Köszönjük visszajelzését.

Ezúton tájékoztatjuk Önt egy közelgő Google Chrome böngészőszabályzat-változásról, amely hatással van a nyilvános TLS-tanúsítványok kibocsátására, és felvázoljuk azokat az intézkedéseket, amelyeket a Cisco tesz a kölcsönös TLS (mTLS) kapcsolatok folyamatos támogatásának biztosítása érdekében a Cisco Webex Calling Dedicated Instance és az UCM Cloud környezetekben.

2027. február 1-jétől kezdődően a Google Chrome Trust programban részt vevő nyilvános hitelesítésszolgáltatók (CA-k) nem írnak alá olyan tanúsítványokat, amelyek tartalmazzák a klienshitelesítést (clientAuth) kiterjesztett kulcshasználatot (EKU).

2027. március 15-től a Google olyan szabályzatot lép életbe, amely előírja, hogy a Chrome Root Store-ban található nyilvános root hitelesítésszolgáltatók csak a kiszolgálóhitelesítési (serverAuth) EKU-t tartalmazó tanúsítványokat állítsanak ki. Ennek eredményeként a Chrome Root Store nyilvános root hitelesítésszolgáltatói a továbbiakban nem bocsáthatnak ki olyan tanúsítványokat, amelyek egyetlen tanúsítványban tartalmazzák a szerverhitelesítést és a klienshitelesítési EKU-kat.

A dedikált példányú UC-alkalmazások jelenleg olyan tanúsítványokat használnak, amelyek egyetlen tanúsítványon belül tartalmazzák mind a kiszolgálóhitelesítést, mind az ügyfélhitelesítési EKU-kat, hogy bizalmat létesítsenek az mTLS-kapcsolatok számára. A különálló szerver- és klienstanúsítványok támogatása várhatóan a 2026-ra tervezett v15SU5 UC alkalmazáskiadásban kerül bevezetésre.

Jelenleg a Dedicated Instance az IdenTrust Commercial Root CA 1-et használja, amely a Google Chrome Root Store része, ezen tanúsítványok aláírásához. A Chrome közelgő irányelvváltozása miatt azonban ez a hitelesítésszolgáltató 2027. február^{1 -}jétől kezdődően nem bocsáthat ki olyan tanúsítványokat, amelyek mindkét EKU-t egyetlen tanúsítványban tartalmazzák.

Érintett tanúsítványok

A következő UC alkalmazástanúsítványok nyilvános gyökér CA-val vannak aláírva, és általában mTLS-kapcsolatokhoz használatosak:

UC alkalmazás	Tanúsítvány típusa	Gyakori mTLS-kapcsolatok
Cisco Unified CM / KKV	Kandúr / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth MRA-n keresztül, távoli rendszernaplózás
	Híváskezelő / CallManager-ECDSA	SIP trunkok, csomópontok közötti és klaszterek közötti kapcsolatok
Cisco Unity Connection	Kandúr / Tomcat-ECDSA	SIP proxy, SIP trunkok
Cisco IM és Jelenlét	Kandúr / Tomcat-ECDSA	—
	csésze / kupa-ECDSA	Biztonságos SIP CUCM-mel, harmadik féltől származó kliensekkel és SIP Proxyval
	cup-xmpp / cup-xmpp-ECDSA	XMPP összevonás
Cisco Emergency Responder	Kandúr / Tomcat-ECDSA	—
Cisco gyorsforgalmi út	Szerver tanúsítvány	Mobil és távoli hozzáférés (MRA)

A tanúsítványokat ez nem érinti

A dedikált példányban található összes többi tanúsítvány önaláírt. További információkért lásd: Dedikált példány tanúsítványkezelés.

A Chrome-szabályzat változásának kezelése és az mTLS zavartalan működésének fenntartása érdekében a Cisco a következő intézkedéseket fogja tenni:

• 2026. június 1-jétőla Cisco az összes tanúsítványmegújítás esetében az IdenTrust Commercial Root CA 1-ről az IdenTrust Public Sector Root CA 1-re váltja a dedikált példány UC alkalmazástanúsítványainak aláírásához használt nyilvános root CA-t.

  A tanúsítvány megújítási folyamata változatlan marad, és a Control Hub Riasztási Központ a "Karbantartás és leállás" riasztáson keresztül értesíti az ügyfeleket, amikor a megújítás ütemezett. További információkért lásd: Karbantartási riasztások.

