Bu, genel TLS sertifikalarının verilmesini etkileyen yakında yürürlüğe girecek bir Google Chrome tarayıcı politika değişikliği hakkında sizi bilgilendirmek ve Cisco'nun Cisco Webex Calling Dedicated Instance ve UCM Cloud ortamlarında karşılıklı TLS (mTLS) bağlantıları için sürekli desteği sağlamak üzere alacağı önlemleri özetlemek içindir.

^{1 Şubat} 2027'den itibaren, Google Chrome Güven programına dahil olan Kamu Sertifika Yetkilileri (CA'lar), İstemci Kimlik Doğrulaması (clientAuth) Genişletilmiş Anahtar Kullanımı (EKU) içeren sertifikaları imzalamayı durduracaktır.

^{15 Mart} 2027 tarihinden itibaren geçerli olmak üzere, Google, Chrome Kök Sertifika Deposu'ndaki Genel Kök Sertifika Yetkililerinin yalnızca Sunucu Kimlik Doğrulama (serverAuth) EKU'sunu içeren sertifikalar vermesini gerektiren bir politikayı uygulamaya koyacaktır. Sonuç olarak, Chrome Kök Sertifika Deposu'ndaki Genel Kök Sertifika Yetkililerinin, tek bir sertifikada hem Sunucu Kimlik Doğrulaması hem de İstemci Kimlik Doğrulaması EKU'larını birleştiren sertifikalar vermesine artık izin verilmeyecektir.

Özel Örnek UC uygulamaları, mTLS bağlantıları için güven oluşturmak amacıyla şu anda tek bir sertifika içinde hem Sunucu Kimlik Doğrulaması hem de İstemci Kimlik Doğrulaması EKU'larını içeren sertifikalar kullanmaktadır. Ayrı sunucu ve istemci sertifikaları desteğinin, 2026 yılının sonlarına doğru piyasaya sürülmesi planlanan UC uygulama sürümü v15SU5 ile birlikte sunulması bekleniyor.

Şu anda, Dedicated Instance bu sertifikaları imzalamak için Google Chrome Root Store'un bir parçası olan IdenTrust Commercial Root CA 1'i kullanmaktadır. Ancak, yaklaşan Chrome politika değişikliği nedeniyle, bu CA'nın^{1 Şubat}2027'den itibaren tek bir sertifikada her iki EKU'yu da içeren sertifikalar düzenlemesine artık izin verilmeyecektir.

Sertifikalar etkilendi

Aşağıdaki UC uygulama sertifikaları, bir Genel Kök Sertifika Yetkilisi (Public Root CA) kullanılarak imzalanmıştır ve genellikle mTLS bağlantıları için kullanılır:

UC başvurusu	Sertifika türü	Yaygın mTLS bağlantıları
Cisco Unified CM / KOBİ'ler	Tomcat / Tomcat-ECDSA	LDAP, Filebeat, Logstash, MRA üzerinden SIP OAuth, Uzaktan Syslog
	Çağrı Yöneticisi / ÇağrıYöneticisi-ECDSA	SIP Trunk'ları, Düğümler Arası ve Kümeler Arası Bağlantılar
Cisco Unity Connection	Tomcat / Tomcat-ECDSA	SIP Proxy, SIP Trunk'ları
Cisco IM ve İletişim Durumu	Tomcat / Tomcat-ECDSA	—
	bardak / kupa-ECDSA	CUCM, üçüncü taraf istemciler ve SIP Proxy ile güvenli SIP bağlantısı.
	fincan-xmpp / cup-xmpp-ECDSA	XMPP Federasyonu
Cisco Acil Müdahaleci	Tomcat / Tomcat-ECDSA	—
Cisco Expressway	Sunucu Sertifikası	Mobil ve Remote Access (MRA)

Sertifikalar etkilenmedi.

Özel örnekteki kalan tüm sertifikalar kendinden imzalıdır. Ek bilgi için bkz. Özel Örnek sertifika yönetimi.

