Tímto vás informujeme o nadcházející změně zásad prohlížeče Google Chrome, která má dopad na vydávání veřejných certifikátů TLS, a nastiňujeme kroky, které společnost Cisco podnikne k zajištění trvalé podpory pro vzájemná připojení TLS (mTLS) v prostředích Cisco Webex Calling Dedicated Instance a UCM Cloud.

Od 1. února 2027 přestanou veřejné certifikační autority (CA) zapojené do programu Google Chrome Trust podepisovat certifikáty, které obsahují rozšířené klíčové použití (EKU) pro ověřování klienta (clientAuth).

S účinností od 15. března 2027 bude Google prosazovat zásady, které vyžadují, aby veřejné kořenové certifikační autority v kořenovém úložišti Chrome vydávaly certifikáty obsahující pouze EKU pro ověřování serveru (serverAuth). V důsledku toho veřejné kořenové certifikační autority v kořenovém úložišti Chrome již nebudou moci vydávat certifikáty, které kombinují EKU pro ověřování serveru i pro ověřování klienta v jednom certifikátu.

Aplikace pro sjednocenou komunikaci vyhrazených instancí aktuálně používají certifikáty, které zahrnují EKU pro ověřování serveru i klienta v rámci jednoho certifikátu, aby se pro připojení mTLS vytvořila důvěryhodnost. Očekává se, že podpora pro oddělené certifikáty serveru a klienta bude zavedena s verzí aplikace UC v15SU5, která je plánována na pozdější rok 2026.

V současné době Dedicated Instance používá k podepisování těchto certifikátů IdenTrust Commercial Root CA 1, která je součástí Google Chrome Root Store. Vzhledem k nadcházející změně zásad prohlížeče Chrome však tato certifikační autorita od 1. února2027 již nebude moci vydávat certifikáty obsahující obě identifikátory EKU v jednom certifikátu.

Dotčené certifikáty

Následující certifikáty aplikací sjednocené komunikace jsou podepsány pomocí veřejné kořenové certifikační autority a běžně se používají pro připojení mTLS:

Aplikace pro sjednocenou komunikaci	Typ certifikátu	Běžná připojení mTLS
Cisco Unified CM / Malé a střední podniky	Kocour / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth přes MRA, vzdálený Syslog
	Správce hovorů / CallManager-ECDSA	SIP trunkové linky, propojení mezi uzly a mezi clustery
Cisco Unity Connection	Kocour / Tomcat-ECDSA	SIP proxy, SIP trunky
Cisco IM and Presence	Kocour / Tomcat-ECDSA	—
	pohár / pohár-ECDSA	Bezpečný SIP s CUCM, klienty třetích stran, SIP proxy
	cup-xmpp / cup-xmpp-ECDSA	Sdružování XMPP
Cisco Emergency Responder	Kocour / Tomcat-ECDSA	—
Dálnice Cisco	Certifikát serveru	Mobilní a vzdálený přístup (MRA)

Certifikáty nejsou ovlivněny

Všechny zbývající certifikáty ve vyhrazené instanci jsou podepsané držitelem. Další informace naleznete v části Správa certifikátů vyhrazených instancí.

Aby společnost Cisco řešila změnu zásad prohlížeče Chrome a zachovala nepřerušenou funkčnost mTLS, podnikne následující kroky:

• S platností od 1. června2026společnost Cisco změní veřejnou kořenovou certifikační autoritu (Public Root CA) používanou pro podepisování certifikátů aplikací Dedicated Instance UC z IdenTrust Commercial Root CA 1 na IdenTrust Public Sector Root CA 1 pro všechna obnovení certifikátů.

  Proces obnovení certifikátu zůstává stejný a Centrum upozornění Control Hub upozorní zákazníky prostřednictvím upozornění „Údržba a výpadek“, když je obnovení naplánováno. Více informací naleznete v části Upozornění na údržbu.

• Certifikáty budou i nadále obsahovat EKU pro ověřování serveru i klienta.

Zákazníci a partneři musí provést následující kroky, aby byla zajištěna trvalá kompatibilita služeb :

1. Auditovat aktuální připojení mTLS
   1. Identifikujte veřejné certifikáty TLS, které obsahují EKU pro ověřování klienta.
   2. Ověřte, zda připojující se aplikace důvěřují nové veřejné kořenové certifikační autoritě.
2. Přidejte novou veřejnou kořenovou certifikační autoritu (pokud je to nutné)
   1. Pokud IdenTrust Public Sector Root CA 1 ve vašem prostředí ještě není důvěryhodná, je nutné ji přidat.
   2. Kořenový certifikát lze stáhnout z veřejného repozitáře IdenTrust.

Kořenová certifikační autorita IdenTrust Public Sector 1 je ve výchozím nastavení důvěryhodná ve standardních úložištích důvěryhodných certifikátů pro následující operační systémy a platformy:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

V důsledku toho není pro koncové body nebo systémy používající výchozí úložiště důvěryhodných certifikátů na těchto platformách vyžadována žádná akce zákazníka, pokud úložiště důvěryhodných certifikátů nebylo explicitně upraveno nebo omezeno zásadami zákazníka.

