Cookie Notice

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成
選択した国/地域
Japan - 
  • 日本語

                2020 年 1 月 1 日に IOS 自己署名証明書満了

                Updated: 2019 年 12 月 17 日
                Document ID:215118
                翻訳について

                  概要

                  2020 年 1 月 1 日 UTC の 00:00 で、SSC が生成されたときにシステムが IOS/IOS-XE の修正済み バージョンを稼動しなかったら、IOS/IOS-XE システムで生成されたすべての自己署名証明書(SSC)は切れます。  それ以後、取りはずされた IOSシステムは新しい SSCs を生成することができません。  証明書が切れた後信頼できる接続を確立するか、または終えるためにこれらの自己署名証明書に頼るどのサービスでもはたらかないかもしれません。

                  この問題は Cisco IOS または Cisco IOS XE デバイスによって生成され、デバイスのサービスに加えられた自己署名証明書だけ影響を与えます。 認証局(CA)によって生成された証明書はこの問題によって、Cisco IOS CA 機能によって生成されるそれらの証明書が含まれている影響を与えられません。

                  影響を受けたシステム

                  自己署名 Certficate を使用してすべての IOS/IOS-XE システムに、それ CSCvi48253 修正が ありませんか、または SSC が生成されたときに CSCvi48253 修正を持ちませんでした。  これには、次のような特徴があります。

                  • すべての IOS 12.x
                  • 15.6(3)M7 前のすべての IOS 15.x、15.7(3)M5、15.8(3)M3、15.9(3)M
                  • 16.9.1 前のすべての IOS XE

                  背景説明

                  Cisco IOS のある特定の機能および Cisco IOS XE ソフトウェアは暗号識別検証のためのデジタルで署名された X.509 証明書に頼ります。 これらの証明書は外部サード パーティ CA によって生成することができますか、または自己署名証明書として Cisco IOS または Cisco IOS XE デバイス自体で生成することができます。 Cisco IOS の該当するリリースおよび Cisco IOS XE ソフトウェアは 2020-01-01 00:00:00 UTC に自己署名証明書の有効期限を常に設定 します。 この日付以降に、証明書は無効切れ、です。

                  自己署名証明書に頼るかもしれないサービスは下記のものを含んでいます:

                  概要機能:

                  • 上の HTTPサーバ TLS (HTTPS) - HTTPS は証明書は期限切れであることを示すブラウザのエラーを発生します。
                  • SSH サーバ- SSH セッションを認証するのに X.509 証明書を使用するユーザは認証を受け損うかもしれません。 (X.509 証明書のこの使用はまれです。 Username/password 認証およびパブリック/プライベートキー 認証は影響を受けていません。)
                  • RESTCONF - RESTCONF 接続は失敗するかもしれません。

                  コラボレーション 機能:

                  • TLS 上のセッション開始プロトコル(SIP)
                  • 有効に なる暗号化されたシグナリングの Cisco Unified Communications Manager Express (CME)
                  • 有効に なる暗号化されたシグナリングの Cisco Unified Survivable Remote Site Telephony (SRST)
                  • 有効に なる暗号化されたシグナリングの Cisco IOS dspfarm リソース(会議、Media Termination Point、またはトランスコードすること)
                  • 暗号化されたシグナリングで設定される Skinny Client Control Protocol (SCCP) テレフォニー 制御アプリケーション(STCAPP)ポート
                  • 事前共有キーのない IP Security (IPSec)上のメディア ゲートウェイ コントロール プロトコル(MGCP)および H.323 呼出し シグナリング
                  • セキュア モードの Cisco Unified Communications ゲートウェイ サービス API (HTTPS を使用して)

                  ワイヤレス機能:

                  • より古い Cisco IOS アクセス ポイント(2005 年のまたはそれ以前で製造された)とワイヤレス LAN コントローラ間の LWAPP/CAPWAP 接続; Cisco Field Notice FN63942 を詳細については参照して下さい。

