これは、公開TLS証明書の発行に影響を与えるGoogle Chromeブラウザのポリシー変更が近日中に行われることをお知らせするとともに、 Cisco Webex Calling Dedicated InstanceおよびUCM Cloud環境における相互TLS（mTLS）接続の継続的なサポートを確保するためにCiscoが講じる措置の概要を説明するものです。

2027年2月1日より、Google Chrome Trustプログラムに含まれる^{公開認証局（CA）は、クライアント認証（clientAuth）拡張キー使用法（EKU）を含む証明書の署名を停止します。}

2027年 3 月^{15日より、Google は Chrome ルート ストアのパブリック ルート CA がサーバー認証 (serverAuth) EKU のみを含む証明書を発行することを義務付けるポリシーを施行します。その結果、Chromeルートストアのパブリックルート認証局は、サーバー認証とクライアント認証の両方の拡張鍵使用法（EKU）を1つの証明書に組み合わせた証明書を発行することができなくなります。}

専用インスタンスのUCアプリケーションは現在、mTLS接続の信頼を確立するために、単一の証明書内にサーバー認証とクライアント認証の両方の拡張コンテンツ単位（EKU）を含む証明書を使用しています。サーバー証明書とクライアント証明書を別々にサポートする機能は、2026年後半に予定されているUCアプリケーションリリースv15SU5で導入される見込みです。

現在、Dedicated Instanceは、Google Chromeルートストアの一部であるIdenTrust Commercial Root CA 1を使用してこれらの証明書に署名しています。しかし、Chromeのポリシー変更に伴い、この認証局は2027年2月1日以降、^{1つの証明書に両方の}拡張ライセンスキー（EKU）を含む証明書を発行することができなくなります。

影響を受ける証明書

以下のUCアプリケーション証明書は、公開ルートCAを使用して署名されており、mTLS接続で一般的に使用されます。

UC申請	証明書の種類	一般的なmTLS接続
Cisco Unified CM / 中小企業	トムキャット / Tomcat-ECDSA	LDAP、Filebeat、Logstash、MRA経由のSIP OAuth、リモートSyslog
	コールマネージャー / CallManager-ECDSA	SIPトランク、ノード間接続、クラスタ間接続
Cisco Unity Connection	トムキャット / Tomcat-ECDSA	SIPプロキシ、SIPトランク
Cisco IM プレゼンス	トムキャット / Tomcat-ECDSA	—
	カップ / カップECDSA	CUCM、サードパーティクライアント、SIPプロキシを使用してSIPを安全に保護する
	カップXMPP / cup-xmpp-ECDSA	XMPP 連携
Cisco Emergency Responder	トムキャット / Tomcat-ECDSA	—
Cisco Expressway	サーバー証明書	モバイルおよびリモート アクセス (MRA)

証明書には影響なし

専用インスタンス内の残りの証明書はすべて自己署名証明書です。詳細については、 専用インスタンス証明書の管理を参照してください。

Chromeのポリシー変更に対応し、mTLS機能を中断なく維持するために、シスコは以下の措置を講じます。

• 2026年6月1日より、シスコは、専用インスタンスUCアプリケーション証明書の署名に使用されるパブリックルートCAを、すべての証明書更新において、IdenTrust Commercial Root CA 1から IdenTrust Public Sector Root CA 1に切り替えます。

  証明書の更新プロセスは変更ありません。更新が予定されている場合、コントロールハブアラートセンターは「メンテナンスと停止」アラートを通じて顧客に通知します。詳細については、 メンテナンスアラートを参照してください。

• 証明書には、引き続きサーバー認証とクライアント認証の両方の拡張使用権限（EKU）が含まれます。

お客様およびパートナーは、サービスの互換性を継続的に確保するために、以下の手順を完了する必要があります。 :

1. 現在のmTLS接続を監査する
   1. クライアント認証拡張利用単位（EKU）を含む公開TLS証明書を特定します。
   2. 接続するアプリケーションが新しいパブリックルートCAを信頼しているかどうかを確認します。
2. 必要に応じて、新しいパブリックルートCAを追加します。
   1. お使いの環境で IdenTrust Public Sector Root CA 1 がまだ信頼されていない場合は、追加する必要があります。
   2. ルート証明書は 、 IdenTrust 公開リポジトリからダウンロードできます。

IdenTrust Public Sector Root CA 1 は、以下のオペレーティングシステムおよびプラットフォームの標準トラストストアにおいて、デフォルトで信頼されています。

