Ovo je da vas obavestimo o predstojećoj promeni politike pretraživača Google Chrome-a koja utiče na izdavanje javnih TLS sertifikata i da opišemo akcije koje će Cisco preduzeti kako bi osigurao kontinuiranu podršku za međusobne TLS (mTLS) veze u Cisco Vebek Calling Dedicated Instance i UCM Cloud okruženjima.

Počevši od 1. februara 2027. godine, javne vlasti za sertifikate (CA) uključene u program Google Chrome Trust prestaće da potpisuju sertifikate koji uključuju proširenu upotrebu ključa za autentifikaciju klijenta (clientAuth).

Od 15^{. marta} 2027. godine, Google će primeniti politiku koja zahteva da javni korenski CA u Chrome Root Store-u izdaju sertifikate koji sadrže samo EKU za autentifikaciju servera (serverAuth). Kao rezultat toga, Public Root CA u Chrome Root prodavnici više neće biti dozvoljeno da izdaju sertifikate koji kombinuju EKU za autentifikaciju servera i autentifikaciju klijenta u jednom sertifikatu.

Dedicated Instance UC aplikacije trenutno koriste sertifikate koji uključuju i autentifikaciju servera i EKU za autentifikaciju klijenta unutar jednog sertifikata kako bi uspostavili poverenje za mTLS veze. Očekuje se da će podrška za odvojene serverske i klijentske sertifikate biti uvedena sa izdanjem UC aplikacije vKSNUMKSSUKSNUMKS, planiranim za kasnije u KSNUMKS-u.

Trenutno, Dedicated Instance koristi IdenTrust Commercial Root CA KSNUMKS, deo Google Chrome Root Store-a, za potpisivanje ovih sertifikata. Međutim, zbog predstojeće promene politike Chrome-a, ovom CA više neće biti dozvoljeno da izdaje sertifikate koji sadrže oba EKU-a u jednom sertifikatu počevši od 1^{. februara} 2027. godine.

Sertifikati pod uticajem

Sledeći sertifikati UC aplikacija potpisuju se pomoću javnog korenskog CA i obično se koriste za mTLS veze:

UC aplikacija	Tip sertifikata	Zajedničke mTLS veze
Cisco Unified CM / MSP	Tomcat / Tomcat-ECDSA	LDAP, Filebeat, Logstash, SIP OAuth preko MRA, Daljinski Sislog
	CallManager / CallManager-ECDSA	SIP Trunks, Inter-node i Inter-cluster veze
Cisco Unity Connection	Tomcat / Tomcat-ECDSA	SIP punomoćnik, SIP Trunks
Cisco IM i Presence	Tomcat / Tomcat-ECDSA	—
	Kup / Kup-ECDSA	Sigurna SIP sa CUCM, nezavisnih klijenata, SIP Proki
	cup-xmpp / cup-xmpp-ECDSA	XMPP spoljni pristup
Cisco Emergency Responder	Tomcat / Tomcat-ECDSA	—
Cisco Expressway	Sertifikat servera	Mobilni i daljinski pristup (MRA)

Sertifikati nisu pogođeni

Svi preostali sertifikati u namenskoj instanci su samopotpisani. Za dodatne informacije, pogledajte Upravljanje sertifikatima namenske instance.

Da bi se pozabavio promenom politike Chrome-a i održao neprekidnu funkcionalnost mTLS-a, Cisco će preduzeti sledeće mere:

• Od 1. juna 2026. godine, Cisco će prebaciti Public Root CA koji se koristi za potpisivanje Dedicated Instance UC aplikativnih sertifikata iz IdenTrust Commercial Root CA 1 u IdenTrust Public Sector Root CA 1 za sve obnove sertifikata.

  Proces obnavljanja sertifikata ostaje isti, a Control Hub Alerts Center obaveštava kupce putem upozorenja "Održavanje i prekid" kada je zakazana obnova. Za više informacija, pogledajte Upozorenja o održavanju.

• Sertifikati će i dalje uključivati EKU za autentifikaciju servera i klijenta.

Kupci i partneri moraju da završe sledeće radnje kako bi se osigurala kontinuirana kompatibilnost usluga:

1. Revizija trenutnih mTLS veza
   1. Identifikujte javne TLS sertifikate koji uključuju EKU za autentifikaciju klijenta.
   2. Proverite da li aplikacije za povezivanje veruju novom javnom korenu CA.
2. Dodajte novi javni koren CA (ako je potrebno)
   1. Ako IdenTrust Public Sector Root CA 1 već nije pouzdan u vašem okruženju, mora se dodati.
   2. Koren sertifikat može da se preuzme iz IdenTrust javnog spremišta.

IdenTrust Public Sector Root CA 1 se podrazumevano veruje u standardnim prodavnicama poverenja za sledeće operativne sisteme i platforme:

• Vikipedija: Vikipedija
• macOS
• iOS / iPadOS
• Android

Kao rezultat toga, nije potrebna nikakva akcija kupca za krajnje tačke ili sisteme koji koriste podrazumevane prodavnice poverenja na ovim platformama, osim ako je prodavnica poverenja eksplicitno modifikovana ili ograničena politikom korisnika.

