Hvala na povratnim informacijama.

Ovim putem vas obavještavamo o nadolazećoj promjeni pravila preglednika Google Chrome koja utječe na izdavanje javnih TLS certifikata i ocrtavamo radnje koje će Cisco poduzeti kako bi osigurao kontinuiranu podršku za međusobne TLS (mTLS) veze u okruženjima Cisco Webex Calling Dedicated Instance i UCM Cloud.

Počevši od 1. veljače 2027., javni izdavatelji certifikata (CA) uključeni u program Google Chrome Trust prestat će potpisivati certifikate koji uključuju proširenu upotrebu ključa (EKU) za autentifikaciju klijenta (clientAuth).

Od 15. ožujka 2027. Google će provoditi pravilo koje zahtijeva da javni korijenski CA-ovi u Chromeovoj korijenskoj trgovini izdaju certifikate koji sadrže samo EKU za autentifikaciju poslužitelja (serverAuth). Kao rezultat toga, javni korijenski CA-ovi u Chromeovoj korijenskoj trgovini više neće smjeti izdavati certifikate koji kombiniraju EKU-ove za autentifikaciju poslužitelja i autentifikaciju klijenta u jednom certifikatu.

Namjenske UC aplikacije za instance trenutno koriste certifikate koji uključuju EKU-ove za autentifikaciju poslužitelja i autentifikaciju klijenta unutar jednog certifikata za uspostavljanje povjerenja za mTLS veze. Očekuje se da će podrška za odvojene certifikate poslužitelja i klijenta biti uvedena s izdanjem UC aplikacije v15SU5, planiranim za kasnije 2026. godine.

Trenutno, Dedicated Instance koristi IdenTrust Commercial Root CA 1, dio Google Chrome Root Store-a, za potpisivanje ovih certifikata. Međutim, zbog nadolazeće promjene pravila za Chrome, ovom CA više neće biti dopušteno izdavanje certifikata koji sadrže oba EKU-a u jednom certifikatu počevši od 1. veljače2027.

Pogođeni certifikati

Sljedeći UC aplikacijski certifikati potpisani su pomoću javnog korijenskog CA-a i obično se koriste za mTLS veze:

UC aplikacija	Vrsta certifikata	Uobičajene mTLS veze
Cisco Unified CM / Malo i srednje poduzeće	Mačak / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth preko MRA, udaljeni Syslog
	Upravitelj poziva / CallManager-ECDSA	SIP Trunkovi, međučvorne i međuklasterske veze
Cisco Unity veza	Mačak / Tomcat-ECDSA	SIP proxy, SIP Trunks
Cisco IM i Presence	Mačak / Tomcat-ECDSA	—
	kupa / šalica-ECDSA	Sigurni SIP s CUCM-om, klijentima trećih strana, SIP proxyjem
	cup-xmpp / cup-xmpp-ECDSA	XMPP federacija
Cisco Emergency Responder	Mačak / Tomcat-ECDSA	—
Brza cesta Cisco	Certifikat poslužitelja	Mobilni i daljinski pristup (MRA)

Certifikati nisu pogođeni

Svi preostali certifikati u namjenskoj instanci su samopotpisani. Za dodatne informacije pogledajte Upravljanje certifikatima namjenskih instanci.

Kako bi se riješila promjena pravila za Chrome i održala neprekidna funkcionalnost mTLS-a, Cisco će poduzeti sljedeće mjere:

• Od 1. lipnja2026., Cisco će promijeniti javni korijenski CA koji se koristi za potpisivanje certifikata namjenskih instanci UC aplikacija s IdenTrust Commercial Root CA 1 na IdenTrust Public Sector Root CA 1 za sve obnove certifikata.

  Postupak obnove certifikata ostaje isti, a Centar za upozorenja Control Huba obavještava korisnike putem upozorenja "Održavanje i prekid rada" kada je obnova zakazana. Za više informacija pogledajte Obavijesti o održavanju.

• Certifikati će i dalje uključivati EKU-ove za autentifikaciju poslužitelja i klijenta.

Sve aplikacije ili usluge trećih strana u korisničkom okruženju koje povezuju UC aplikacije u namjenskoj instanci pomoću TLS ili mTLS veza moraju koristiti isti lanac certifikata kao i UC aplikacije u namjenskoj instanci. Ako spremište pouzdanih sustava ili aplikacija korisnika već ne uključuje potrebne IdenTrust autoritete certifikata, novi korijenski certifikat mora se uvesti kako bi se spriječilo TLS/mTLS kvarovi u vezi.

1. Pregled trenutnih mTLS veza
   1. Identificirajte aplikacije, usluge trećih strana ili integracije koje se povezuju s UC aplikacijama u namjenskoj instanci pomoću TLS-a ili mTLS-a.
   2. Provjerite vjeruju li te aplikacije novom javnom korijenskom CA-u: IdenTrust Javnog sektora Root CA 1.
2. Dodajte novi javni korijenski CA (ako je potrebno)
   1. Ako IdenTrust Public Sector Root CA 1 već nije pouzdan u korisničkoj aplikaciji ili spremištu pouzdanih podataka sustava, mora se dodati.
   2. Isti se može preuzeti sa sljedećih poveznica:

      Korijenski CA: IdenTrust javni sektor korijenski CA 1

      Alternativna stranica za preuzimanje: Preuzimanja podrške za IdenTrust

      Issuing/Sub Kalifornija: IdenTrust poslužitelj javnog sektora CA 1.

   Za većinu aplikacija, povjerenje u korijenskog CA je dovoljno ako poslužitelj prikazuje cijeli lanac. The Issuing/Sub CA je korisno uključiti za aplikacije koje zahtijevaju zaseban uvoz međucertifikata.