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

その結果、これらのプラットフォーム上でデフォルトのトラストストアを使用しているエンドポイントまたはシステムについては、トラストストアが顧客ポリシーによって明示的に変更または制限されていない限り、顧客による対応は不要です。

Androidの信頼ストアに関する注意

IdenTrust Public Sector Root CA 1は、AndroidシステムのCAストアに含まれており、現在サポートされているAndroidバージョンではデフォルトで信頼されています。Androidは、個々のルート証明書の導入日に関する、バージョン固有の公開マッピングを提供していません。信頼性はAndroidシステムのCAストアを通じて管理され、オペレーティングシステムのアップデートおよびGoogle Playシステムのアップデートを通じて配布されます。

デバイスポリシー、企業管理制御、またはアプリケーション固有の信頼制限によってAndroidシステムの信頼ストアが明示的に変更されていない限り、お客様による操作は必要ありません。

IdenTrust Public Sector Root CA 1 は、Google Chrome のルート ストアには含まれていません。

Google Chromeがこのルート認証局の下で発行された証明書を信頼するようにするには、顧客は、Chromeがローカルの信頼判断を行う際に使用する場所で、ルート証明書がオペレーティングシステムレベルで明示的に信頼されていることを確認する必要があります。

Windows – 必要な信頼構成

Windows版Google ChromeでルートCAが信頼されるようにするには、IdenTrust Public Sector Root CA 1を以下のいずれかの場所にインポートする必要があります。

• ローカルコンピュータ → 信頼されたルート証明機関

  （企業管理システム向けに推奨）

または

• 現在のユーザー → 信頼されたルート証明機関

  （ユーザーレベルの信頼度について）

Windows証明書インポートウィザードを使用してこれらの場所にインポートされた証明書（グループポリシー経由のものを含む）は、Google Chromeによって信頼されます。

Windowsのサードパーティにのみ存在するルート証明書は、上記のように明示的にインポートしない限り、Chromeによって自動的に信頼されません。

Mac OS – 必要な信頼設定

macOS 上の Google Chrome がルート CA を信頼するようにするには、IdenTrust Public Sector Root CA 1 を macOS キーチェーンに追加し、明示的に信頼する必要があります。

1. 証明書をシステムキーチェーン（推奨）またはログインキーチェーンにインポートしてください。

2. 証明書を開いて設定します。

   • この証明書を使用する場合：常に信頼する

     （または最低限、SSL: 常に信頼する）

システムレベルまたはユーザーレベルで信頼されると、Google Chrome はその証明書を信頼できるものとして扱います。

管理者は、以下の場所に移動することで、Chrome が信頼しているプラットフォーム証明書を確認できます。chrome://certificate-manager/localcerts/platformcerts

詳細については、 Google FAQを参照してください。

サードパーティとの連携は、顧客による検証が必要となる主要な領域である。

専用インスタンスUCアプリケーションとmTLS接続を確立するサードパーティ製アプリケーションまたはサービスの場合、お客様は以下の事項を遵守する必要があります。

• サードパーティシステムがIdenTrust Public Sector Root CA 1を信頼していることを検証します。
• トラストストアの更新や認証局の変更が必要な場合は、サードパーティベンダーと直接連携してください。

お客様は、次の IdenTrustテスト証明書にアクセスすることで、新しいパブリックルートCAの接続性と信頼性を検証できます。

この証明書が信頼に関する警告なしに正常に開かれた場合、IdenTrust Public Sector Root CA 1 は既にその環境内で信頼されています。

この変更、Google Chrome ブラウザ ポリシー、または専用インスタンスの証明書の更新について質問がある場合は、コントロール ハブの UC アプリケーション ライフサイクルでサービス リクエストを開いてください。

UCM Cloud (UCMC) のお客様で、ドメインを所有し、UC アプリケーション証明書の更新を独自に管理しており、UC アプリケーション証明書の署名に関するドメイン権限をシスコに委任していないお客様は、この変更に対応するため、選択した公開認証局と直接連携していただく必要があります。

これらの顧客は、今後のパブリック CA およびブラウザー ポリシーの変更に関連する証明書の使用と修復に関して、該当する UC アプリケーション製品 ( Cisco オンプレミス通話製品 および Cisco Expressway) の推奨事項にも従う必要があります。詳細については、 役割と責任を参照してください。

シスコは、サーバー証明書とクライアント証明書を個別にサポートするUCアプリケーションが利用可能になり次第、引き続きアップデート情報を提供していきます。最新の情報については、この文書を参照してください。

EKU証明書の変更点：Ciscoオンプレミスコラボレーションのお客様が今すぐ取るべき行動