Android poverenje prodavnica napomena

IdenTrust Public Sector Root CA KSNUMKS je uključen u prodavnicu Android sistema CA i podrazumevano mu se veruje na trenutno podržanim verzijama Android-a. Android ne obezbeđuje javno, specifično za verziju mapiranje za pojedinačne datume uvođenja koren sertifikata. Poverenje se upravlja preko Android sistema CA prodavnice i distribuira preko ažuriranja operativnog sistema i ažuriranja Google Plai sistema.

Nije potrebna nikakva akcija kupca, osim ako prodavnica poverenja Android sistema nije eksplicitno modifikovana politikom uređaja, kontrolama upravljanja preduzećem ili ograničenjima poverenja specifičnim za aplikacije.

IdenTrust Public Sector Root CA 1 nije uključen u Google Chrome Root Store.

Da bi se osiguralo da Google Chrome veruje sertifikatima izdatim pod ovim korenskim CA, korisnici moraju da obezbede da je root sertifikat eksplicitno pouzdan na nivou operativnog sistema na lokacijama koje Chrome koristi za lokalne odluke o poverenju.

Windows – potrebna konfiguracija poverenja

Da bi se osiguralo da koren CA veruje Google Chrome u operativnom sistemu Vindovs, IdenTrust Public Sector Root CA 1 mora biti uvezen na jednu od sledećih lokacija:

• Lokalni računar → pouzdanim autoritetima za sertifikaciju korena

  (Preporučuje se za sisteme kojima upravljaju preduzeća)

ili

• Trenutni korisnik → pouzdanim autoritetom za sertifikaciju korena

  (Za poverenje na nivou korisnika)

Sertifikati uvezeni pomoću čarobnjaka za uvoz sertifikata u operativnom sistemu Vindovs na ove lokacije (uključujući i preko grupne politike) veruju Google Chrome-u.

Root sertifikati koji postoje samo u operativnom sistemu Vindovs treće strane nisu automatski povereni od strane Chrome-a, osim ako su eksplicitno uvezeni kao što je gore opisano.

Mac OS – potrebna konfiguracija poverenja

Da bi se osiguralo da Google Chrome na macOS-u veruje root CA, IdenTrust Public Sector Root CA 1 mora se dodati u macOS Keichain i eksplicitno verovati:

1. Uvezite sertifikat u sistem brelok (preporučeno) ili Prijava privezak za ključeve

2. Otvorite sertifikat i podesite:

   • Kada koristite ovaj sertifikat: Uvek poverenje

     (ili najmanje, SSL: Uvek verujte)

Kada se veruje na nivou sistema ili korisnika, Google Chrome će poštovati sertifikat kao pouzdan.

Administratori mogu da potvrde koje sertifikate platforme Chrome veruje tako što će preći na: chrome://certificate-manager/localcerts/platformcerts

Za više informacija, pogledajte Google FAK.

Integracije nezavisnih proizvođača predstavljaju primarnu oblast koja zahteva validaciju kupca.

Za sve aplikacije ili usluge nezavisnih proizvođača koje uspostavljaju mTLS veze sa Dedicated Instance UC aplikacijama, korisnici moraju:

• Potvrdite da sistem treće strane veruje IdenTrust Public Sector Root CA 1
• Radite direktno sa nezavisnim dobavljačem ako su potrebna ažuriranja prodavnice poverenja ili promene CA

Korisnici mogu potvrditi povezanost i poverenje za novi javni koren CA pristupom sledećem IdenTrust test sertifikatu.

Ako se ovaj sertifikat uspešno otvori bez upozorenja o poverenju, IdenTrust Public Sector Root CA 1 je već pouzdan u okruženju.

Ako imate pitanja u vezi sa ovom promenom, politikom pretraživača Google Chrome-a ili ažuriranjima sertifikata u namenskoj instanci, otvorite zahtev za uslugu u kontrolnom čvorištu pod životnim ciklusom UC aplikacije.

Korisnici UCM Cloud (UCMC) koji poseduju svoj domen i upravljaju sopstvenim obnovama sertifikata UC aplikacija i koji nisu delegirali ovlašćenje domena Ciscu za potpisivanje sertifikata UC aplikacija biće odgovorni za direktan rad sa svojim izabranim javnim organima za izdavanje sertifikata kako bi se pozabavili ovom promenom.

Ovi korisnici bi takođe trebalo da se usklade sa važećim preporukama UC aplikativnog proizvoda ( Cisco on-prem calling products i Cisco Autoput) u vezi sa upotrebom sertifikata i sanacijom u vezi sa predstojećim promenama javnog CA i politike pretraživača. Za više informacija pogledajte Uloge i odgovornosti.

Cisco će nastaviti da pruža ažuriranja kako podrška za UC aplikacije za odvojene serverske i klijentske sertifikate postane dostupna. Pogledajte ovaj dokument za najnovija ažuriranja.

Sertifikat EKU promene: Akcije Cisco On-premises Collaboration Korisnici MORAJU UZETI SADA