                  問題の症状

                  2020-01-01 00:00:00 UTC の後の影響を受けた Cisco IOS または Cisco IOS XE ソフトウェア リリースで自己署名証明書を生成する試みはこのエラーという結果に終ります:

                    ../cert-c/source/certobj.c(535) : E_VALIDITY : validity period start later than end

                  自己署名証明書に頼るどのサービスでも機能しないかもしれません。 次に、例を示します。

                  • TLS コール上の SIP は完了しません。
                  • 有効に なった暗号化されたシグナリングの Cisco Unified CME に登録されていたデバイスはもはや機能しません。
                  • 有効に なった暗号化されたシグナリングの Cisco Unified SRST はデバイスが登録しないようにしません。
                  • 有効に なった暗号化されたシグナリングの Cisco IOS dspfarm リソース(会議、Media Termination Point、またはトランスコードすること)はもはや登録しません。
                  • 暗号化されたシグナリングで設定された STCAPP ポートはもはや登録しません。
                  • MGCP を使用してゲートウェイまたは事前共有キーのない IPSec 上の H.323 呼出し シグナリングによるコールは失敗します。
                  • セキュア モードで Cisco Unified Communications ゲートウェイ サービス API を利用する API コールは(HTTPS を使用して)失敗します。
                  • RESTCONF は失敗するかもしれません。
                  • デバイスを管理する HTTPS セッションは証明書は切れたことを示すブラウザ警告を表示する。
                  • AnyConnect SSL VPN セッションは確立するか、または無効 な 証明書を報告しません。
                  • IPSec接続は確立しません。

                  該当製品を指定する方法

                  : この Field Notice によって影響を与えられるために、定義されるデバイスは自己署名証明書を備え、自己署名証明書は下記に説明されているように 1つ以上の機能に加える必要があります。 単独で自己署名証明書の存在は証明書が切れ、即時処置を必要としない場合デバイスのオペレーションに影響を与えません。 影響を与えられるために、デバイスは下記のステップ 1 およびステップ両方 2 の条件を満たす必要があります。

                  自己署名証明書を使用したかどうか確認するために、これらのステップを完了して下さい:

                  1. show running-config を入力して下さい | デバイスの暗号 コマンドを始めて下さい

                  2. 暗号 PKI トラストポイントの設定を探して下さい。 トラストポイント登録は影響を与えられるために「selfsigned」のために設定する必要があります。 さらに、自己署名証明書はまた設定に現われます。 トラストポイント名前はこの例に示すように」自己署名ワードが「含まれていないかもしれませんことに注目して下さい。

                    crypto pki trustpoint TP-self-signed-XXXXXXXX
  enrollment selfsigned
  subject-name cn=IOS-Self-Signed-Certificate-662415686
  revocation-check none
  rsakeypair TP-self-signed-662415686
!
!
crypto pki certificate chain TP-self-signed-XXXXXXXX
certificate self-signed 01
  3082032E 31840216 A0030201 02024101 300D0609 2A864886 F70D0101 05050030 
  30312E30 2C060355 04031325 494A531D 53656C66 2D536967 6E65642D 43657274
  ...
  ECA15D69 11970A66 252D34DC 760294A6 D1EA2329 F76EB905 6A5153C9 24F2958F
  D19BFB22 9F89EE23 02D22D9D 2186B1A1 5AD4
                  3. 次に、自己署名証明書は影響を与えられるべきあなたのためのデバイスの機能に加える必要があります。 この設定例では、自己署名証明書はこのコマンドによってデバイスの Webサーバに結ばれます。 
                    ip http secure-trustpoint TP-self-signed-XXXXXXXX

                  : トラストポイントはまたデバイスの多くのその他の機能に結ぶことができます。 SSC に結ばれるかもしれないさまざまな機能はこれらの設定 例で示されています:

                  • TLS 上の SIP に関しては、このテキストはコンフィギュレーション ファイルにあります:

                    voice service voip
 sip
  session transport tcp tls
!
sip-ua
crypto signaling default trustpoint <self-signed-trustpoint-name>
! or
crypto signaling remote-addr a.b.c.d /nn trustpoint <self-signed-trustpoint-name>
!

