Niniejszym informujemy o nadchodzącej zmianie zasad przeglądarki Google Chrome, która będzie miała wpływ na wydawanie publicznych certyfikatów TLS, a także przedstawiamy działania, które firma Cisco podejmie w celu zapewnienia ciągłej obsługi połączeń TLS (mTLS) w środowiskach Cisco Webex Calling Dedicated Instance i UCM Cloud.

Począwszy od 1 lutego 2027 r. publiczne urzędy certyfikacji (CA) uczestniczące w programie Google Chrome Trust przestaną podpisywać certyfikaty zawierające rozszerzony klucz użycia (EKU) uwierzytelniania klienta (clientAuth).

Od 15 marca 2027 r. firma Google zacznie egzekwować politykę wymagającą, aby publiczne główne urzędy certyfikacji w sklepie Chrome Root Store wystawiały certyfikaty zawierające wyłącznie EKU uwierzytelniania serwera (serverAuth). W rezultacie publiczne główne urzędy certyfikacji w sklepie Chrome Root Store nie będą już mogły wystawiać certyfikatów łączących w jednym certyfikacie kody EKU uwierzytelniania serwera i uwierzytelniania klienta.

Aplikacje UC o dedykowanej instancji obecnie korzystają z certyfikatów obejmujących zarówno uwierzytelnianie serwera, jak i uwierzytelnianie klienta w ramach jednego certyfikatu, co umożliwia ustanowienie zaufania dla połączeń mTLS. Obsługę oddzielnych certyfikatów serwera i klienta planuje się wprowadzić w wersji aplikacji UC v15SU5, której wydanie planowane jest na koniec 2026 roku.

Obecnie Dedicated Instance korzysta z IdenTrust Commercial Root CA 1, będącego częścią Google Chrome Root Store, w celu podpisywania tych certyfikatów. Jednak ze względu na nadchodzącą zmianę polityki Chrome, ten urząd certyfikacji nie będzie już mógł wystawiać certyfikatów zawierających oba EKU w jednym certyfikacie od 1 lutego2027 r.

Certyfikaty objęte wpływem

Następujące certyfikaty aplikacji UC są podpisywane przy użyciu publicznego głównego urzędu certyfikacji i są powszechnie używane w przypadku połączeń mTLS:

Aplikacja UC	Typ certyfikatu	Typowe połączenia mTLS
Cisco Unified CM / MŚP	Kocur / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth przez MRA, zdalny Syslog
	Menedżer połączeń / CallManager-ECDSA	Połączenia międzywęzłowe i międzyklastrowe SIP Trunks
Cisco Unity Connection	Kocur / Tomcat-ECDSA	Serwer proxy SIP, łącza SIP
Cisco IM i Presence	Kocur / Tomcat-ECDSA	—
	filiżanka / kubek-ECDSA	Bezpieczny protokół SIP z CUCM, klientami zewnętrznymi i serwerem proxy SIP
	kubek-xmpp / kubek-xmpp-ECDSA	Federacja XMPP
Cisco Emergency Responder	Kocur / Tomcat-ECDSA	—
Cisco Expressway	Certyfikat serwera	Dostęp mobilny i zdalny (MRA)

Certyfikaty nie są objęte wpływem

Wszystkie pozostałe certyfikaty w instancji dedykowanej są podpisane samodzielnie. Aby uzyskać dodatkowe informacje, zobacz Zarządzanie certyfikatami instancji dedykowanych.

Aby uwzględnić zmianę zasad przeglądarki Chrome i zachować nieprzerwaną funkcjonalność mTLS, firma Cisco podejmie następujące działania:

• Z dniem^{1 czerwca}2026 r.firma Cisco zmieni publiczny główny urząd certyfikacji używany do podpisywania certyfikatów aplikacji UC instancji dedykowanych z IdenTrust Commercial Root CA 1 na IdenTrust Public Sector Root CA 1 w przypadku wszystkich odnowień certyfikatów.