IdenTrust Public Sector Root CA 1 je prema zadanim postavkama pouzdan u standardnim spremištima povjerenja za sljedeće operativne sustave i platforme:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

Kao rezultat toga, nije potrebna nikakva radnja korisnika za krajnje točke ili sustave koji koriste zadane pohrane povjerenja na tim platformama, osim ako pohrana povjerenja nije izričito izmijenjena ili ograničena pravilima korisnika.

Napomena o pouzdanoj trgovini Androida

IdenTrust Public Sector Root CA 1 uključen je u pohranu CA sustava Android i prema zadanim postavkama pouzdan je na trenutno podržanim verzijama Androida. Android ne pruža javno mapiranje specifično za verziju za datume uvođenja pojedinačnih korijenskih certifikata. Povjerenje se upravlja putem trgovine CA sustava Android i distribuira se putem ažuriranja operativnog sustava i ažuriranja sustava Google Play.

Nije potrebna nikakva radnja korisnika osim ako je pohrana pouzdanih podataka sustava Android izričito izmijenjena pravilima uređaja, kontrolama upravljanja poduzećem ili ograničenjima pouzdanosti specifičnim za aplikaciju.

IdenTrust Public Sector Root CA 1 nije uključen u Google Chrome Root Store.

Kako bi se osiguralo da Google Chrome vjeruje certifikatima izdanim pod ovim korijenskim CA, korisnici moraju osigurati da je korijenski certifikat izričito pouzdan na razini operativnog sustava na lokacijama koje Chrome koristi za lokalne odluke o povjerenju.

Windows – potrebna konfiguracija povjerenja

Kako bi se osiguralo da Google Chrome na Windowsima vjeruje korijenskom CA-u, IdenTrust Public Sector Root CA 1 mora se uvesti na jednu od sljedećih lokacija:

• Lokalno računalo → Pouzdani izvori za certifikaciju korijena

  (Preporučuje se za sustave kojima upravljaju poduzeća)

ili

• Trenutni korisnik → Pouzdani izvori za certifikaciju korijena

  (Za povjerenje na razini korisnika)

Certifikati uvezeni pomoću čarobnjaka za uvoz certifikata sustava Windows na ove lokacije (uključujući i putem grupnih pravila) smatraju se pouzdanima za Google Chrome.

Chrome ne smatra automatski pouzdanim korijenske certifikate koji postoje samo u sustavu Windows Third-Party osim ako se izričito ne uvezu kako je gore opisano.

Mac OS – potrebna konfiguracija povjerenja

Kako bi se osiguralo da Google Chrome na macOS-u vjeruje korijenskom CA-u, IdenTrust Public Sector Root CA 1 mora se dodati u macOS Keychain i izričito mu se povjerovati:

1. Uvezite certifikat u Privjesak ključeva sustava (preporučeno) ili Privjesak ključeva za prijavu

2. Otvorite certifikat i postavite:

   • Prilikom korištenja ovog certifikata: Uvijek vjeruj

     (ili barem SSL: Uvijek vjeruj)

Nakon što je certifikat pouzdan na razini sustava ili korisnika, Google Chrome će ga prihvatiti kao pouzdanog.

Administratori mogu provjeriti kojim certifikatima platforme Chrome vjeruje tako da odu na: chrome://certificate-manager/localcerts/platformcerts

Za više informacija pogledajte Često postavljana pitanja o Googleu.

Integracije trećih strana zahtijevaju primarnu validaciju korisnika.

Za sve aplikacije ili usluge trećih strana koje uspostavljaju TLS/mTLS veze s UC aplikacijama namjenske instance, korisnici moraju slijediti radnje navedene u promjene certifikata javnog CA koje utječu na namjensku instancu.

Morat ćete izravno surađivati s vanjskim dobavljačem ili IT administratorom ako su potrebna ažuriranja skladišta povjerenja. Izmjene pohrana pouzdanih certifikata trećih strana ili ponašanja provjere valjanosti certifikata izvan su Ciscovih odgovornosti i Cisco ne može pomoći s konfiguracijama ili rješavanjem problema s pouzdanim certifikatima trećih strana.

Korisnici mogu potvrditi povezivost i povjerenje za novi javni korijenski CA pristupom sljedećem IdenTrust testnom certifikatu.

Ako se ovaj certifikat uspješno otvori bez upozorenja o pouzdanosti, IdenTrust Public Sector Root CA 1 već je pouzdan u okruženju.

Ako imate pitanja u vezi s ovom promjenom, pravilima preglednika Google Chrome ili ažuriranjima certifikata u Dedicated Instance, otvorite zahtjev za uslugom u Control Hubu pod UC životni ciklus aplikacije.

Korisnici UCM Clouda (UCMC) koji posjeduju vlastitu domenu i upravljaju vlastitim obnavljanjem certifikata UC aplikacije te koji nisu delegirali ovlaštenje domene tvrtki Cisco za potpisivanje certifikata UC aplikacije, bit će odgovorni za izravnu suradnju s odabranim javnim tijelima za izdavanje certifikata kako bi se riješila ova promjena.

Ovi korisnici također bi se trebali uskladiti s primjenjivim preporukama za UC aplikacijske proizvode ( Cisco lokalni proizvodi za pozivanje i Cisco Expressway) u vezi s korištenjem certifikata i sanacijom povezanih s nadolazećim promjenama pravila javnog CA i preglednika. Za više informacija pogledajte Uloge i odgovornosti.

Cisco će nastaviti pružati ažuriranja kako bude dostupna podrška za UC aplikacije za odvojene certifikate poslužitelja i klijenta. Za najnovija ažuriranja pogledajte ovaj dokument.

Promjene EKU-a certifikata: Radnje koje korisnici Cisco On-premises Collaboration moraju poduzeti odmah