Geri bildiriminiz için teşekkürler.

Bu, genel TLS sertifikalarının verilmesini etkileyen yakında yürürlüğe girecek bir Google Chrome tarayıcı politika değişikliği hakkında sizi bilgilendirmek ve Cisco'nun Cisco Webex Calling Dedicated Instance ve UCM Cloud ortamlarında karşılıklı TLS (mTLS) bağlantıları için sürekli desteği sağlamak üzere alacağı önlemleri özetlemek içindir.

^{1 Şubat} 2027'den itibaren, Google Chrome Güven programına dahil olan Kamu Sertifika Yetkilileri (CA'lar), İstemci Kimlik Doğrulaması (clientAuth) Genişletilmiş Anahtar Kullanımı (EKU) içeren sertifikaları imzalamayı durduracaktır.

^{15 Mart} 2027 tarihinden itibaren geçerli olmak üzere, Google, Chrome Kök Sertifika Deposu'ndaki Genel Kök Sertifika Yetkililerinin yalnızca Sunucu Kimlik Doğrulama (serverAuth) EKU'sunu içeren sertifikalar vermesini gerektiren bir politikayı uygulamaya koyacaktır. Sonuç olarak, Chrome Kök Sertifika Deposu'ndaki Genel Kök Sertifika Yetkililerinin, tek bir sertifikada hem Sunucu Kimlik Doğrulaması hem de İstemci Kimlik Doğrulaması EKU'larını birleştiren sertifikalar vermesine artık izin verilmeyecektir.

Özel Örnek UC uygulamaları, mTLS bağlantıları için güven oluşturmak amacıyla şu anda tek bir sertifika içinde hem Sunucu Kimlik Doğrulaması hem de İstemci Kimlik Doğrulaması EKU'larını içeren sertifikalar kullanmaktadır. Ayrı sunucu ve istemci sertifikaları desteğinin, 2026 yılının sonlarına doğru piyasaya sürülmesi planlanan UC uygulama sürümü v15SU5 ile birlikte sunulması bekleniyor.

Şu anda, Dedicated Instance bu sertifikaları imzalamak için Google Chrome Root Store'un bir parçası olan IdenTrust Commercial Root CA 1'i kullanmaktadır. Ancak, yaklaşan Chrome politika değişikliği nedeniyle, bu CA'nın^{1 Şubat}2027'den itibaren tek bir sertifikada her iki EKU'yu da içeren sertifikalar düzenlemesine artık izin verilmeyecektir.

Sertifikalar etkilendi

Aşağıdaki UC uygulama sertifikaları, bir Genel Kök Sertifika Yetkilisi (Public Root CA) kullanılarak imzalanmıştır ve genellikle mTLS bağlantıları için kullanılır:

UC başvurusu	Sertifika türü	Yaygın mTLS bağlantıları
Cisco Unified CM / KOBİ'ler	Tomcat / Tomcat-ECDSA	LDAP, Filebeat, Logstash, MRA üzerinden SIP OAuth, Uzaktan Syslog
	Çağrı Yöneticisi / ÇağrıYöneticisi-ECDSA	SIP Trunk'ları, Düğümler Arası ve Kümeler Arası Bağlantılar
Cisco Unity Connection	Tomcat / Tomcat-ECDSA	SIP Proxy, SIP Trunk'ları
Cisco IM ve İletişim Durumu	Tomcat / Tomcat-ECDSA	—
	bardak / kupa-ECDSA	CUCM, üçüncü taraf istemciler ve SIP Proxy ile güvenli SIP bağlantısı.
	fincan-xmpp / cup-xmpp-ECDSA	XMPP Federasyonu
Cisco Acil Müdahaleci	Tomcat / Tomcat-ECDSA	—
Cisco Expressway	Sunucu Sertifikası	Mobil ve Remote Access (MRA)

Sertifikalar etkilenmedi.

Özel örnekteki kalan tüm sertifikalar kendinden imzalıdır. Ek bilgi için bkz. Özel Örnek sertifika yönetimi.

Chrome'un politika değişikliğini gidermek ve mTLS işlevselliğinin kesintisiz devamını sağlamak için Cisco aşağıdaki adımları atacaktır:

• 1 Haziran2026tarihinden itibaren Cisco, tüm Sertifika Yenilemeleri için Özel Örnek UC uygulama sertifikalarını imzalamak için kullanılan Genel Kök CA'yı IdenTrust Ticari Kök CA 1'den IdenTrust Kamu Sektörü Kök CA 1'e değiştirecektir.