                  • 有効に なった暗号化されたシグナリングの Cisco Unified CME に関してはこのテキストはコンフィギュレーション ファイルにあります:

                    telephony-service
 secure-signaling trustpoint <self-signed-trustpoint-name>
 tftp-server-credentials trustpoint <self-signed-trustpoint-name>

                  • 有効に なった暗号化されたシグナリングの Cisco Unified SRST に関してはこのテキストはコンフィギュレーション ファイルにあります:

                    credentials
 trustpoint <self-signed-trustpoint-name>

                  • 有効に なった暗号化されたシグナリングの Cisco IOS dspfarm リソース(会議、Media Termination Point、またはトランスコードすること)に関してはこのテキストはコンフィギュレーション ファイルにあります:

                    dspfarm profile 1 conference security
trustpoint <self-signed-trustpoint-name>
!
dspfarm profile 2 mtp security
trustpoint <self-signed-trustpoint-name>
!
dspfarm profile 3 transcode security
 trustpoint <self-signed-trustpoint-name>
!
sccp ccm 127.0.0.1 identifier 1 priority 1 version 7.0 trustpoint <self-signed-trustpoint-name>
!

                  • 暗号化されたシグナリングで設定された STCAPP ポートに関してはこのテキストはコンフィギュレーション ファイルにあります:

                    stcapp security trustpoint <self-signed-trustpoint-name>
stcapp security mode encrypted

                  • セキュア モードの Cisco Unified Communications ゲートウェイ サービス API に関しては、このテキストはコンフィギュレーション ファイルにあります:

                    uc secure-wsapi
ip http secure-server
ip http secure-trustpoint TP-self-signed-XXXXXXXX

                  • SSLVPN に関しては、このテキストはコンフィギュレーション ファイルにあります:

                    webvpn gateway <gw name>
 ssl trustpoint TP-self-signed-XXXXXXXX

                  • ISAKMP および IKEv2 に関しては、自己署名証明書はコンフィギュレーションのうちのどれかがある場合使用されるかもしれません(機能が自己署名証明書を vs 別の証明書使用したかどうか)確認するために設定のそれ以上の分析が必要となります:

                    crypto isakmp policy <number>
 authentication pre-share | rsa-encr < NOT either of these
!
crypto ikev2 profile <prof name>
 authentication local rsa-sig
 pki trustpoint TP-self-signed-xxxxxx
!
crypto isakmp profile <prof name>
 ca trust-point TP-self-signed-xxxxxx

                  • SSH サーバに関しては、このテキストはコンフィギュレーション ファイルにあります:

                    ip ssh server certificate profile
 ! Certificate used by server 
 server
  trustpoint sign TP-self-signed-xxxxxx

                  • RESTCONF に関しては、このテキストはコンフィギュレーション ファイルにあります:

                    restconf
                    ! And one of the following
ip http secure-trustpoint TP-self-signed-XXXXXXXXX
! OR
ip http client secure-trustpoint TP-self-signed-XXXXXXXX

                  回避策とソリューション

                  ソリューションは修正が含まれている Cisco IOS XE ソフトウェアかリリースへ Cisco IOS をアップグレードすることです:

                  • Cisco IOS XE ソフトウェア リリース 16.9.1 およびそれ以降
                  • Cisco IOS ソフトウェア リリース 15.6(3)M7 およびそれ以降; 15.7(3)M5 およびそれ以降; または 15.8(3)M3 およびそれ以降

                  ソフトウェアをアップグレードした後、自己署名証明書を再生し、信頼ストアの証明書を必要とするかもしれないあらゆるデバイスにエクスポートして下さい。

                  3 つの回避策は即時ソフトウェアアップグレードが実行不可能である場合利用できます。

                  回避策 1 -第 3 部分認証局(CA)からの有効な証明書を得て下さい

                  認証局から証明書をインストールして下さい。  コモン CA は下記のものを含んでいます:  Comodo は、Thawte、Sectigo、GeoTrust、Symantec、および多くの他、RapidSSL 暗号化しよう。

