Ezúton tájékoztatjuk Önt egy közelgő Google Chrome böngészőszabályzat-változásról, amely hatással van a nyilvános TLS-tanúsítványok kibocsátására, és felvázoljuk azokat az intézkedéseket, amelyeket a Cisco tesz a kölcsönös TLS (mTLS) kapcsolatok folyamatos támogatásának biztosítása érdekében a Cisco Webex Calling Dedicated Instance és az UCM Cloud környezetekben.

2027. február 1-jétől kezdődően a Google Chrome Trust programban részt vevő nyilvános hitelesítésszolgáltatók (CA-k) nem írnak alá olyan tanúsítványokat, amelyek tartalmazzák a klienshitelesítést (clientAuth) kiterjesztett kulcshasználatot (EKU).

2027. március 15-től a Google olyan szabályzatot lép életbe, amely előírja, hogy a Chrome Root Store-ban található nyilvános root hitelesítésszolgáltatók csak a kiszolgálóhitelesítési (serverAuth) EKU-t tartalmazó tanúsítványokat állítsanak ki. Ennek eredményeként a Chrome Root Store nyilvános root hitelesítésszolgáltatói a továbbiakban nem bocsáthatnak ki olyan tanúsítványokat, amelyek egyetlen tanúsítványban tartalmazzák a szerverhitelesítést és a klienshitelesítési EKU-kat.

A dedikált példányú UC-alkalmazások jelenleg olyan tanúsítványokat használnak, amelyek egyetlen tanúsítványon belül tartalmazzák mind a kiszolgálóhitelesítést, mind az ügyfélhitelesítési EKU-kat, hogy bizalmat létesítsenek az mTLS-kapcsolatok számára. A különálló szerver- és klienstanúsítványok támogatása várhatóan a 2026-ra tervezett v15SU5 UC alkalmazáskiadásban kerül bevezetésre.

Jelenleg a Dedicated Instance az IdenTrust Commercial Root CA 1-et használja, amely a Google Chrome Root Store része, ezen tanúsítványok aláírásához. A Chrome közelgő irányelvváltozása miatt azonban ez a hitelesítésszolgáltató 2027. február^{1 -}jétől kezdődően nem bocsáthat ki olyan tanúsítványokat, amelyek mindkét EKU-t egyetlen tanúsítványban tartalmazzák.

Érintett tanúsítványok

A következő UC alkalmazástanúsítványok nyilvános gyökér CA-val vannak aláírva, és általában mTLS-kapcsolatokhoz használatosak:

UC alkalmazás	Tanúsítvány típusa	Gyakori mTLS-kapcsolatok
Cisco Unified CM / KKV	Kandúr / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth MRA-n keresztül, távoli rendszernaplózás
	Híváskezelő / CallManager-ECDSA	SIP trunkok, csomópontok közötti és klaszterek közötti kapcsolatok
Cisco Unity Connection	Kandúr / Tomcat-ECDSA	SIP proxy, SIP trunkok
Cisco IM és Jelenlét	Kandúr / Tomcat-ECDSA	—
	csésze / kupa-ECDSA	Biztonságos SIP CUCM-mel, harmadik féltől származó kliensekkel és SIP Proxyval
	cup-xmpp / cup-xmpp-ECDSA	XMPP összevonás
Cisco Emergency Responder	Kandúr / Tomcat-ECDSA	—
Cisco gyorsforgalmi út	Szerver tanúsítvány	Mobil és távoli hozzáférés (MRA)

A tanúsítványokat ez nem érinti

A dedikált példányban található összes többi tanúsítvány önaláírt. További információkért lásd: Dedikált példány tanúsítványkezelés.

A Chrome-szabályzat változásának kezelése és az mTLS zavartalan működésének fenntartása érdekében a Cisco a következő intézkedéseket fogja tenni:

• 2026. június 1-jétőla Cisco az összes tanúsítványmegújítás esetében az IdenTrust Commercial Root CA 1-ről az IdenTrust Public Sector Root CA 1-re váltja a dedikált példány UC alkalmazástanúsítványainak aláírásához használt nyilvános root CA-t.

