特此通知您即將發生的 Google Chrome 瀏覽器政策變更 ，該變更將影響公共 TLS 憑證的頒發，並概述 Cisco 將採取的措施，以確保繼續支援 Cisco Webex Calling Dedicated Instance 和 UCM 雲端環境中的相互 TLS (mTLS) 連線。

從 2027年 2 月^{1日開始，Google Chrome Trust 計畫中包含的公共憑證授權單位 (CA) 將停止簽署包含用戶端身分驗證 (clientAuth) 擴充金鑰用法 (EKU) 的憑證。}

自 2027年 3 月^{15日起，Google 將強制執行一項政策，要求 Chrome 根商店中的公共根 CA 頒發的憑證僅包含伺服器驗證 (serverAuth) EKU。因此，Chrome 根商店中的公共根 CA 將不再被允許頒發將伺服器驗證和用戶端身份驗證 EKU 組合在單一憑證中的憑證。}

專用實例 UC 應用程式目前使用包含伺服器驗證和用戶端驗證 EKU 的單一憑證來建立 mTLS 連線的信任。預計在 2026 年稍後發布的 UC 應用程式版本 v15SU5 中將引入對獨立伺服器和用戶端憑證的支援。

目前，專用實例使用 Google Chrome Root Store 的一部分 IdenTrust Commercial Root CA 1 來簽署這些憑證。然而，由於 Chrome 即將實施政策變更，從 2027 年 2 月 1 日^st開始，該 CA 將不再被允許頒發包含兩個 EKU 的憑證。

受影響的證書

以下UC應用程式憑證使用公共根CA簽名，通常用於mTLS連線：

加州大學申請	憑證類型	常見的 mTLS 連接
Cisco Unified CM / 中小企業	湯姆貓 / Tomcat-ECDSA	LDAP、Filebeat、Logstash、基於 MRA 的 SIP OAuth、遠端 Syslog
	呼叫管理器 / CallManager-ECDSA	SIP 中繼、節點間和群集間連接
Cisco Unity Connection	湯姆貓 / Tomcat-ECDSA	SIP代理，SIP中繼
Cisco IM and Presence	湯姆貓 / Tomcat-ECDSA	—
	杯子 / 杯狀 ECDSA	使用 CUCM、第三方用戶端和 SIP 代理程式保護 SIP 連接
	杯-xmpp / cup-xmpp-ECDSA	XMPP 同盟
Cisco Emergency Responder	湯姆貓 / Tomcat-ECDSA	—
Cisco Expressway	伺服器憑證	Mobile and Remote Access (MRA)

證書不受影響。

專用實例中所有剩餘的憑證均為自簽名憑證。有關更多信息，請參閱 專用實例證書管理。

為因應 Chrome 策略變更並保持 mTLS 功能的不間斷運行，思科將採取以下措施：

• 自 2026 年 6 月 1 日^{日起，思科將把用於}簽署專用實例 UC 應用程式憑證的公共根 CA 從 IdenTrust Commercial Root CA 1 切換到 IdenTrust Public Sector Root CA 1，用於所有憑證續約。

  證書續約流程保持不變，控制中心警報中心會在續期安排後透過「維護和中斷」警報通知客戶。有關更多信息，請參閱 維護警報。

• 憑證將繼續包含伺服器和用戶端身份驗證 EKU。

為確保服務持續相容，客戶和合作夥伴必須完成以下操作。 :

1. 審核目前 mTLS 連接
   1. 識別包含客戶端身份驗證 EKU 的公共 TLS 憑證。
   2. 驗證連接的應用程式是否信任新的公共根 CA。
2. 新增的公共根憑證授權單位（如果需要）
   1. 如果您的環境中尚未信任 IdenTrust 公共部門根 CA 1 ，則必須添加它。
   2. 可以從 IdenTrust 公共儲存庫下載根憑證。