Chrome'un politika değişikliğini gidermek ve mTLS işlevselliğinin kesintisiz devamını sağlamak için Cisco aşağıdaki adımları atacaktır:

• 1 Haziran2026tarihinden itibaren Cisco, tüm Sertifika Yenilemeleri için Özel Örnek UC uygulama sertifikalarını imzalamak için kullanılan Genel Kök CA'yı IdenTrust Ticari Kök CA 1'den IdenTrust Kamu Sektörü Kök CA 1'e değiştirecektir.

  Sertifika yenileme süreci aynı kalır ve Kontrol Merkezi Uyarı Merkezi, yenileme planlandığında müşterileri "Bakım ve Kesinti" uyarısı aracılığıyla bilgilendirir. Daha fazla bilgi için Bakım uyarılarıbölümüne bakın.

• Sertifikalar, hem Sunucu hem de İstemci Kimlik Doğrulama EKU'larını içermeye devam edecektir.

Müşterilerin ve iş ortaklarının hizmet uyumluluğunun devamlılığını sağlamak için aşağıdaki işlemleri tamamlamaları gerekmektedir. :

1. Mevcut mTLS Bağlantılarını Denetle
   1. İstemci Kimlik Doğrulama EKU'sunu içeren genel TLS sertifikalarını belirleyin.
   2. Bağlantı kuran uygulamaların yeni Genel Kök Sertifika Yetkilisine (Public Root CA) güvenip güvenmediğini doğrulayın.
2. Yeni Genel Kök CA'yı ekleyin (gerekirse).
   1. Eğer IdenTrust Public Sector Root CA 1 ortamınızda zaten güvenilir olarak tanımlanmamışsa, eklenmesi gerekir.
   2. Kök sertifika IdenTrust genel deposundanindirilebilir.

IdenTrust Kamu Sektörü Kök CA 1, aşağıdaki işletim sistemleri ve platformlar için standart güven depolarında varsayılan olarak güvenilir kabul edilir:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

Sonuç olarak, bu platformlarda varsayılan güven depolarını kullanan uç noktalar veya sistemler için, güven deposu müşteri politikası tarafından açıkça değiştirilmediği veya kısıtlanmadığı sürece, müşteri tarafından herhangi bir işlem yapılması gerekmez.

Android güven deposu notu

IdenTrust Public Sector Root CA 1, Android sistem CA deposunda yer almaktadır ve şu anda desteklenen Android sürümlerinde varsayılan olarak güvenilir kabul edilmektedir. Android, her bir kök sertifikanın kullanıma sunulma tarihine ilişkin herkese açık, sürüme özel bir eşleme sağlamamaktadır. Güven, Android sistemi CA mağazası aracılığıyla yönetilir ve işletim sistemi güncellemeleri ve Google Play sistem güncellemeleri yoluyla dağıtılır.

Android sistem güven deposu, cihaz politikası, kurumsal yönetim kontrolleri veya uygulamaya özgü güven kısıtlamaları tarafından açıkça değiştirilmediği sürece, müşterinin herhangi bir işlem yapması gerekmez.

IdenTrust Public Sector Root CA 1, Google Chrome Root Store'da yer almıyor.

Google Chrome'un bu kök CA altında verilen sertifikalara güvenmesini sağlamak için, müşterilerin Chrome'un yerel güven kararları için kullandığı konumlarda kök sertifikanın işletim sistemi düzeyinde açıkça güvenilir olarak işaretlendiğinden emin olmaları gerekir.

Windows – gerekli güven yapılandırması

Windows'ta Google Chrome tarafından kök CA'ya güvenilmesini sağlamak için, IdenTrust Public Sector Root CA 1'in aşağıdaki konumlardan birine aktarılması gerekir:

• Yerel Bilgisayar → Güvenilir Kök Sertifika Yetkilileri

  (Kurumsal yönetimli sistemler için önerilir)

veya

• Mevcut Kullanıcı → Güvenilir Kök Sertifika Yetkilileri

  (Kullanıcı düzeyinde güven için)

Windows Sertifika İçe Aktarma Sihirbazı kullanılarak bu konumlara (Grup İlkesi aracılığıyla dahil) aktarılan sertifikalar Google Chrome tarafından güvenilir olarak kabul edilir.