                  この対応策によって、Certificate 要求は Cisco IOS によって生成され、表示する。 管理者はそして要求をコピーし、サード パーティ CA にそれを入れ、結果を取得します。

                  : 証明書に署名する CA の使用はセキュリティ最良の方法であると考慮されます。 このプロシージャはこの Field Notice の回避策として提供されます; ただしこの対応策を適用した後、サード パーティ CA署名付き証明書を使用し続けることは望ましいです、よりもむしろ自己署名証明書を使用するために。

                  証明書をサード パーティ CA からインストールするために、これらのステップを完了して下さい:

                  1. 証明書署名要求(CSR)を作成して下さい。

                    Router# conf t
                    
	Enter configuration commands, one per line. End with CNTL/Z.
                    	Router(config)# crypto pki trustpoint TEST
                    	Router(ca-trustpoint)# enrollment term pem
                    	Router(ca-trustpoint)# subject-name CN=TEST
                    	Router(ca-trustpoint)# revocation-check none
                    	Router(ca-trustpoint)# rsakeypair TEST
                    	Router(ca-trustpoint)# exit
                    	Router(config)# crypto pki enroll TEST
                    	% Start certificate enrollment ..
                    	% The subject name in the certificate will include: CN=TEST
                    	% The subject name in the certificate will include: Router.cisco.com
                    	% The serial number in the certificate will be: FTX1234ABCD
                    	% Include an IP address in the subject name? [no]: no
                    	Display Certificate Request to terminal? [yes/no]: yes
                    	Certificate Request follows:
                    
        -----BEGIN CERTIFICATE REQUEST-----
                    	A Base64 Certificate is displayed here. Copy it, along with the ---BEGIN and ---END lines.
                    	-----END CERTIFICATE REQUEST-----
                    
	---End - This line not part of the certificate request---

                  2. サード パーティ CA に CSR を入れて下さい。

                    : CSR をサード パーティ CA に入れ、生じる証明書を取得するプロシージャは使用している CA に基づいて異なります。 このステップを実行する方法に関する説明に関しては CA のためのドキュメントを参考にして下さい。

                  3. CA 認証と共にルータのための新しい ID証明をダウンロードして下さい。

                  4. デバイスで CA 認証をインストールして下さい。

                    Router# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# crypto pki auth TEST
	
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
	
-----BEGIN CERTIFICATE-----
REMOVED
-----END CERTIFICATE-----
	
Certificate has the following attributes:
   Fingerprint MD5: 79D15A9F C7EB4882 83AC50AC 7B0FC625
   Fingerprint SHA1: 0A80CC2C 9C779D20 9071E790 B82421DE B47E9006
	   
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

                  5. デバイスで ID証明をインストールして下さい。

                    Router(config)# crypto pki import TEST certificate
	
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
	
-----BEGIN CERTIFICATE-----
REMOVED
-----END CERTIFICATE-----
	
% Router Certificate successfully imported

                  回避策 2 -新しい証明書を生成するのに IOS CA サーバを使用して下さい

                  新しい証明書を生成し、署名するのに地元のCisco IOS 認証権限サーバを使用して下さい。

                  : ローカル CA サーバ 機能はすべての製品で利用できません。

                  Router# conf t
                  Enter configuration commands, one per line.  End with CNTL/Z.
                  Router(config)# ip http server
                  Router(config)# crypto pki server IOS-CA
                  Router(cs-server)# grant auto
                  Router(cs-server)# database level complete
                  Router(cs-server)# no shut
                  %Some server settings cannot be changed after CA certificate generation.
                  % Please enter a passphrase to protect the private key
                  % or type Return to exit
                  Password: <password>
                  
Re-enter password: <password>
                  % Generating 1024 bit RSA keys, keys will be non-exportable...
                  [OK] (elapsed time was 1 seconds)
                  
% Certificate Server enabled.