  Proces odnawiania certyfikatu pozostaje taki sam, a Centrum alertów Control Hub powiadamia klientów za pomocą alertu „Konserwacja i awaria” o planowanym odnowieniu. Aby uzyskać więcej informacji, zobacz Alerty konserwacyjne.

• Certyfikaty nadal będą obejmować zarówno jednostki EKU uwierzytelniania serwera, jak i klienta.

Klienci i partnerzy muszą wykonać następujące czynności, aby zapewnić ciągłą zgodność usług :

1. Audyt bieżących połączeń mTLS
   1. Zidentyfikuj publiczne certyfikaty TLS zawierające kod EKU uwierzytelniania klienta.
   2. Sprawdź, czy łączące się aplikacje ufają nowemu publicznemu głównemu urzędowi certyfikacji.
2. Dodaj nowy publiczny główny urząd certyfikacji (jeśli jest to wymagane)
   1. Jeśli urząd certyfikacji sektora publicznego IdenTrust Public Sector Root CA 1 nie jest jeszcze zaufany w Twoim środowisku, należy go dodać.
   2. Certyfikat główny można pobrać z publicznego repozytorium IdenTrust.

Główny urząd certyfikacji sektora publicznego IdenTrust 1 jest domyślnie zaufany w standardowych magazynach zaufanych certyfikatów dla następujących systemów operacyjnych i platform:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

W rezultacie nie jest wymagane żadne działanie ze strony klienta w przypadku punktów końcowych lub systemów korzystających z domyślnych magazynów zaufania na tych platformach, chyba że magazyn zaufania został wyraźnie zmodyfikowany lub ograniczony przez politykę klienta.

Uwaga dotycząca sklepu z zaufanymi informacjami w systemie Android

Główny urząd certyfikacji sektora publicznego IdenTrust Public Sector Root CA 1 jest zawarty w magazynie urzędów certyfikacji systemu Android i domyślnie jest zaufany w aktualnie obsługiwanych wersjach Androida. System Android nie udostępnia publicznego, specyficznego dla wersji mapowania dat wprowadzenia poszczególnych certyfikatów głównych. Zaufanie jest zarządzane za pośrednictwem sklepu CA systemu Android i rozpowszechniane za pośrednictwem aktualizacji systemu operacyjnego i aktualizacji systemu Google Play.

Nie jest wymagane żadne działanie ze strony klienta, chyba że magazyn zaufanych informacji w systemie Android został wyraźnie zmodyfikowany przez zasady dotyczące urządzeń, mechanizmy zarządzania przedsiębiorstwem lub ograniczenia zaufania specyficzne dla aplikacji.

Główny urząd certyfikacji sektora publicznego IdenTrust nie jest dostępny w sklepie Google Chrome Root Store.

Aby mieć pewność, że przeglądarka Google Chrome ufa certyfikatom wydanym pod tym głównym urzędem certyfikacji, klienci muszą wyraźnie upewnić się, że certyfikat główny jest zaufany na poziomie systemu operacyjnego w lokalizacjach, które przeglądarka wykorzystuje do lokalnych decyzji o zaufaniu.

Windows – wymagana konfiguracja zaufania

Aby mieć pewność, że główny urząd certyfikacji jest zaufany przez przeglądarkę Google Chrome w systemie Windows, główny urząd certyfikacji sektora publicznego IdenTrust musi zostać zaimportowany do jednej z następujących lokalizacji:

• Komputer lokalny → Zaufane główne urzędy certyfikacji

  (Zalecane dla systemów zarządzanych przez przedsiębiorstwa)

lub

• Aktualny użytkownik → Zaufane główne urzędy certyfikacji

  (W celu zapewnienia zaufania na poziomie użytkownika)

Certyfikaty zaimportowane do tych lokalizacji za pomocą Kreatora importu certyfikatów systemu Windows (w tym za pośrednictwem zasad grupy) są uznawane za zaufane przez przeglądarkę Google Chrome.

