Dette er for å informere deg om en kommende endring i Google Chrome-nettleserens retningslinjer som påvirker utstedelsen av offentlige TLS-sertifikater, og for å skissere tiltakene Cisco vil iverksette for å sikre fortsatt støtte for gjensidige TLS-tilkoblinger (mTLS) i Cisco Webex Calling Dedicated Instance og UCM Cloud-miljøer.

Fra og med 1. februar 2027 vil offentlige sertifiseringsinstanser (CA-er) som er inkludert i Google Chromes tillitsprogram, slutte å signere sertifikater som inkluderer klientgodkjenning (clientAuth) utvidet nøkkelbruk (EKU).

Fra og med 15. mars 2027 vil Google håndheve en policy som krever at offentlige rot-CA-er i Chrome Root Store utsteder sertifikater som kun inneholder serverautentiserings-EKUen (serverAuth). Som et resultat av dette vil offentlige rot-CA-er i Chrome Root Store ikke lenger ha tillatelse til å utstede sertifikater som kombinerer både serverautentisering og klientautentiserings-EKU-er i ett enkelt sertifikat.

Dedikerte instans-UC-applikasjoner bruker for tiden sertifikater som inkluderer både servergodkjenning og klientgodkjenning EKU-er i ett enkelt sertifikat for å etablere tillit for mTLS-tilkoblinger. Støtte for separate server- og klientsertifikater forventes å bli introdusert med UC-applikasjonsversjonen v15SU5, som er planlagt til senere i 2026.

For øyeblikket bruker Dedicated Instance IdenTrust Commercial Root CA 1, en del av Google Chrome Root Store, til å signere disse sertifikatene. På grunn av den kommende endringen i Chrome-retningslinjene, vil imidlertid denne CA-en ikke lenger ha tillatelse til å utstede sertifikater som inneholder begge EKU-ene i ett enkelt sertifikat fra 1. februar2027.

Sertifikater berørt

Følgende UC-applikasjonssertifikater signeres med en offentlig rot-CA og brukes ofte for mTLS-tilkoblinger:

UC-søknad	Sertifikattype	Vanlige mTLS-tilkoblinger
Cisco Unified CM / SMB	Katt / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth over MRA, ekstern syslogg
	Samtalebehandler / CallManager-ECDSA	SIP-trunker, tilkoblinger mellom noder og klynger
Cisco Unity-tilkobling	Katt / Tomcat-ECDSA	SIP-proxy, SIP-trunker
Cisco IM og Presence	Katt / Tomcat-ECDSA	—
	kopp / kopp-ECDSA	Sikker SIP med CUCM, tredjepartsklienter, SIP-proxy
	cup-xmpp / cup-xmpp-ECDSA	XMPP-føderasjonen
Cisco-nødberedskapstjeneste	Katt / Tomcat-ECDSA	—
Cisco Expressway	Serversertifikat	Mobil og fjerntilgang (MRA)

Sertifikater påvirkes ikke

Alle gjenværende sertifikater i Dedikert instans er selvsignerte. Hvis du vil ha mer informasjon, kan du se Sertifikatadministrasjon for dedikerte instanser.

For å håndtere endringen i Chrome-policyen og opprettholde uavbrutt mTLS-funksjonalitet, vil Cisco iverksette følgende tiltak:

• Fra og med 1. juni2026vil Cisco bytte den offentlige rot-CA-en som brukes til å signere sertifikater for dedikerte instanser av UC-applikasjoner fra IdenTrust Commercial Root CA 1 til IdenTrust Public Sector Root CA 1 for alle sertifikatfornyelser.

  Prosessen for sertifikatfornyelse forblir den samme, og Control Hub Alerts Center varsler kunder via varselet «Vedlikehold og driftsstans» når fornyelsen er planlagt. For mer informasjon, se Vedlikeholdsvarsler.

• Sertifikater vil fortsette å inkludere både server- og klientgodkjennings-EKUer.

Kunder og partnere må fullføre følgende handlinger for å sikre fortsatt tjenestekompatibilitet :

1. Overvåk gjeldende mTLS-tilkoblinger
   1. Identifiser offentlige TLS-sertifikater som inkluderer klientgodkjennings-EKU.
   2. Kontroller om de tilkoblede applikasjonene stoler på den nye offentlige rot-CA-en.
2. Legg til den nye offentlige rot-CA-en (hvis nødvendig)
   1. Hvis IdenTrust Public Sector Root CA 1 ikke allerede er klarert i miljøet ditt, må den legges til.
   2. Rotsertifikatet kan lastes ned fra det offentlige IdenTrust-arkivet.

IdenTrust Public Sector Root CA 1 er som standard klarert i standard klareringslagre for følgende operativsystemer og plattformer:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

Som et resultat kreves det ingen kundehandling for endepunkter eller systemer som bruker standard tillitslager på disse plattformene, med mindre tillitslageret er eksplisitt endret eller begrenset av kundepolicyen.