Poznámka k úložišti důvěryhodných informací pro Android

Kořenová certifikační autorita IdenTrust Public Sector 1 je součástí úložiště certifikačních autorit systému Android a ve výchozím nastavení je v aktuálně podporovaných verzích Androidu důvěryhodná. Android neposkytuje veřejné mapování dat zavedení jednotlivých kořenových certifikátů specifické pro danou verzi. Důvěra je spravována prostřednictvím úložiště certifikačních certifikátů systému Android a distribuována prostřednictvím aktualizací operačního systému a aktualizací systému Google Play.

Není vyžadována žádná akce zákazníka, pokud úložiště důvěryhodných systémů Android nebylo explicitně upraveno zásadami zařízení, ovládacími prvky podnikové správy nebo omezeními důvěryhodnosti specifickými pro danou aplikaci.

Kořenová certifikační autorita IdenTrust Public Sector 1 není zahrnuta v úložišti kořenových adresářů Google Chrome.

Aby Google Chrome důvěřoval certifikátům vydaným pod touto kořenovou certifikační autoritou, musí zákazníci zajistit, aby byl kořenový certifikát explicitně důvěryhodný na úrovni operačního systému v umístěních, která Chrome využívá pro lokální rozhodování o důvěryhodnosti.

Windows – požadovaná konfigurace důvěryhodnosti

Aby prohlížeč Google Chrome ve Windows důvěřoval kořenové certifikační autoritě, je nutné kořenovou certifikační autoritu IdenTrust Public Sector Root CA 1 importovat do jednoho z následujících umístění:

• Místní počítač → Důvěryhodné kořenové certifikační autority

  (Doporučeno pro systémy spravované podnikem)

nebo

• Aktuální uživatel → Důvěryhodné kořenové certifikační autority

  (Pro důvěryhodnost na úrovni uživatele)

Certifikáty importované pomocí Průvodce importem certifikátů systému Windows do těchto umístění (včetně prostřednictvím Zásad skupiny) jsou pro Google Chrome důvěryhodné.

Kořenové certifikáty, které existují pouze ve Windows Third-Party, nejsou Chromem automaticky důvěřovány, pokud nejsou explicitně importovány, jak je popsáno výše.

Mac OS – požadovaná konfigurace důvěryhodnosti

Aby Google Chrome v systému macOS zajistil důvěryhodnost kořenové certifikační autority, musí být do svazku klíčů macOS přidána kořenová certifikační autorita IdenTrust Public Sector Root CA 1 a musí být explicitně označena jako důvěryhodná:

1. Importujte certifikát do systémové svazku klíčů (doporučeno) nebo přihlašovacího svazku klíčů.

2. Otevřete certifikát a nastavte:

   • Při použití tohoto certifikátu: Vždy důvěřuj

     (nebo minimálně SSL: Vždy důvěřuj)

Jakmile je certifikát na úrovni systému nebo uživatele důvěryhodný, Google Chrome jej bude považovat za důvěryhodný.

Administrátoři mohou ověřit, kterým certifikátům platformy Chrome důvěřuje, přejděte na: chrome://certificate-manager/localcerts/platformcerts

Více informací naleznete v Často kladené otázky Google.

Integrace třetích stran představují primární oblast vyžadující ověření zákazníkem.

V případě aplikací nebo služeb třetích stran, které navazují připojení mTLS s aplikacemi pro sjednocenou komunikaci vyhrazených instancí, musí zákazníci:

• Ověřte, zda systém třetí strany důvěřuje kořenové certifikační autoritě veřejného sektoru IdenTrust 1.
• Pokud jsou vyžadovány aktualizace úložiště důvěryhodných informací nebo změny certifikační autority, spolupracujte přímo s dodavatelem třetí strany.

Zákazníci mohou ověřit konektivitu a důvěryhodnost nové veřejné kořenové certifikační autority přístupem k následujícímu testovacímu certifikátu IdenTrust.

Pokud se tento certifikát úspěšně otevře bez varování o důvěryhodnosti, je kořenová certifikační autorita IdenTrust Public Sector 1 v daném prostředí již důvěryhodná.

Pokud máte dotazy týkající se této změny, zásad prohlížeče Google Chrome nebo aktualizací certifikátů ve vyhrazené instanci, otevřete v Control Hub v části životní cyklus aplikace UCpožadavek na službu.

Zákazníci UCM Cloud (UCMC), kteří vlastní svou doménu a spravují si vlastní obnovování certifikátů aplikací UC a kteří nedelegovali oprávnění domény společnosti Cisco k podepisování certifikátů aplikací UC, budou zodpovědní za přímou spolupráci s vybranými veřejnými certifikačními autoritami při řešení této změny.

Tito zákazníci by se také měli řídit příslušnými doporučeními pro produkty sjednocené komunikace ( produkty Cisco pro volání na platformě Cisco a Cisco Expressway) týkajícími se používání certifikátů a nápravných opatření souvisejících s nadcházejícími změnami zásad veřejné certifikační autority a prohlížeče. Další informace naleznete v části Role a odpovědnosti.

Společnost Cisco bude i nadále poskytovat aktualizace, jakmile bude k dispozici podpora aplikací sjednocené komunikace pro samostatné certifikáty serverů a klientů. Nejnovější aktualizace naleznete v tomto dokumentu.

Změny EKU certifikátu: Akce, které musí zákazníci Cisco On-premises Collaboration podniknout hned teď