  Sertifika yenileme süreci aynı kalır ve Kontrol Merkezi Uyarı Merkezi, yenileme planlandığında müşterileri "Bakım ve Kesinti" uyarısı aracılığıyla bilgilendirir. Daha fazla bilgi için Bakım uyarılarıbölümüne bakın.

• Sertifikalar, hem Sunucu hem de İstemci Kimlik Doğrulama EKU'larını içermeye devam edecektir.

Müşteri ortamında, Dedicated Instance'taki UC uygulamalarına TLS veya mTLS bağlantıları kullanarak bağlanan üçüncü taraf uygulamaların veya hizmetlerin, Dedicated Instance'taki UC uygulamalarıyla aynı sertifika zincirini kullanması gerekir. Müşteri sistemleri veya uygulamalarının güven deposunda gerekli IdenTrust sertifika yetkilileri zaten bulunmuyorsa, yeni kök sertifikanın içe aktarılması gerekir. TLS/mTLS Bağlantı hataları.

1. Mevcut mTLS Bağlantılarını Denetle
   1. TLS veya mTLS kullanarak Dedicated Instance'daki UC Uygulamalarına bağlanan uygulamaları, üçüncü taraf hizmetlerini veya entegrasyonları belirleyin.
   2. Bu uygulamaların yeni Genel Kök Sertifika Yetkilisine (Public Root CA) güvenip güvenmediğini doğrulayın: IdenTrust Kamu Sektörü Kök CA 1.
2. Yeni Genel Kök CA'yı ekleyin (gerekirse).
   1. IdenTrust Public Sector Root CA 1 müşteri uygulamasında veya sistem güven deposunda zaten güvenilir olarak işaretlenmemişse, eklenmelidir.
   2. Aynı dosya aşağıdaki bağlantılardan da indirilebilir:

      Kök CA: Identrust kamu sektörü kök CA 1

      Alternatif indirme sayfası: IdenTrust Destek İndirmeleri

      Issuing/Sub CA: IdenTrust Kamu Sektörü Sunucusu CA 1.

   Çoğu uygulama için, sunucu tam sertifika zincirini sunuyorsa, Kök Sertifika Yetkilisine güvenmek yeterlidir. O Issuing/Sub CA, ara sertifikanın ayrı olarak içe aktarılmasını gerektiren uygulamalar için faydalı bir seçenektir.

IdenTrust Kamu Sektörü Kök CA 1, aşağıdaki işletim sistemleri ve platformlar için standart güven depolarında varsayılan olarak güvenilir kabul edilir:

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

Sonuç olarak, bu platformlarda varsayılan güven depolarını kullanan uç noktalar veya sistemler için, güven deposu müşteri politikası tarafından açıkça değiştirilmediği veya kısıtlanmadığı sürece, müşteri tarafından herhangi bir işlem yapılması gerekmez.

Android güven deposu notu

IdenTrust Kamu Sektörü Kök CA 1, Android sistem CA deposuna dahildir ve şu anda desteklenen Android sürümlerinde varsayılan olarak güvenilir kabul edilir. Android, her bir kök sertifikanın kullanıma sunulma tarihine ilişkin herkese açık, sürüme özel bir eşleme sağlamamaktadır. Güven, Android sistemi CA mağazası aracılığıyla yönetilir ve işletim sistemi güncellemeleri ve Google Play sistem güncellemeleri yoluyla dağıtılır.

Android sistem güven deposu, cihaz politikası, kurumsal yönetim kontrolleri veya uygulamaya özgü güven kısıtlamaları tarafından açıkça değiştirilmediği sürece, müşterinin herhangi bir işlem yapması gerekmez.

IdenTrust Public Sector Root CA 1, Google Chrome Root Store'da yer almıyor.

Google Chrome'un bu kök CA altında verilen sertifikalara güvenmesini sağlamak için, müşterilerin Chrome'un yerel güven kararları için kullandığı konumlarda kök sertifikanın işletim sistemi düzeyinde açıkça güvenilir olarak işaretlendiğinden emin olmaları gerekir.

