هذا لإعلامكم بتغيير قادم في سياسة متصفح جوجل كروم والذي يؤثر على إصدار شهادات TLS العامة ، ولتوضيح الإجراءات التي ستتخذها سيسكو لضمان استمرار دعم اتصالات TLS المتبادلة (mTLS) في بيئات Cisco Webex Calling Dedicated Instance و UCM Cloud.

ابتداءً من^{1 فبراير} 2027 ، ستتوقف هيئات إصدار الشهادات العامة (CAs) المدرجة في برنامج Google Chrome Trust عن توقيع الشهادات التي تتضمن استخدام المفتاح الموسع لمصادقة العميل (clientAuth) (EKU).

اعتبارًا من^{15 مارس} 2027 ، ستفرض جوجل سياسة تتطلب من هيئات إصدار الشهادات الجذرية العامة في متجر Chrome Root Store إصدار شهادات تحتوي فقط على EKU الخاص بمصادقة الخادم (serverAuth). ونتيجة لذلك، لن يُسمح بعد الآن لجهات إصدار الشهادات الجذرية العامة في متجر Chrome Root Store بإصدار شهادات تجمع بين كل من مصادقة الخادم ومصادقة العميل EKUs في شهادة واحدة.

تستخدم تطبيقات UC المخصصة حاليًا شهادات تتضمن كلًا من مصادقة الخادم ومصادقة العميل EKUs ضمن شهادة واحدة لإنشاء الثقة لاتصالات mTLS. من المتوقع أن يتم تقديم دعم لشهادات الخادم والعميل المنفصلة مع إصدار تطبيق UC v15SU5، المقرر إصداره في وقت لاحق من عام 2026.

يستخدم Dedicated Instance حاليًا IdenTrust Commercial Root CA 1، وهو جزء من متجر Google Chrome Root Store، لتوقيع هذه الشهادات. ومع ذلك، ونظرًا لتغيير سياسة Chrome القادم، لن يُسمح لهذه الهيئة بإصدار شهادات تحتوي على كل من EKUs في شهادة واحدة بدءًا من^{1 فبراير}2027 .

الشهادات المتأثرة

شهادات تطبيق UC التالية موقعة باستخدام مرجع مصدق عام وتستخدم عادة لاتصالات mTLS:

طلب الالتحاق بجامعة كاليفورنيا	نوع الشهادة	اتصالات mTLS الشائعة
سيسكو يونيفايد سي إم / الشركات الصغيرة والمتوسطة	هر / تومكات-ECDSA	LDAP، وFilebeat، وLogstash، وSIP OAuth عبر MRA، وRemote Syslog
	مدير المكالمات / مدير المكالمات - ECDSA	خطوط SIP، والوصلات بين العقد وبين المجموعات
Cisco Unity Connection	هر / تومكات-ECDSA	وكيل SIP، خطوط SIP
Cisco IM وPresence	هر / تومكات-ECDSA	—
	كوب / كأس-ECDSA	تأمين بروتوكول SIP باستخدام CUCM، وعملاء الطرف الثالث، ووكيل SIP
	كوب-إكس إم بي بي / cup-xmpp-ECDSA	اتحاد XMPP
Cisco Emergency Responder	هر / تومكات-ECDSA	—
Cisco Expressway	شهادة الخادم	الوصول عبر الهاتف المحمول والوصول عن بعد (MRA)

لم تتأثر الشهادات

جميع الشهادات المتبقية في Dedicated Instance موقعة ذاتيًا. للحصول على معلومات إضافية، انظر إدارة شهادات المثيل المخصص.

لمعالجة تغيير سياسة Chrome والحفاظ على وظائف mTLS دون انقطاع، ستتخذ Cisco الإجراء التالي:

• اعتبارًا من^{1 يونيو 2026، ستقوم شركة Cisco بتغيير المرجع}المصدق الجذر العام المستخدم لتوقيع شهادات تطبيقDedicated Instance UC من IdenTrust Commercial Root CA 1 إلى IdenTrust Public Sector Root CA 1 لجميع عمليات تجديد الشهادات.

  تبقى عملية تجديد الشهادة كما هي، ويقوم مركز تنبيهات مركز التحكم بإخطار العملاء من خلال تنبيهالصيانةوالانقطاع " عند جدولة التجديد. للمزيد من المعلومات، راجع تنبيهات الصيانة.

• ستستمر الشهادات في تضمين كل من وحدات استخدام المصادقة الموسعة للخادم والعميل.