IdenTrust 公共部門根 CA 1 預設受以下作業系統和平台的標準信任儲存的信任：

• Microsoft Windows
• macOS
• iOS / iPadOS
• Android

因此，對於使用這些平台上的預設信任儲存的端點或系統，除非信任儲存已被客戶策略明確修改或限制，否則無需客戶採取任何行動。

Android 信任商店筆記

IdenTrust 公共部門根 CA 1 已包含在 Android 系統 CA 儲存中，並且在目前支援的 Android 版本上預設受信任。Android 沒有提供針對各個根憑證引入日期的公開的、特定於版本的映射關係。信任是透過 Android 系統 CA 商店進行管理，並透過作業系統更新和 Google Play 系統更新進行分發。

除非 Android 系統信任儲存已被裝置策略、企業管理控製或應用程式特定的信任限制明確修改，否則無需客戶採取任何行動。

IdenTrust 公共部門根 CA 1 未包含在 Google Chrome 根商店中。

為確保 Google Chrome 信任在此根 CA 下頒發的證書，客戶必須確保在 Chrome 用於本地信任決策的作業系統層級上明確信任根證書。

Windows – 需要信任配置

為確保根 CA 受 Windows 上的 Google Chrome 信任，必須將 IdenTrust 公共部門根 CA 1 匯入至下列位置之一：

• 本機 → 受信任的根憑證授權單位

  （推薦用於企業管理系統）

或

• 目前使用者 → 受信任的根憑證授權單位

  （針對使用者級信任）

使用 Windows 憑證匯入精靈匯入到這些位置（包括透過群組原則）的憑證受 Google Chrome 信任。

僅存在於 Windows 第三方程式庫中的根憑證不會被 Chrome 自動信任，除非按照上述說明顯式匯入。

Mac OS – 需要信任配置

為確保 macOS 上的 Google Chrome 信任根 CA，必須將 IdenTrust 公共部門根 CA 1 新增至 macOS 鑰匙圈並明確信任：

1. 將證書匯入系統鑰匙圈（建議）或登入鑰匙圈。

2. 開啟證書並設定：

   • 使用此證書時：永遠信任

     （或至少使用 SSL：）始終信任）

一旦系統或使用者層級信任該證書，Google Chrome 就會將該證書視為受信任的證書。

管理員可以透過存取以下路徑來驗證 Chrome 信任哪些平台憑證：chrome://certificate-manager/localcerts/platformcerts

有關更多信息，請參閱 Google 常見問題。

第三方整合是需要客戶驗證的主要領域。

對於任何與專用實例 UC 應用程式建立 mTLS 連線的第三方應用程式或服務，客戶必須：

• 驗證第三方系統是否信任 IdentTrust 公共部門根 CA 1
• 如果需要更新信任庫或變更憑證授權單位 (CA)，請直接與第三方供應商合作。

客戶可以透過存取以下 IdenTrust 測試憑證來驗證新的公共根 CA 的連線性和信任度。

如果此憑證成功開啟且沒有信任警告，則 IdenTrust 公共部門根 CA 1 已在環境中受到信任。

如果您對本次變更、Google Chrome 瀏覽器原則或專用實例中的憑證更新有任何疑問，請在 Control Hub 的 UC 應用程式生命週期下開啟服務要求。

擁有自己的網域名稱並自行管理 UC 應用程式憑證續約，且未將網域權限委託給 Cisco 以簽署 UC 應用程式憑證的 UCM Cloud (UCMC) 客戶，將負責直接與他們選擇的公共憑證授權單位合作以解決此變更。

這些客戶還應遵循適用的統一通訊應用產品（ Cisco 本地呼叫產品 和 Cisco Expressway）關於憑證使用和與即將推出的公共 CA 和瀏覽器政策變更相關的補救措施的建議。更多信息，請參閱 角色和職責。

隨著 UC 應用程式對獨立伺服器和用戶端憑證的支援逐步推出，思科將繼續提供更新。請參閱此文件以獲取最新資訊。

EKU憑證變更：Cisco 本地協作客戶現在必須採取的行動