  A tanúsítvány megújítási folyamata változatlan marad, és a Control Hub Riasztási Központ a "Karbantartás és leállás" riasztáson keresztül értesíti az ügyfeleket, amikor a megújítás ütemezett. További információkért lásd: Karbantartási riasztások.

• A tanúsítványok továbbra is tartalmazni fogják mind a kiszolgáló-, mind a klienshitelesítési EKU-kat.

Az ügyfeleknek és a partnereknek a következő lépéseket kell végrehajtaniuk a szolgáltatások folyamatos kompatibilitásának biztosítása érdekében :

1. Aktuális mTLS-kapcsolatok naplózása
   1. Azonosítsa azokat a nyilvános TLS-tanúsítványokat, amelyek tartalmazzák az ügyfél-hitelesítési EKU-t.
   2. Ellenőrizze, hogy a csatlakozó alkalmazások megbíznak-e az új nyilvános legfelső szintű hitelesítésszolgáltatóban.
2. Új nyilvános legfelső szintű hitelesítésszolgáltató hozzáadása (ha szükséges)
   1. Ha az IdenTrust Public Sector Root CA 1 még nem megbízható a környezetében, akkor hozzá kell adni.
   2. A főtanúsítvány letölthető az IdenTrust nyilvános adattárból.

Az IdenTrust Public Sector Root CA 1 alapértelmezés szerint megbízható a következő operációs rendszerek és platformok szabványos megbízhatósági tárolóiban:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

Ennek eredményeként nincs szükség ügyfél beavatkozásra az ilyen platformokon alapértelmezett megbízható adattárolókat használó végpontok vagy rendszerek esetében, kivéve, ha a megbízható adattárolót kifejezetten módosították vagy korlátozták az ügyfélszabályzatok.

Android Trust áruházi megjegyzés

Az IdenTrust Public Sector Root CA 1 az Android rendszer CA tárolójában található, és alapértelmezés szerint megbízható a jelenleg támogatott Android verziókon. Az Android nem biztosít nyilvános, verzióspecifikus leképezést az egyes főtanúsítványok bevezetésének dátumaihoz. A bizalmat az Android rendszer CA áruházán keresztül kezelik, és az operációs rendszer frissítésein, valamint a Google Play rendszerfrissítésein keresztül terjesztik.

Nincs szükség ügyfél általi beavatkozásra, kivéve, ha az Android rendszer megbízhatósági tárolóját explicit módon módosították eszközházirendek, vállalati felügyeleti vezérlők vagy alkalmazásspecifikus megbízhatósági korlátozások.

Az IdenTrust Public Sector Root CA 1 nem része a Google Chrome Root Store-nak.

Annak érdekében, hogy a Google Chrome megbízzon a legfelső szintű hitelesítésszolgáltató által kiállított tanúsítványokban, az ügyfeleknek biztosítaniuk kell, hogy a legfelső szintű tanúsítvány kifejezetten megbízható legyen az operációs rendszer szintjén azokon a helyeken, amelyeket a Chrome a helyi bizalmi döntésekhez használ.

Windows – szükséges megbízhatósági konfiguráció

Annak érdekében, hogy a Google Chrome Windows rendszeren megbízhatónak tekintse a legfelső szintű hitelesítésszolgáltatót, az IdenTrust Public Sector Root CA 1-et importálni kell a következő helyek egyikére:

• Helyi számítógép → Megbízható legfelső szintű hitelesítésszolgáltatók

  (Vállalatilag felügyelt rendszerekhez ajánlott)

vagy

• Jelenlegi felhasználó → Megbízható legfelső szintű hitelesítésszolgáltatók

  (Felhasználói szintű bizalom esetén)

A Google Chrome megbízhatónak tekinti a Windows Tanúsítványimportáló varázslóval ezekre a helyekre (beleértve a csoportházirenden keresztül is) importált tanúsítványokat.

