Dette er for at informere dig om en kommende ændring af Google Chrome-browserpolitikken, der påvirker udstedelsen af offentlige TLS-certifikater, og for at skitsere de handlinger, Cisco vil foretage for at sikre fortsat understøttelse af gensidige TLS (mTLS)-forbindelser i Cisco Webex Calling Dedicated Instance og UCM Cloud-miljøer.

Fra og med 1. februar 2027 vil offentlige certifikatmyndigheder (CA'er), der er inkluderet i Google Chrome Trust-programmet, stoppe med at signere certifikater, der inkluderer Client Authentication (clientAuth) Extended Key Usage (EKU).

Fra og med den 15. marts 2027 vil Google håndhæve en politik, der kræver, at offentlige rod-CA'er i Chrome Root Store udsteder certifikater, der kun indeholder servergodkendelses-EKU'en (serverAuth). Som følge heraf vil offentlige rod-CA'er i Chrome Root Store ikke længere have tilladelse til at udstede certifikater, der kombinerer både servergodkendelse og klientgodkendelses-EKU'er i et enkelt certifikat.

Dedikerede instans-UC-applikationer bruger i øjeblikket certifikater, der inkluderer både servergodkendelse og klientgodkendelses-EKU'er i et enkelt certifikat for at etablere tillid til mTLS-forbindelser. Understøttelse af separate server- og klientcertifikater forventes at blive introduceret med UC-applikationsudgivelsen v15SU5, som er planlagt til senere i 2026.

I øjeblikket bruger Dedicated Instance IdenTrust Commercial Root CA 1, en del af Google Chrome Root Store, til at signere disse certifikater. På grund af den kommende ændring af Chrome-politikken vil denne CA dog ikke længere have tilladelse til at udstede certifikater, der indeholder begge EKU'er i et enkelt certifikat, fra og med 1. februar2027.

Berørte certifikater

Følgende UC-applikationscertifikater signeres ved hjælp af en offentlig rod-CA og bruges almindeligvis til mTLS-forbindelser:

UC-applikation	Certifikattype	Almindelige mTLS-forbindelser
Cisco Unified CM / SMV'er	Hankat / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth over MRA, fjernsystemlog
	Opkaldsadministrator / CallManager-ECDSA	SIP Trunks, Inter-node og Inter-cluster forbindelser
Cisco Unity Connection	Hankat / Tomcat-ECDSA	SIP-proxy, SIP-trunker
Cisco IM og Presence	Hankat / Tomcat-ECDSA	—
	kop / kop-ECDSA	Sikker SIP med CUCM, tredjepartsklienter, SIP Proxy
	kop-xmpp / cup-xmpp-ECDSA	XMPP-sammenslutning
Cisco Emergency Responder	Hankat / Tomcat-ECDSA	—
Cisco Expressway	Servercertifikat	Mobil og Remote Access (MRA)

Certifikater ikke påvirket

Alle resterende certifikater i den dedikerede instans er selvsignerede. For yderligere information, se Administration af dedikerede instanscertifikater.

For at håndtere ændringen af Chrome-politikken og opretholde uafbrudt mTLS-funktionalitet vil Cisco foretage følgende handling:

• Fra den 1. juni2026vil Cisco skifte den Public Root CA, der bruges til at signere UC-applikationscertifikater for dedikerede instanser, fra IdenTrust Commercial Root CA 1 til IdenTrust Public Sector Root CA 1 for alle certifikatfornyelser.

  Certifikatfornyelsesprocessen forbliver den samme, og Control Hub Alerts Center underretter kunderne via advarslen "Vedligeholdelse og afbrydelse", når fornyelsen er planlagt. For yderligere information, se Vedligeholdelsesalarmer.

• Certifikater vil fortsat omfatte både server- og klientgodkendelses-EKU'er.

Kunder og partnere skal udføre følgende handlinger for at sikre fortsat servicekompatibilitet :

1. Revider aktuelle mTLS-forbindelser
   1. Identificer offentlige TLS-certifikater, der inkluderer klientgodkendelses-EKU'en.
   2. Bekræft, om de tilsluttede applikationer har tillid til den nye offentlige rod-CA.
2. Tilføj den nye offentlige rod-CA (hvis nødvendigt)
   1. Hvis IdenTrust Public Sector Root CA 1 ikke allerede er betroet i dit miljø, skal den tilføjes.
   2. Rodcertifikatet kan downloades fra det offentlige IdenTrust-lager.

IdenTrust Public Sector Root CA 1 er som standard betroet i standard tillidslagre for følgende operativsystemer og platforme:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

Som følge heraf kræves der ingen handling fra kundens side for slutpunkter eller systemer, der bruger standard tillidslagre på disse platforme, medmindre tillidslagret eksplicit er blevet ændret eller begrænset af kundepolitikken.