Certyfikaty główne istniejące wyłącznie w środowisku Windows Third-Party nie są automatycznie uznawane za zaufane przez przeglądarkę Chrome, chyba że zostaną jawnie zaimportowane w sposób opisany powyżej.

Mac OS – wymagana konfiguracja zaufania

Aby mieć pewność, że główny urząd certyfikacji jest zaufany przez przeglądarkę Google Chrome w systemie macOS, należy dodać główny urząd certyfikacji sektora publicznego IdenTrust do pęku kluczy systemu macOS i wyraźnie określić go jako zaufany:

1. Zaimportuj certyfikat do pęku kluczy systemowych (zalecane) lub pęku kluczy logowania

2. Otwórz certyfikat i ustaw:

   • Podczas korzystania z tego certyfikatu: Zawsze ufaj

     (lub co najmniej SSL: Zawsze ufaj)

Po uzyskaniu zaufania na poziomie systemu lub użytkownika przeglądarka Google Chrome będzie uznawać certyfikat za zaufany.

Administratorzy mogą sprawdzić, które certyfikaty platformy są zaufane w przeglądarce Chrome, przechodząc do: chrome://certificate-manager/localcerts/platformcerts

Więcej informacji znajdziesz w FAQ Google.

Integracje z rozwiązaniami stron trzecich stanowią główny obszar wymagający zatwierdzenia przez klienta.

W przypadku aplikacji lub usług innych firm, które nawiązują połączenia mTLS z aplikacjami UC w ramach dedykowanej instancji, klienci muszą:

• Sprawdź, czy system zewnętrzny ufa urzędowi certyfikacji sektora publicznego IdenTrust Root CA 1
• Jeśli wymagane są aktualizacje magazynu zaufanych certyfikatów lub zmiany w urzędzie certyfikacji, współpracuj bezpośrednio z zewnętrznym dostawcą

Klienci mogą sprawdzić łączność i zaufanie dla nowego publicznego głównego urzędu certyfikacji, uzyskując dostęp do następującego certyfikatu testowego IdenTrust.

Jeśli ten certyfikat zostanie otwarty pomyślnie bez ostrzeżeń o zaufaniu, urząd certyfikacji głównego sektora publicznego IdenTrust 1 jest już zaufany w tym środowisku.

Jeśli masz pytania dotyczące tej zmiany, zasad przeglądarki Google Chrome lub aktualizacji certyfikatów w instancji dedykowanej, otwórz żądanie usługi w Centrum sterowania w obszarze Cykl życia aplikacji UC.

Klienci UCM Cloud (UCMC), którzy są właścicielami swoich domen i sami zarządzają odnawianiem certyfikatów aplikacji UC, a nie przekazali firmie Cisco uprawnień do podpisywania certyfikatów aplikacji UC, będą musieli współpracować bezpośrednio z wybranymi przez siebie publicznymi urzędami certyfikacji, aby wdrożyć tę zmianę.

Klienci powinni również stosować się do zaleceń dotyczących korzystania z certyfikatów i działań naprawczych związanych z nadchodzącymi zmianami w polityce publicznej urzędu certyfikacji i przeglądarki, wydanych przez odpowiednie produkty aplikacji UC ( produkty Cisco do połączeń lokalnych i Cisco Expressway). Aby uzyskać więcej informacji, zobacz Role i obowiązki.

Firma Cisco będzie nadal udostępniać aktualizacje w miarę jak obsługa aplikacji UC dla oddzielnych certyfikatów serwera i klienta będzie dostępna. Najnowsze aktualizacje znajdziesz w tym dokumencie.

Zmiany w certyfikacie EKU: Działania, które klienci korzystający z rozwiązania Cisco On-premises Collaboration MUSZĄ PODJĄĆ TERAZ