A csak a Windows harmadik fél által kínált root tanúsítványokat a Chrome nem tekinti automatikusan megbízhatónak, kivéve, ha azokat kifejezetten importálják a fent leírtak szerint.

Mac OS – szükséges megbízhatósági konfiguráció

Annak érdekében, hogy a Google Chrome macOS rendszeren megbízhatónak tekintse a legfelső szintű hitelesítésszolgáltatót, az IdenTrust Public Sector Root CA 1-et hozzá kell adni a macOS kulcstartóhoz, és explicit módon megbízhatónak kell tekinteni:

1. Importálja a tanúsítványt a rendszerkulcstartóba (ajánlott) vagy a bejelentkezési kulcstartóba

2. Nyisd meg a tanúsítványt, és állítsd be:

   • A tanúsítvány használatakor: Mindig bízz

     (vagy legalább SSL-lel: Mindig bízz!)

Miután a rendszer vagy a felhasználó szintjén megbízhatónak nyilvánították a tanúsítványt, a Google Chrome megbízhatóként fogja kezelni azt.

A rendszergazdák a következő helyre lépve ellenőrizhetik, hogy a Chrome mely platformtanúsítványokat tartja megbízhatónak: chrome://certificate-manager/localcerts/platformcerts

További információkért lásd a Google GYIK-et.

A harmadik féltől származó integrációk jelentik az elsődleges területet, ahol ügyfél-ellenőrzésre van szükség.

Bármely harmadik féltől származó alkalmazás vagy szolgáltatás esetében, amely mTLS-kapcsolatot létesít dedikált példányú UC-alkalmazásokkal, az ügyfeleknek a következőket kell tenniük:

• Annak ellenőrzése, hogy a harmadik féltől származó rendszer megbízik-e az IdenTrust Public Sector Root CA 1-ben
• Közvetlenül a külső szolgáltatóval dolgozhat együtt, ha a megbízható tároló frissítéseire vagy a hitelesítésszolgáltató módosításaira van szükség.

Az ügyfelek a következő IdenTrust teszttanúsítványelérésével ellenőrizhetik az új nyilvános legfelső szintű hitelesítésszolgáltató csatlakozását és megbízhatóságát.

Ha a tanúsítvány megbízhatósági figyelmeztetések nélkül nyílik meg, az IdenTrust Public Sector Root CA 1 már megbízható a környezetben.

Ha kérdése van ezzel a változással, a Google Chrome böngészőszabályzatával vagy a dedikált példány tanúsítványfrissítéseivel kapcsolatban, nyisson meg egy szolgáltatáskérést a Control Hubban az UC alkalmazás életciklusaalatt.

Az UCM Cloud (UCMC) ügyfeleinek, akik saját domainjükkel rendelkeznek és saját UC-alkalmazástanúsítványaik megújítását kezelik, és akik nem delegálták a domain jogosultságot a Cisco-nak az UC-alkalmazástanúsítványok aláírására, közvetlenül a választott nyilvános hitelesítésszolgáltatókkal kell együttműködniük a változás kezelése érdekében.

Ezeknek az ügyfeleknek a tanúsítványok használatával és a közelgő nyilvános hitelesítésszolgáltatói és böngészőszabályzat-változásokkal kapcsolatos javításokkal kapcsolatban is be kell tartaniuk az alkalmazandó UC alkalmazástermék ( Cisco helyszíni hívástermékek és Cisco Expressway) ajánlásait. További információkért lásd: Szerepkörök és felelősségek.

A Cisco továbbra is frissítéseket fog biztosítani, amint elérhetővé válik a különálló szerver- és klienstanúsítványok UC-alkalmazástámogatása. A legújabb frissítésekért tekintse meg ezt a dokumentumot.

Tanúsítvány EKU változásai: A Cisco On-premises Collaboration ügyfeleinek MOST KELL MEGTÉVEDNIE KELL ezeket a lépéseket