特此通知您即将发生的 Google Chrome 浏览器政策变更 ，该变更将影响公共 TLS 证书的颁发，并概述 Cisco 将采取的措施，以确保继续支持 Cisco Webex Calling Dedicated Instance 和 UCM 云环境中的相互 TLS (mTLS) 连接。

从 2027年 2 月^{1日开始，Google Chrome Trust 计划中包含的公共证书颁发机构 (CA) 将停止签署包含客户端身份验证 (clientAuth) 扩展密钥用法 (EKU) 的证书。}

自 2027年 3 月^{15日起，Google 将强制执行一项政策，要求 Chrome 根商店中的公共根 CA 颁发的证书仅包含服务器身份验证 (serverAuth) EKU。因此，Chrome 根商店中的公共根 CA 将不再被允许颁发将服务器身份验证和客户端身份验证 EKU 组合在单个证书中的证书。}

专用实例 UC 应用程序目前使用包含服务器身份验证和客户端身份验证 EKU 的单个证书来建立 mTLS 连接的信任。预计在 2026 年晚些时候发布的 UC 应用程序版本 v15SU5 中将引入对独立服务器和客户端证书的支持。

目前，专用实例使用 Google Chrome Root Store 的一部分 IdenTrust Commercial Root CA 1 来签署这些证书。然而，由于 Chrome 即将实施政策变更，从 2027 年 2 月 1 日^st开始，该 CA 将不再被允许颁发包含两个 EKU 的证书。

受影响的证书

以下UC应用程序证书使用公共根CA签名，通常用于mTLS连接：

加州大学申请	证书类型	常见的 mTLS 连接
Cisco Unified CM / 中小企业	汤姆猫 / Tomcat-ECDSA	LDAP、Filebeat、Logstash、基于 MRA 的 SIP OAuth、远程 Syslog
	呼叫管理器 / CallManager-ECDSA	SIP 中继、节点间和集群间连接
Cisco Unity Connection	汤姆猫 / Tomcat-ECDSA	SIP代理，SIP中继
Cisco 即时消息和在线状态	汤姆猫 / Tomcat-ECDSA	—
	杯子 / 杯状 ECDSA	使用 CUCM、第三方客户端和 SIP 代理保护 SIP 连接
	杯-xmpp / cup-xmpp-ECDSA	XMPP 联合
Cisco Emergency Responder	汤姆猫 / Tomcat-ECDSA	—
Cisco Expressway	服务器证书	移动和远程访问 (MRA)

证书不受影响。

专用实例中所有剩余的证书均为自签名证书。有关更多信息，请参阅 专用实例证书管理。

为了应对 Chrome 策略变更并保持 mTLS 功能的不间断运行，思科将采取以下措施：

• 自 2026 年 6 月 1 日^{日起，思科将把用于}签署专用实例 UC 应用程序证书的公共根 CA 从 IdenTrust Commercial Root CA 1 切换到 IdenTrust Public Sector Root CA 1，用于所有证书续期。

  证书续期流程保持不变，控制中心警报中心会在续期安排好后通过“维护和中断”警报通知客户。有关更多信息，请参阅 维护警报。

• 证书将继续包含服务器和客户端身份验证 EKU。

为确保服务持续兼容，客户和合作伙伴必须完成以下操作。 :

1. 审核当前 mTLS 连接
   1. 识别包含客户端身份验证 EKU 的公共 TLS 证书。
   2. 验证连接的应用程序是否信任新的公共根 CA。
2. 添加新的公共根证书颁发机构（如果需要）
   1. 如果您的环境中尚未信任 IdenTrust 公共部门根 CA 1 ，则必须添加它。
   2. 可以从 IdenTrust 公共存储库下载根证书。

IdenTrust 公共部门根 CA 1 默认受以下操作系统和平台的标准信任存储的信任：

• Microsoft Windows
• MacOS
• iOS / iPadOS
• Android

因此，对于使用这些平台上的默认信任存储的端点或系统，除非信任存储已被客户策略明确修改或限制，否则无需客户采取任何行动。

Android 信任商店笔记

IdenTrust 公共部门根 CA 1 已包含在 Android 系统 CA 存储中，并且在当前支持的 Android 版本上默认受信任。Android 没有提供针对各个根证书引入日期的公开的、特定于版本的映射关系。信任是通过 Android 系统 CA 商店进行管理，并通过操作系统更新和 Google Play 系统更新进行分发。

除非 Android 系统信任存储已被设备策略、企业管理控制或应用程序特定的信任限制明确修改，否则无需客户采取任何行动。

IdenTrust 公共部门根 CA 1 未包含在 Google Chrome 根商店中。

为确保 Google Chrome 信任在此根 CA 下颁发的证书，客户必须确保在 Chrome 用于本地信任决策的操作系统级别上明确信任根证书。

Windows – 需要信任配置

为确保根 CA 受 Windows 上的 Google Chrome 信任，必须将 IdenTrust 公共部门根 CA 1 导入到以下位置之一：

• 本地计算机 → 受信任的根证书颁发机构

  （推荐用于企业管理系统）

或

• 当前用户 → 受信任的根证书颁发机构

  （针对用户级信任）

使用 Windows 证书导入向导导入到这些位置（包括通过组策略）的证书受 Google Chrome 信任。

仅存在于 Windows 第三方库中的根证书不会被 Chrome 自动信任，除非按照上述说明显式导入。

Mac OS – 需要信任配置

为确保 macOS 上的 Google Chrome 信任根 CA，必须将 IdenTrust 公共部门根 CA 1 添加到 macOS 钥匙串并显式信任：

1. 将证书导入系统钥匙串（推荐）或登录钥匙串。

2. 打开证书并设置：

   • 使用此证书时：永远信任

     （或者至少使用 SSL：）始终信任）

一旦系统或用户级别信任该证书，Google Chrome 就会将该证书视为受信任的证书。

管理员可以通过访问以下路径来验证 Chrome 信任哪些平台证书：chrome://certificate-manager/localcerts/platformcerts

有关更多信息，请参阅 Google 常见问题解答。

第三方集成是需要客户验证的主要领域。

对于任何与专用实例 UC 应用程序建立 mTLS 连接的第三方应用程序或服务，客户必须：

• 验证第三方系统是否信任 IdentTrust 公共部门根 CA 1
• 如果需要更新信任库或更改证书颁发机构 (CA)，请直接与第三方供应商合作。

客户可以通过访问以下 IdenTrust 测试证书来验证新的公共根 CA 的连接性和信任度。

如果此证书成功打开且没有信任警告，则 IdenTrust 公共部门根 CA 1 已在环境中受到信任。

如果您对本次更改、Google Chrome 浏览器策略或专用实例中的证书更新有任何疑问，请在 Control Hub 的 UC 应用程序生命周期下打开服务请求。

拥有自己的域名并自行管理 UC 应用程序证书续订，且未将域名权限委托给 Cisco 以签署 UC 应用程序证书的 UCM Cloud (UCMC) 客户，将负责直接与他们选择的公共证书颁发机构合作以解决此变更。

这些客户还应遵循适用的统一通信应用产品（ Cisco 本地呼叫产品 和 Cisco Expressway）关于证书使用和与即将推出的公共 CA 和浏览器策略变更相关的补救措施的建议。更多信息，请参阅 角色和职责。

随着 UC 应用对独立服务器和客户端证书的支持逐步推出，思科将继续提供更新。请参阅此文档以获取最新信息。

EKU证书变更：Cisco 本地协作客户现在必须采取的行动