                  Router# show crypto pki server IOS-CA Certificates
                  Serial Issued date Expire date Subject Name
                  1 21:31:40 EST Jan 1 2020 21:31:40 EST Dec 31 2022 cn=IOS-CA


                  
Router# conf t

                  Enter configuration commands, one per line.  End with CNTL/Z.
                  Router(config)# crypto pki trustpoint TEST
                  Router(ca-trustpoint)# enrollment url http://<local interface ip>:80 # Replace <local interface ip> with the IP address of an interface on the router
                  Router(ca-trustpoint)# subject-name CN=TEST
                  Router(ca-trustpoint)# revocation-check none
                  Router(ca-trustpoint)# rsakeypair TEST
                  Router(ca-trustpoint)# exit
                  
Router# conf t
                  Enter configuration commands, one per line.  End with CNTL/Z.
                  Router(config)# crypto pki auth TEST
                  Certificate has the following attributes:
                  Fingerprint MD5: C281D9A0 337659CB D1B03AA6 11BD6E40
                  Fingerprint SHA1: 1779C425 3DCEE86D 2B11C880 D92361D6 8E2B71FF
                  
% Do you accept this certificate? [yes/no]: yes
                  Trustpoint CA certificate accepted.
                  
Router(config)# crypto pki enroll TEST
                  %
                  % Start certificate enrollment ..
                  % Create a challenge password. You will need to verbally provide this
                  password to the CA Administrator in order to revoke your certificate.
                  For security reasons your password will not be saved in the configuration.
                  Please make a note of it.
                  
Password: <passsword>
                  Re-enter password: <password>
                  
% The subject name in the certificate will include: CN=TEST
                  % The subject name in the certificate will include: Router.cisco.com
                  % Include the router serial number in the subject name? [yes/no]: yes
                  % The serial number in the certificate will be: FTX1234ABCD
                  % Include an IP address in the subject name? [no]: no
                  
Request certificate from CA? [yes/no]: yes
                  
% Certificate request sent to Certificate Authority
                  % The 'show crypto pki certificate verbose TEST' command will show the fingerprint.

                  回避策 3 -新しい自己署名証明書を生成するのに OpenSSL を使用して下さい

                  PKCS12 証明書 バンドルを生成し、Cisco IOS にバンドルをインポートするのに OpenSSL を使用して下さい。

                  LINUX、UNIX または MAC (OSX)例

                  User@linux-box$ openssl req -newkey rsa:2048 -nodes -keyout tmp.key -x509 -days 4000 -out tmp.cer -subj
                  "/CN=SelfSignedCert" &> /dev/null && openssl pkcs12 -export -in tmp.cer -inkey tmp.key -out tmp.bin
                  -passout pass:Cisco123 && openssl pkcs12 -export -out certificate.pfx -password pass:Cisco123 -inkey
                  tmp.key -in tmp.cer && rm tmp.bin tmp.key tmp.cer && openssl base64 -in certificate.pfx
                  
MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
                  BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQIGnxm
                  t5r28FECAggAgIIDEKyw10smucdQGt1c0DdfYXwUo8BwaBnzQvN0ClawXNQln2bT
                  vrhus6LfRvVxBNPeQz2ADgLikGxatwV5EDgooM+IEucKDURGLEotaRrVU5Wk3EGM
                  mjC6Ko9OaM30vhAGEEXrk26cq+OWsEuF3qudggRYv2gIBcrJ2iUQNFsBIrvlGHRo
                  FphOTqhVaAPxZS7hOB30cK1tMKHOIa8EwygyBvQPfjjBT79QFgeexIJFmUtqYX/P
                  <OUTPUT OMITTED FOR BREVITY>
                  tT6r4SuibYKu6HV45ffjSzOimcJI+D9LKhLWR6pK/k5ge8v7aK9/rsVbjavbdy7b
                  CSqGSIb3DQEJFTEWBBS96DY/gRfN1dSx46P1EqjPvSYiETAxMCEwCQYFKw4DAhoF
                  AAQU+EX0kNvuNz6XmFxXER8wlqKTGvgECA+D+Z81uwafAgIIAA==