Windows – gerekli güven yapılandırması

Windows'ta Google Chrome tarafından kök CA'ya güvenilmesini sağlamak için, IdenTrust Public Sector Root CA 1'in aşağıdaki konumlardan birine aktarılması gerekir:

• Yerel Bilgisayar → Güvenilir Kök Sertifika Yetkilileri

  (Kurumsal yönetimli sistemler için önerilir)

veya

• Mevcut Kullanıcı → Güvenilir Kök Sertifika Yetkilileri

  (Kullanıcı düzeyinde güven için)

Windows Sertifika İçe Aktarma Sihirbazı kullanılarak bu konumlara (Grup İlkesi aracılığıyla dahil) aktarılan sertifikalar Google Chrome tarafından güvenilir olarak kabul edilir.

Yalnızca Windows Üçüncü Taraf klasöründe bulunan kök sertifikalar, yukarıda açıklandığı gibi açıkça içe aktarılmadıkça Chrome tarafından otomatik olarak güvenilir kabul edilmez.

Mac OS – gerekli güven yapılandırması

macOS'ta Google Chrome tarafından kök CA'ya güvenilmesini sağlamak için, IdenTrust Public Sector Root CA 1'in macOS Anahtar Zincirine eklenmesi ve açıkça güvenilir olarak işaretlenmesi gerekir:

1. Sertifikayı Sistem Anahtar Zincirine (önerilir) veya Oturum Açma Anahtar Zincirine aktarın.

2. Sertifikayı açın ve şu ayarları yapın:

   • Bu sertifikayı kullanırken: Her zaman güven

     (veya en azından SSL: Her zaman güvenin)

Sistem veya kullanıcı düzeyinde güvenilir olarak onaylandıktan sonra, Google Chrome sertifikayı güvenilir olarak kabul edecektir.

Yöneticiler, Chrome'un hangi platform sertifikalarına güvendiğini şu adrese giderek doğrulayabilirler: chrome://certificate-manager/localcerts/platformcerts

Daha fazla bilgi için Google SSSbölümüne bakın.

Üçüncü taraf entegrasyonları, öncelikle müşteri tarafından doğrulama gerektirir.

Herhangi bir üçüncü taraf uygulaması veya hizmeti için, TLS/mTLS Özel Örnek UC uygulamalarıyla bağlantılar için müşterilerin Özel Örneği etkileyen Genel CA sertifikası değişiklikleribölümünde belirtilen adımları izlemesi gerekir.

Güven deposu güncellemeleri gerekiyorsa, üçüncü taraf tedarikçiniz veya BT yöneticinizle doğrudan işbirliği yapmanız gerekecektir. Üçüncü taraf güven depolarında veya sertifika doğrulama davranışlarında yapılacak değişiklikler Cisco'nun sorumluluk alanı dışındadır ve Cisco, üçüncü taraf sertifika güven yapılandırmaları veya sorun giderme konusunda yardımcı olamaz.

Müşteriler, aşağıdaki IdenTrust test sertifikasınaerişerek yeni Genel Kök CA için bağlantıyı ve güveni doğrulayabilirler.

Bu sertifika güven uyarısı vermeden başarıyla açılırsa, IdenTrust Kamu Sektörü Kök Sertifika Yetkilisi 1 ortamda zaten güvenilir olarak kabul edilir.

Bu değişiklikle, Google Chrome tarayıcı politikasıyla veya Özel Örnekteki sertifika güncellemeleriyle ilgili sorularınız varsa, UC uygulama yaşam döngüsüaltında Kontrol Merkezinde bir Hizmet Talebi açın.

Kendi alan adlarına sahip olan ve kendi UC uygulama sertifikası yenilemelerini yöneten ve UC uygulama sertifikalarını imzalamak için Cisco'ya alan adı yetkisi devretmemiş olan UCM Cloud (UCMC) müşterileri, bu değişikliği ele almak için seçtikleri Genel Sertifika Yetkilileriyle doğrudan çalışmaktan sorumlu olacaklardır.

Bu müşteriler ayrıca, yaklaşan Genel CA ve tarayıcı politikası değişiklikleriyle ilgili sertifika kullanımı ve düzeltme konusunda ilgili UC uygulama ürünü ( Cisco şirket içi arama ürünleri ve Cisco Expressway) önerilerine de uymalıdır. Daha fazla bilgi için bkz. Roller ve Sorumluluklar.

Cisco, ayrı sunucu ve istemci sertifikaları için UC uygulama desteği kullanıma sunuldukça güncellemeler sağlamaya devam edecektir. En son güncellemeler için lütfen bu belgeye bakın.

EKU Sertifikasında Değişiklikler: Cisco Şirket İçi İş Birliği Müşterilerinin ŞİMDİ ALMASI GEREKENLER