Android Trust Store-notat

IdenTrust Public Sector Root CA 1 er inkludert i Android-systemets CA-lager og er som standard klarert på Android-versjoner som støttes for øyeblikket. Android tilbyr ikke en offentlig, versjonsspesifikk kartlegging for introduksjonsdatoer for individuelle rotsertifikater. Tillit administreres gjennom Android-systemets CA-butikk og distribueres via operativsystemoppdateringer og Google Play-systemoppdateringer.

Ingen kundehandling er nødvendig med mindre Android-systemets tillitslager eksplisitt er endret av enhetspolicy, kontroller for bedriftsadministrasjon eller applikasjonsspesifikke tillitsbegrensninger.

IdenTrust Public Sector Root CA 1 er ikke inkludert i Google Chrome Root Store.

For å sikre at Google Chrome stoler på sertifikater utstedt under denne rot-CA-en, må kunder sørge for at rotsertifikatet er eksplisitt klarert på operativsystemnivå på steder som Chrome bruker for lokale tillitsbeslutninger.

Windows – nødvendig klareringskonfigurasjon

For å sikre at rot-CA-en er klarert av Google Chrome på Windows, må IdenTrust Public Sector Root CA 1 importeres til en av følgende steder:

• Lokal datamaskin → Klarerte rotsertifiseringsinstanser

  (Anbefales for bedriftsstyrte systemer)

eller

• Nåværende bruker → Klarerte rotsertifiseringsinstanser

  (For tillit på brukernivå)

Sertifikater som importeres ved hjelp av Windows-veiviseren for sertifikatimport til disse stedene (inkludert via gruppepolicy), er klarert av Google Chrome.

Rotsertifikater som bare finnes i Windows-tredjepartsleverandøren, er ikke automatisk klarerte av Chrome med mindre de eksplisitt importeres som beskrevet ovenfor.

Mac OS – obligatorisk tillitskonfigurasjon

For å sikre at rot-CA-en er klarert av Google Chrome på macOS, må IdenTrust Public Sector Root CA 1 legges til macOS-nøkkelringen og eksplisitt klareres:

1. Importer sertifikatet til systemnøkkelringen (anbefales) eller påloggingsnøkkelringen

2. Åpne sertifikatet og angi:

   • Når du bruker dette sertifikatet: Stol alltid på

     (eller i det minste SSL: Alltid stole på)

Når sertifikatet er klarert på system- eller brukernivå, vil Google Chrome respektere det som klarert.

Administratorer kan bekrefte hvilke plattformsertifikater som er klarert av Chrome ved å gå til: chrome://certificate-manager/localcerts/platformcerts

For mer informasjon, se Google FAQ.

Tredjepartsintegrasjoner representerer det primære området som krever kundevalidering.

For tredjepartsapplikasjoner eller -tjenester som oppretter mTLS-tilkoblinger med UC-applikasjoner for dedikerte instanser, må kunder:

• Valider at tredjepartssystemet stoler på IdenTrust Public Sector Root CA 1
• Jobb direkte med tredjepartsleverandøren hvis det er behov for oppdateringer av tillitslageret eller endringer i CA

Kunder kan validere tilkobling og tillit for den nye offentlige rot-CA-en ved å få tilgang til følgende IdenTrust-testsertifikat.

Hvis dette sertifikatet åpnes uten klareringsadvarsler, er IdenTrust Public Sector Root CA 1 allerede klarert i miljøet.

Hvis du har spørsmål angående denne endringen, Google Chrome-nettleserpolicyen eller sertifikatoppdateringer i Dedikert instans, åpner du en tjenesteforespørsel i Kontrollhub under UC-applikasjonslivssyklus.

UCM Cloud (UCMC)-kunder som eier sitt eget domene og administrerer sine egne fornyelser av UC-applikasjonssertifikater, og som ikke har delegert domenemyndighet til Cisco for signering av UC-applikasjonssertifikater, vil være ansvarlige for å samarbeide direkte med sine valgte offentlige sertifiseringsinstanser for å håndtere denne endringen.

Disse kundene bør også følge anbefalingene fra gjeldende UC-applikasjonsprodukt ( Cisco on-prem calling products og Cisco Expressway) angående sertifikatbruk og utbedring knyttet til kommende endringer i offentlige sertifiseringsinstanser og nettleserpolicyer. Hvis du vil ha mer informasjon, kan du se Roller og ansvar.

Cisco vil fortsette å tilby oppdateringer etter hvert som støtte for separate server- og klientsertifikater for UC-applikasjoner blir tilgjengelig. Se dette dokumentet for de siste oppdateringene.

Endringer i sertifikat-EKU: Handlinger som Cisco On-Premises Collaboration-kunder MÅ GJØRE NÅ