يجب على العملاء والشركاء إكمال الإجراءات التالية لضمان استمرار توافق الخدمة :

1. تدقيق اتصالات mTLS الحالية
   1. حدد شهادات TLS العامة التي تتضمن رمز تعريف المستخدم الموسع (EKU) الخاص بمصادقة العميل.
   2. تحقق مما إذا كانت التطبيقات المتصلة تثق في شهادة المرجع المصدق العامة الجديدة.
2. أضف شهادة المرجع المصدق العامة الجديدة (إذا لزم الأمر)
   1. إذا لم يكن IdenTrust Public Sector Root CA 1 موثوقًا به بالفعل في بيئتك، فيجب إضافته.
   2. يمكن تنزيل الشهادة الجذرية من مستودع IdenTrust العام .

يُعتبر IdenTrust Public Sector Root CA 1 موثوقًا به افتراضيًا في مخازن الثقة القياسية لأنظمة التشغيل والمنصات التالية:

• Microsoft Windows
• نظام التشغيل macOS
• نظام التشغيل iOS / نظام التشغيل iPadOS
• Android

ونتيجة لذلك، لا يلزم اتخاذ أي إجراء من جانب العميل بالنسبة لنقاط النهاية أو الأنظمة التي تستخدم مخازن الثقة الافتراضية على هذه المنصات، ما لم يتم تعديل مخزن الثقة أو تقييده بشكل صريح من خلال سياسة العميل.

ملاحظة متجر الثقة لنظام Android

يتم تضمين IdenTrust Public Sector Root CA 1 في متجر CA الخاص بنظام Android وهو موثوق به بشكل افتراضي على إصدارات Android المدعومة حاليًا. لا يوفر نظام أندرويد خريطة عامة خاصة بكل إصدار لتواريخ إدخال شهادات الجذر الفردية. تتم إدارة الثقة من خلال متجر CA الخاص بنظام Android ويتم توزيعها عبر تحديثات نظام التشغيل وتحديثات نظام Google Play.

لا يلزم اتخاذ أي إجراء من جانب العميل إلا إذا تم تعديل مخزن الثقة الخاص بنظام Android بشكل صريح من خلال سياسة الجهاز أو ضوابط إدارة المؤسسة أو قيود الثقة الخاصة بالتطبيق.

لا يتم تضمين IdenTrust Public Sector Root CA 1 في متجر Google Chrome Root Store.

لضمان أن يثق جوجل كروم في الشهادات الصادرة بموجب هذه الشهادة الجذرية، يجب على العملاء التأكد من أن الشهادة الجذرية موثوقة بشكل صريح على مستوى نظام التشغيل في المواقع التي يستخدمها كروم لاتخاذ قرارات الثقة المحلية.

نظام التشغيل ويندوز – تكوين الثقة المطلوب

لضمان أن يكون المرجع المصدق الجذر موثوقًا به بواسطة متصفح جوجل كروم على نظام ويندوز، يجب استيراد IdenTrust Public Sector Root CA 1 إلى أحد المواقع التالية:

• الحاسوب المحلي ← جهات إصدار الشهادات الجذرية الموثوقة

  (موصى به للأنظمة التي تديرها المؤسسة)

أو

• المستخدم الحالي ← جهات إصدار الشهادات الجذرية الموثوقة

  (لضمان مستوى ثقة المستخدم)

تعتبر Google Chrome موثوقة بالشهادات التي تم استيرادها باستخدام معالج استيراد شهادات Windows إلى هذه المواقع (بما في ذلك عبر نهج المجموعة).

لا يتم الوثوق تلقائيًا بشهادات الجذر الموجودة فقط في قسم "الجهات الخارجية" في نظام التشغيل Windows بواسطة متصفح Chrome إلا إذا تم استيرادها بشكل صريح كما هو موضح أعلاه.

نظام التشغيل ماك - تكوين الثقة المطلوب

لضمان أن يكون المرجع المصدق الجذر موثوقًا به بواسطة متصفح جوجل كروم على نظام macOS، يجب إضافة IdenTrust Public Sector Root CA 1 إلى سلسلة مفاتيح macOS والوثوق به بشكل صريح:

1. قم باستيراد الشهادة إلى سلسلة مفاتيح النظام (مستحسن) أو سلسلة مفاتيح تسجيل الدخول

2. افتح الشهادة وقم بتعيين ما يلي:

   • عند استخدام هذه الشهادة: ثق دائماً

     (أو على الأقل، SSL: ثق دائمًا)

بمجرد أن يصبح النظام أو المستخدم موثوقاً به، سيعترف جوجل كروم بالشهادة باعتبارها موثوقة.

يمكن للمسؤولين التحقق من شهادات النظام الأساسي التي يثق بها متصفح Chrome من خلال الانتقال إلى: chrome://certificate-manager/localcerts/platformcerts

للمزيد من المعلومات، راجع الأسئلةالشائعة في جوجل .