• A tanúsítványok továbbra is tartalmazni fogják mind a kiszolgáló-, mind a klienshitelesítési EKU-kat.

Az ügyfélkörnyezetben található, dedikált példányban lévő UC-alkalmazásokat TLS- vagy mTLS-kapcsolatokkal összekapcsoló, harmadik féltől származó alkalmazásoknak vagy szolgáltatásoknak ugyanazt a tanúsítványláncot kell használniuk, mint a dedikált példányban lévő UC-alkalmazásoknak. Ha az ügyfélrendszerek vagy alkalmazások megbízhatósági tárolója még nem tartalmazza a szükséges IdenTrust tanúsítványkibocsátókat, akkor az új főtanúsítványt importálni kell a hiba megelőzése érdekében. TLS/mTLS csatlakozási hibák.

1. Aktuális mTLS-kapcsolatok naplózása
   1. Azonosítsa azokat az alkalmazásokat, harmadik féltől származó szolgáltatásokat vagy integrációkat, amelyek TLS vagy mTLS használatával kapcsolódnak a dedikált példányban található UC alkalmazásokhoz.
   2. Ellenőrizze, hogy ezek az alkalmazások megbíznak-e az új nyilvános gyökér CA-ban: IdenTrust nyilvános szektor gyökér CA 1.
2. Új nyilvános legfelső szintű hitelesítésszolgáltató hozzáadása (ha szükséges)
   1. Ha az IdenTrust Public Sector Root CA 1 még nem megbízható az ügyfélalkalmazásban vagy a rendszer megbízhatósági tárolójában, akkor hozzá kell adni.
   2. Ugyanez letölthető az alábbi linkekről:

      Gyökér CA: IdenTrust nyilvános szektor gyökér CA 1

      Alternatív letöltési oldal: IdenTrust támogatási letöltések

      Issuing/Sub CA: IdenTrust nyilvános szektor szerver CA 1.

   A legtöbb alkalmazás esetében elegendő a legfelső szintű hitelesítésszolgáltatóba vetett bizalom, ha a szerver a teljes láncot bemutatja. A Issuing/Sub A CA használata előnyös azoknál az alkalmazásoknál, amelyekhez a köztes tanúsítvány külön importálása szükséges.

Az IdenTrust Public Sector Root CA 1 alapértelmezés szerint megbízható a következő operációs rendszerek és platformok szabványos megbízhatósági tárolóiban:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

Ennek eredményeként nincs szükség ügyfél beavatkozásra az ilyen platformokon alapértelmezett megbízható adattárolókat használó végpontok vagy rendszerek esetében, kivéve, ha a megbízható adattárolót kifejezetten módosították vagy korlátozták az ügyfélszabályzatok.

Android Trust áruházi megjegyzés

Az IdenTrust Public Sector Root CA 1 az Android rendszer CA tárolójában található, és alapértelmezés szerint megbízható a jelenleg támogatott Android verziókon. Az Android nem biztosít nyilvános, verzióspecifikus leképezést az egyes főtanúsítványok bevezetésének dátumaihoz. A bizalmat az Android rendszer CA áruházán keresztül kezelik, és az operációs rendszer frissítésein, valamint a Google Play rendszerfrissítésein keresztül terjesztik.

Nincs szükség ügyfél általi beavatkozásra, kivéve, ha az Android rendszer megbízhatósági tárolóját explicit módon módosították eszközházirendek, vállalati felügyeleti vezérlők vagy alkalmazásspecifikus megbízhatósági korlátozások.

Az IdenTrust Public Sector Root CA 1 nem része a Google Chrome Root Store-nak.

Annak érdekében, hogy a Google Chrome megbízzon a legfelső szintű hitelesítésszolgáltató által kiállított tanúsítványokban, az ügyfeleknek biztosítaniuk kell, hogy a legfelső szintű tanúsítvány kifejezetten megbízható legyen az operációs rendszer szintjén azokon a helyeken, amelyeket a Chrome a helyi bizalmi döntésekhez használ.

Windows – szükséges megbízhatósági konfiguráció

Annak érdekében, hogy a Google Chrome Windows rendszeren megbízhatónak tekintse a legfelső szintű hitelesítésszolgáltatót, az IdenTrust Public Sector Root CA 1-et importálni kell a következő helyek egyikére:

• Helyi számítógép → Megbízható legfelső szintű hitelesítésszolgáltatók

  (Vállalatilag felügyelt rendszerekhez ajánlott)

vagy

• Jelenlegi felhasználó → Megbízható legfelső szintű hitelesítésszolgáltatók

  (Felhasználói szintű bizalom esetén)

A Google Chrome megbízhatónak tekinti a Windows Tanúsítványimportáló varázslóval ezekre a helyekre (beleértve a csoportházirenden keresztül is) importált tanúsítványokat.