                  Cisco IOS か IOS XE ルータ例

                  Router# conf t
                  Enter configuration commands, one per line.  End with CNTL/Z.
                  Router(config)# crypto pki trustpoint TEST
                  Router(ca-trustpoint)# enrollment terminal
                  Router(ca-trustpoint)# revocation-check none
                  Router(ca-trustpoint)# exit
                  
R1(config)#crypto pki import TEST pkcs12 terminal password Cisco123
                  Enter the base 64 encoded pkcs12.
                  End with a blank line or the word "quit" on a line by itself:
                  MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
                  BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQItyCo
                  Vh05+0QCAggAgIIDENUWY+UeuY5sIRZuoBi2nEhdIPd1th/auBYtX79aXGiz/iEW
                  <OUTPUT OMITTED FOR BREVITY>
                  IY1l273y9bC3qPVJ0UGoQW8SGfarqEjaqxdAet66E5V6u9Yvd4oMsIYGsa70m+FN
                  CsUVj+ll5hzGjK78L0ycXWpH4gDOGYBVf+D7mgWqaqZvxYUoEkOrTMmW5zElMCMG
                  CSqGSIb3DQEJFTEWBBSgiBJIYpJLzo/GYN0sesZh3wGmPTAxMCEwCQYFKw4DAhoF
                  AAQUdeUrLIC2uo/mbyE86he5+qEjmPYECKu76GWaeKb7AgIIAA==
                  quit
                  
CRYPTO_PKI: Imported PKCS12 file successfully.

                  R1(config)#

                  新しい証明書がインストールされていることを確認して下さい:

                  R1#show crypto pki certificates TEST
Load for five secs: 5%/1%; one minute: 2%; five minutes: 3%
Time source is SNTP, 15:04:37.593 UTC Mon Dec 16 2019
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 00A16966E46A435A99
  Certificate Usage: General Purpose
  Issuer:
    cn=SelfSignedCert
  Subject:
    cn=SelfSignedCert
  Validity Date:
    start date: 14:54:46 UTC Dec 16 2019
    end   date: 14:54:46 UTC Nov 28 2030

                  詳細情報

                  CSCvi48253 自己署名証明書が UTC で 00:00 2020 年 1 月 1 日切れるのを参照して下さい、それ以後作成することができません。

                  Q&A

                  Q: 問題は何ですか。

                  影響を受けた Cisco IOS または Cisco IOS XE バージョンを実行する製品で生成される自己署名 X.509 PKI 証明書は 01/01/2020 00:00:00 UTC で切れます。 新しい自己署名証明書は 01/01/2020 00:00:00 UTC の後で影響を受けたデバイスで作成することができません。 証明書が切れた後これらの自己署名証明書に頼るどのサービスでももはやはたらくかもしれません。

                  Q: 製品の自己署名証明書が切れる場合影響とは顧客のネットワークへ何か。

                  自己署名証明書に頼るあらゆる影響を受けた製品の機能は証明書が切れた後もはや作動するかもしれません。 追加詳細については Field Notice を参照して下さい。

                  Q: この問題から影響を受けるかどうかどのようにしてわかりますか。

                  Field Notice は自己署名証明書を使用していたかどうか設定がこの問題から影響を受けるかどうか確認する指示を提供し。 Field Notice の「該当製品」指定する方法をセクションを参照して下さい。

                  Q: 影響を受けているかどうか見るために実行できるスクリプトがありますか。

                  はい。 Cisco CLI アナライザを使用する、システム診断実行を実行して下さい。 証明書がおよびあればアラート使用されて示されます。 https://cway.cisco.com/cli/

                  Q. Cisco はこの問題にソフトウェア修正プログラムを提供しましたか。

                  はい。 Cisco はこの問題のためのソフトウェア修正プログラムをリリースしました、またイベントの回避策はソフトウェアアップグレードすぐに実行不可能です。 完全な詳細については Field Notice を参照して下さい。