Yalnızca Windows Üçüncü Taraf klasöründe bulunan kök sertifikalar, yukarıda açıklandığı gibi açıkça içe aktarılmadıkça Chrome tarafından otomatik olarak güvenilir kabul edilmez.

Mac OS – gerekli güven yapılandırması

macOS'ta Google Chrome tarafından kök CA'ya güvenilmesini sağlamak için, IdenTrust Public Sector Root CA 1'in macOS Anahtar Zincirine eklenmesi ve açıkça güvenilir olarak işaretlenmesi gerekir:

1. Sertifikayı Sistem Anahtar Zincirine (önerilir) veya Oturum Açma Anahtar Zincirine aktarın.

2. Sertifikayı açın ve şu ayarları yapın:

   • Bu sertifikayı kullanırken: Her zaman güven

     (veya en azından SSL: Her zaman güvenin)

Sistem veya kullanıcı düzeyinde güvenilir olarak onaylandıktan sonra, Google Chrome sertifikayı güvenilir olarak kabul edecektir.

Yöneticiler, Chrome'un hangi platform sertifikalarına güvendiğini şu adrese giderek doğrulayabilirler: chrome://certificate-manager/localcerts/platformcerts

Daha fazla bilgi için Google SSSbölümüne bakın.

Üçüncü taraf entegrasyonları, müşteri onayı gerektiren başlıca alanı temsil etmektedir.

Özel Örnek UC uygulamalarıyla mTLS bağlantısı kuran tüm üçüncü taraf uygulamalar veya hizmetler için müşterilerin şunları yapması gerekir:

• Üçüncü taraf sistemin IdenTrust Kamu Sektörü Kök CA 1'e güvendiğini doğrulayın.
• Güven deposu güncellemeleri veya CA değişiklikleri gerekiyorsa, doğrudan üçüncü taraf satıcıyla çalışın.

Müşteriler, aşağıdaki IdenTrust test sertifikasınaerişerek yeni Genel Kök CA için bağlantıyı ve güveni doğrulayabilirler.

Bu sertifika güven uyarısı olmadan başarıyla açılırsa, IdenTrust Kamu Sektörü Kök Sertifika Yetkilisi 1 ortamda zaten güvenilir olarak kabul edilir.

Bu değişiklikle, Google Chrome tarayıcı politikasıyla veya Özel Örnekteki sertifika güncellemeleriyle ilgili sorularınız varsa, UC uygulama yaşam döngüsüaltında Kontrol Merkezinde bir Hizmet Talebi açın.

Kendi alan adlarına sahip olan ve kendi UC uygulama sertifikası yenilemelerini yöneten ve UC uygulama sertifikalarını imzalamak için Cisco'ya alan adı yetkisi devretmemiş olan UCM Cloud (UCMC) müşterileri, bu değişikliği ele almak için seçtikleri Genel Sertifika Yetkilileriyle doğrudan çalışmaktan sorumlu olacaklardır.

Bu müşteriler ayrıca, yaklaşan Genel CA ve tarayıcı politikası değişiklikleriyle ilgili sertifika kullanımı ve düzeltme konusunda ilgili UC uygulama ürünü ( Cisco şirket içi arama ürünleri ve Cisco Expressway) önerilerine de uymalıdır. Daha fazla bilgi için bkz. Roller ve Sorumluluklar.

Cisco, ayrı sunucu ve istemci sertifikaları için UC uygulama desteği kullanıma sunuldukça güncellemeler sağlamaya devam edecektir. En son güncellemeler için lütfen bu belgeye bakın.

EKU Sertifikasında Değişiklikler: Cisco Şirket İçi İş Birliği Müşterilerinin ŞİMDİ ALMASI GEREKENLER