A csak a Windows harmadik fél által kínált root tanúsítványokat a Chrome nem tekinti automatikusan megbízhatónak, kivéve, ha azokat kifejezetten importálják a fent leírtak szerint.

Mac OS – szükséges megbízhatósági konfiguráció

Annak érdekében, hogy a Google Chrome macOS rendszeren megbízhatónak tekintse a legfelső szintű hitelesítésszolgáltatót, az IdenTrust Public Sector Root CA 1-et hozzá kell adni a macOS kulcstartóhoz, és explicit módon megbízhatónak kell tekinteni:

1. Importálja a tanúsítványt a rendszerkulcstartóba (ajánlott) vagy a bejelentkezési kulcstartóba

2. Nyisd meg a tanúsítványt, és állítsd be:

   • A tanúsítvány használatakor: Mindig bízz

     (vagy legalább SSL-lel: Mindig bízz!)

Miután a rendszer vagy a felhasználó szintjén megbízhatónak nyilvánították a tanúsítványt, a Google Chrome megbízhatóként fogja kezelni azt.

A rendszergazdák a következő helyre lépve ellenőrizhetik, hogy a Chrome mely platformtanúsítványokat tartja megbízhatónak: chrome://certificate-manager/localcerts/platformcerts

További információkért lásd a Google GYIK-et.

A harmadik féltől származó integrációkhoz elsődleges ügyfél-ellenőrzés szükséges.

Bármely harmadik féltől származó alkalmazás vagy szolgáltatás esetében, amely létrehozza TLS/mTLS A dedikált példányú UC-alkalmazásokkal való kapcsolatok esetén az ügyfeleknek a A dedikált példányt érintő nyilvános hitelesítésszolgáltatói tanúsítványváltozásokcímű részben említett műveleteket kell követniük.

Közvetlenül a külső szolgáltatóval vagy az informatikai rendszergazdával kell együttműködnie, ha frissítésekre van szükség a megbízható tárolóban. A harmadik féltől származó megbízhatósági tárolók vagy a tanúsítvány-érvényesítési viselkedés módosításai kívül esnek a Cisco felelősségi körén, és a Cisco nem tud segíteni a harmadik féltől származó tanúsítványok megbízhatósági konfigurációiban vagy hibaelhárításában.

Az ügyfelek a következő IdenTrust teszttanúsítványelérésével ellenőrizhetik az új nyilvános legfelső szintű hitelesítésszolgáltató csatlakozását és megbízhatóságát.

Ha a tanúsítvány megbízhatósági figyelmeztetések nélkül nyílik meg, az IdenTrust Public Sector Root CA 1 már megbízható a környezetben.

Ha kérdése van ezzel a változással, a Google Chrome böngészőszabályzatával vagy a dedikált példány tanúsítványfrissítéseivel kapcsolatban, nyisson meg egy szolgáltatáskérést a Control Hubban az UC alkalmazás életciklusaalatt.

Az UCM Cloud (UCMC) ügyfeleinek, akik saját domainjükkel rendelkeznek és saját UC-alkalmazástanúsítványaik megújítását kezelik, és akik nem delegálták a domain jogosultságot a Cisco-nak az UC-alkalmazástanúsítványok aláírására, közvetlenül együtt kell működniük a választott nyilvános hitelesítésszolgáltatókkal a változás kezelése érdekében.

Ezeknek az ügyfeleknek a tanúsítványok használatával és a közelgő nyilvános hitelesítésszolgáltatói és böngészőszabályzat-változásokkal kapcsolatos javításokkal kapcsolatban is be kell tartaniuk az alkalmazandó UC alkalmazástermék ( Cisco helyszíni hívástermékek és Cisco Expressway) ajánlásait. További információkért lásd: Szerepkörök és felelősségek.

A Cisco továbbra is frissítéseket fog biztosítani, amint elérhetővé válik a különálló szerver- és klienstanúsítványok UC-alkalmazástámogatása. A legújabb frissítésekért tekintse meg ezt a dokumentumot.

Tanúsítvány EKU változásai: A Cisco On-premises Collaboration ügyfeleinek MOST KELL MEGTÉVEDNIE KELL ezeket a lépéseket