                  Q: この問題は証明書を使用して Cisco製品に影響を及ぼしますか。

                  いいえ。 この問題は製品でサービスに加えられる証明書との Cisco IOS または Cisco IOS XE の特定のバージョンによって生成される自己署名証明書を使用して製品だけ影響を及ぼします。 認証局(CA)によって生成される証明書を使用して製品はこの問題によって影響を与えられません。

                  Q: シスコ製品 使用 自己署名証明書だけか。

                  いいえ証明書は外部サード・パーティによって認証局(CA)生成することができますか、または自己署名証明書として Cisco IOS または Cisco IOS XE デバイス自体で生成することができます。 特定の顧客の要求は自己署名証明書の使用の選択の原因となるかもしれません。 認証局(CA)によって生成される証明書はこの問題によって影響を与えられません。

                  Q. この問題はなぜ発生しましたか。

                  残念ながら、テクノロジー ベンダーの最もよい努力にもかかわらず、ソフトの欠陥はまだ発生します。 不具合が Cisco あらゆるテクノロジーで検出されるとき、透過性に託され、顧客の提供にネットワークを保護する必要がある情報。

                  この場合、問題は Cisco IOS および Cisco IOS XE の影響を受けたバージョンが 01/01/2020 00:00:00 UTC に自己署名証明書の有効期限を常に設定 する 既知のソフトウェアバグによって引き起こされています。 この日付以降に、製品機能性に影響を与える可能性がある証明書は無効切れ、です。

                  Q: なぜ 2020 年 1月 1 日 00:00:00 UTC の有効期限は選択されましたか。

                  証明書は一般に有効期限を過します。 このソフトウェアバグの場合には、2020 年 1月 1 日日付は前に 10 年にわたる Cisco IOS および Cisco IOS XE ソフトウェア 開発の間に使用され、人為的なミスです。

                  Q: この問題からどんな製品が影響を受けますか。

                  15.6(03)M07 前に Cisco IOS リリースを、15.7(03)M05、15.8(03)M03、および 16.9.1 前に Cisco IOS XE リリースを実行する 15.9(03)M および Cisco製品実行する Cisco製品

                  Q: 顧客は何をする必要がありますか。

                  その場合顧客に依頼しますかどうか彼らがこの問題によって査定し影響を与えられる、この問題を軽減する回避策/ソリューション手順を従う Field Notice を検討するように。

                  Q: この問題はセキュリティーの脆弱性ですか。

                  いいえ。 これはセキュリティーの脆弱性ではないし、リスクは製品の統合へありません。

                  Q: SSH は影響を受けますか。

                  いいえ SSH は RSA keypairs を使用しますが、まれな設定のを除く証明書を利用しません。 証明書を利用する IOS に関しては次の設定はある必要があります。 

                  ip ssh server certificate profile
   server
      trustpoint sign TP-self-signed-xxxxxx

                  Q: どんな修正済み バージョンが標準的な Catalyst 2K で利用できます、3K、4K、6K、CDB プラットフォームか。

                  commits 進行中ですが、CCO リリースを掲示しませんでした。 次の CCO リリースに修正があります。

                  interm で他の利用可能 な 回避策の 1 つを利用して下さい。
                  TAC Authored

                  シスコ エンジニア提供

                  • Aaron Leonard
                    Cisco カスタマ エクスペリエンス
                  • David White Jr
                    Cisco カスタマ エクスペリエンス
                  • Jay Young
                    Cisco カスタマ エクスペリエンス

                  このドキュメントは役に立ちましたか?

                  Feedbackフィードバック

                  シスコに問い合わせ

                  関連するシスコ コミュニティ ディスカッション

                  シスコ コミュニティ

                  このドキュメントは次の製品に対応しています

                  シスコをフォロー
                  News Roomイベントブログコミュニティ
                  シスコについて
                  お問い合わせ
                  採用情報