Android Trust Store-notat

IdenTrust Public Sector Root CA 1 er inkluderet i Android-systemets CA-lager og er som standard betroet på aktuelt understøttede Android-versioner. Android tilbyder ikke en offentlig, versionsspecifik kortlægning for introduktionsdatoer for individuelle rodcertifikater. Tillid administreres via Android-systemets CA-lager og distribueres via operativsystemopdateringer og Google Play-systemopdateringer.

Kundehandling er ikke påkrævet, medmindre Android-systemets tillidslager eksplicit er blevet ændret af enhedspolitik, virksomhedsstyringskontroller eller applikationsspecifikke tillidsbegrænsninger.

IdenTrust Public Sector Root CA 1 er ikke inkluderet i Google Chrome Root Store.

For at sikre, at Google Chrome har tillid til certifikater udstedt under denne rod-CA, skal kunderne sikre, at rodcertifikatet eksplicit er betroet på operativsystemniveau på placeringer, som Chrome bruger til lokale tillidsbeslutninger.

Windows – påkrævet tillidskonfiguration

For at sikre, at rod-CA'en er betroet af Google Chrome på Windows, skal IdenTrust Public Sector Root CA 1 importeres til en af følgende placeringer:

• Lokal computer → Pålidelige rodcertificeringsmyndigheder

  (Anbefales til virksomhedsstyrede systemer)

eller

• Nuværende bruger → Pålidelige rodcertificeringsmyndigheder

  (For tillid på brugerniveau)

Certifikater, der importeres ved hjælp af Windows-guiden til import af certifikater til disse placeringer (herunder via gruppepolitik), er betroede af Google Chrome.

Rodcertifikater, der kun findes i Windows-tredjepartsversionen, er ikke automatisk betroede af Chrome, medmindre de eksplicit importeres som beskrevet ovenfor.

Mac OS – påkrævet tillidskonfiguration

For at sikre, at rod-CA'en er betroet af Google Chrome på macOS, skal IdenTrust Public Sector Root CA 1 føjes til macOS-nøgleringen og eksplicit være betroet:

1. Importer certifikatet til systemnøgleringen (anbefales) eller loginnøgleringen

2. Åbn certifikatet og indstil:

   • Når du bruger dette certifikat: Stol altid på

     (eller som minimum SSL: Altid tillid)

Når certifikatet er godkendt på system- eller brugerniveau, vil Google Chrome respektere det som godkendt.

Administratorer kan bekræfte, hvilke platformcertifikater Chrome har tillid til, ved at gå til: chrome://certificate-manager/localcerts/platformcerts

For mere information, se Google FAQ.

Tredjepartsintegrationer repræsenterer det primære område, der kræver kundevalidering.

For tredjepartsapplikationer eller -tjenester, der etablerer mTLS-forbindelser med dedikerede UC-applikationer, skal kunderne:

• Valider, at tredjepartssystemet har tillid til IdenTrust Public Sector Root CA 1
• Arbejd direkte med tredjepartsleverandøren, hvis der er behov for opdateringer af trust store eller ændringer af CA

Kunder kan validere forbindelse og tillid for den nye offentlige rod-CA ved at tilgå følgende IdenTrust-testcertifikat.

Hvis dette certifikat åbnes uden tillidsadvarsler, er IdenTrust Public Sector Root CA 1 allerede betroet i miljøet.

Hvis du har spørgsmål vedrørende denne ændring, Google Chrome-browserpolitikken eller certifikatopdateringer i Dedikeret instans, skal du åbne en serviceanmodning i Control Hub under UC-applikationslivscyklus.

UCM Cloud (UCMC)-kunder, der ejer deres domæne og administrerer deres egne fornyelser af UC-applikationscertifikater, og som ikke har delegeret domænemyndighed til Cisco til at signere UC-applikationscertifikater, vil være ansvarlige for at arbejde direkte med deres valgte offentlige certifikatmyndigheder for at håndtere denne ændring.

Disse kunder bør også overholde anbefalingerne fra de gældende UC-applikationsprodukter ( Cisco on-prem calling products og Cisco Expressway) vedrørende certifikatbrug og -afhjælpning i forbindelse med de kommende ændringer af den offentlige CA og browserpolitikken. For mere information, se Roller og ansvar.

Cisco vil fortsætte med at levere opdateringer, efterhånden som UC-applikationsunderstøttelse af separate server- og klientcertifikater bliver tilgængelig. Se dette dokument for de seneste opdateringer.

Ændringer i certifikat-EKU: Handlinger som Cisco On-Premises Collaboration-kunder SKAL FORETAGE NU