجر Google Chrome Root Store.
لضمان أن يثق جوجل كروم في الشهادات الصادرة بموجب هذه الشهادة الجذرية، يجب على العملاء التأكد من أن الشهادة الجذرية موثوقة بشكل صريح على مستوى نظام التشغيل في المواقع التي يستخدمها كروم لاتخاذ قرارات الثقة المحلية.
نظام التشغيل ويندوز – تكوين الثقة المطلوب
لضمان أن يكون المرجع المصدق الجذر موثوقًا به بواسطة متصفح جوجل كروم على نظام ويندوز، يجب استيراد IdenTrust Public Sector Root CA 1 إلى أحد المواقع التالية:
-
الحاسوب المحلي ← جهات إصدار الشهادات الجذرية الموثوقة
(موصى به للأنظمة التي تديرها المؤسسة)
أو
-
المستخدم الحالي ← جهات إصدار الشهادات الجذرية الموثوقة
(لضمان مستوى ثقة المستخدم)
تعتبر Google Chrome موثوقة بالشهادات التي تم استيرادها باستخدام معالج استيراد شهادات Windows إلى هذه المواقع (بما في ذلك عبر نهج المجموعة).
لا يتم الوثوق تلقائيًا بشهادات الجذر الموجودة فقط في قسم "الجهات الخارجية" في نظام التشغيل Windows بواسطة متصفح Chrome إلا إذا تم استيرادها بشكل صريح كما هو موضح أعلاه.
نظام التشغيل ماك - تكوين الثقة المطلوب
لضمان أن يكون المرجع المصدق الجذر موثوقًا به بواسطة متصفح جوجل كروم على نظام macOS، يجب إضافة IdenTrust Public Sector Root CA 1 إلى سلسلة مفاتيح macOS والوثوق به بشكل صريح:
-
قم باستيراد الشهادة إلى سلسلة مفاتيح النظام (مستحسن) أو سلسلة مفاتيح تسجيل الدخول
-
افتح الشهادة وقم بتعيين ما يلي:
-
عند استخدام هذه الشهادة: ثق دائماً
(أو على الأقل، SSL: ثق دائمًا)
-
بمجرد أن يصبح النظام أو المستخدم موثوقاً به، سيعترف جوجل كروم بالشهادة باعتبارها موثوقة.
يمكن للمسؤولين التحقق من شهادات النظام الأساسي التي يثق بها متصفح Chrome من خلال الانتقال إلى: chrome://certificate-manager/localcerts/platformcerts
للمزيد من المعلومات، راجع الأسئلةالشائعة في جوجل .
اعتبارات التكامل مع جهات خارجية
تتطلب عمليات التكامل مع جهات خارجية التحقق من صحة العميل الأساسي.
بالنسبة لأي تطبيقات أو خدمات تابعة لجهات خارجية تقوم بإنشاء TLS/mTLS فيما يتعلق بالاتصالات مع تطبيقات Dedicated Instance UC، يجب على العملاء اتباع الإجراءات المذكورة في تغييرات شهادة CA العامة التي تؤثر على Dedicated Instance.
ستحتاج إلى التعاون مباشرة مع مورد الطرف الثالث أو مسؤول تكنولوجيا المعلومات إذا كانت هناك حاجة إلى تحديثات مخزن الثقة. إن التعديلات التي تطرأ على مخازن الثقة الخاصة بالجهات الخارجية أو سلوكيات التحقق من صحة الشهادات تقع خارج نطاق مسؤوليات شركة سيسكو، ولا يمكن لشركة سيسكو المساعدة في تكوينات الثقة الخاصة بشهادات الجهات الخارجية أو استكشاف الأخطاء وإصلاحها.
اختبار التحقق الاختياري
الدعم
إذا كانت لديك أسئلة بخصوص هذا التغيير، أو سياسة متصفح جوجل كروم، أو تحديثات الشهادات في المثيل المخصص، فافتح طلب خدمة في مركز التحكم ضمن دورة حياة تطبيق UC.
اعتبارات إضافية لعملاء UCM Cloud (UCMC)
سيكون عملاء UCM Cloud (UCMC) الذين يمتلكون نطاقهم ويديرون تجديدات شهادات تطبيقات UC الخاصة بهم والذين لم يفوضوا سلطة النطاق إلى Cisco لتوقيع شهادات تطبيقات UC مسؤولين عن العمل مباشرة مع سلطات إصدار الشهادات العامة التي اختاروها لمعالجة هذا التغيير.
ينبغي على هؤلاء العملاء أيضًا الالتزام بتوصيات منتجات تطبيقات الاتصالات الموحدة ( منتجات الاتصال المحلية من سيسكو و Cisco Expressway) فيما يتعلق باستخدام الشهادات ومعالجة التغييرات القادمة في سياسات هيئة إصدار الشهادات العامة والمتصفح. لمزيد من المعلومات، راجع قسم الأدواروالمسؤوليات .
ستواصل شركة سيسكو تقديم التحديثات كلما أصبح دعم تطبيقات الاتصالات الموحدة لشهادات الخادم والعميل المنفصلة متاحًا. يرجى الرجوع إلى هذه الوثيقة للاطلاع على آخر التحديثات.
