概要
注: このドキュメントでは、 FN70489 の内容と、追加のコンテキスト、例、更新、Q&A を含んでいます。
2020 年 1 月 1 日 UTC の 00:00 に、IOS/IOS-XEシステムで生成されたすべての自己署名証明書(SSC)は、SSCの生成時にシステムでIOS/IOS-XEの修正済みバージョンを実行していない限り、期限切れになります。 その後、未修正のIOSシステムは新しいSSCを生成できなくなります。 これらの自己署名証明書を使用してセキュアな接続を確立または終了するサービスは、証明書の期限切れ後に機能しない可能性があります。
この問題は、Cisco IOS または Cisco IOS XE デバイスによって生成され、デバイス上のサービスに適用された自己署名証明書にのみ影響します。Cisco IOS CA 機能で生成された証明書を含む、認証局(CA)によって生成された証明書は、この問題の影響を受けません。
影響を受けたシステム
CSCvi48253
の修正を持たない、あるいは、SSC が生成されたときに CSCvi48253
の修正が入ってなかった、自己署名証明書を使用するすべてのIOS/IOS-XEシステム。これには、以下があります。
- すべての IOS 12.x
- 15.6(3)M7、15.7(3)M5、15.8(3)M3、15.9(3)Mより前のすべてのIOS 15.x
- 16.9.1 より前のすべての IOS XE
背景
Cisco IOS および Cisco IOS XE ソフトウェアの一部の機能は、暗号化 ID の検証にデジタル署名された X.509 証明書に依存します。これらの証明書は、外部のサードパーティ CA によって生成される場合と、Cisco IOS または Cisco IOS XE デバイス自体で自己署名証明書として生成される場合があります。Cisco IOS および Cisco IOS XE ソフトウェアの該当リリースでは、自己署名証明書の有効期限は常に 2020-01-01 00:00:00 UTC に設定されます。この日付を過ぎると、証明書の有効期限が切れ、無効になります。
自己署名証明書に依存する可能性のあるサービスには、次のものがあります。
一般的な機能:
- HTTP Server over TLS(HTTPS):HTTPS は、証明書が期限切れであることを示すエラーをブラウザに表示します。
- SSHサーバ:X.509証明書を使用してSSHセッションを認証するユーザは、認証に失敗する可能性があります。(X.509証明書のこの使用はまれです。ユーザ名/パスワード認証と公開/秘密キー認証は影響を受けません)。
- RESTCONF - RESTCONF接続が失敗する可能性があります。
コラボレーション 機能:
- TLS 上の Session Initiation Protocol(SIP)
- 暗号化シグナリングが有効な Cisco Unified Communications Manager Express (CME)
- 暗号化シグナリングが有効な Cisco Unified Survivable Remote Site Telephony (SRST)
- 暗号化シグナリングが有効な Cisco IOS dspfarm リソース(会議、Media Termination Point、またはトランスコードすること)
- 暗号化シグナリングで設定された Skinny Client Control Protocol (SCCP) Telephony Control Application (STCAPP) ポート
- 事前共有キーを使用しない IP セキュリティ (IPSec) 上でのメディア ゲートウェイ コントロール プロトコル (MGCP) および H.323 コールシグナリング
- セキュア モードの Cisco Unified Communications ゲートウェイ サービス API (HTTPS を使用)
ワイヤレス機能:
- 古い Cisco IOS アクセスポイント(2005 以前に製造)とワイヤレス LAN コントローラ間のLWAPP/CAPWAP 接続詳細は、『Cisco Field Notice FN63942 』を参照してください
2020-01-01 00:00:00 UTC の後に、該当する Cisco IOS または Cisco IOS XE ソフトウェア リリースで自己署名証明書を生成しようとすると、次のエラーが発生します
../cert-c/source/certobj.c(535) : E_VALIDITY : validity period start later than end
自己署名証明書に依存するサービスは機能しない可能性があります。 次に、例を示します。
- SIP over TLS コールは完了しません。
- 暗号化シグナリングが有効になっている Cisco Unified CME に登録されたデバイスは機能しなくなります。
- 暗号化シグナリングが有効になっている Cisco Unified SRST では、デバイスの登録が許可されません。
- 暗号化シグナリングが有効になっている Cisco IOS dspfarm リソース(会議、メディア ターミネーション ポイント、またはトランスコーディング)は、登録されなくなります。
- 暗号化シグナリングが設定された STCAPP ポートは登録されなくなります。
- MGCP または H.323 コール シグナリングを使用するゲートウェイを介した、事前共有キーを使用しない IPSec でのコールは失敗します。
- セキュアモード(HTTPS を使用)で Cisco Unified Communications Gateway Services API を使用する API コールは失敗します。
- RESTCONF が失敗する可能性があります。
- デバイスを管理する HTTPS セッションでは、証明書の期限が切れたことを示すブラウザ警告が表示されます。
- AnyConnect SSL VPN セッションが、無効な証明書の確立または報告に失敗する。
- IPSec 接続の確立に失敗する。
影響を受ける製品の識別方法
注: この Field Notice の影響を受けるには、デバイスに自己署名証明書が定義されている必要があります。また、次に示すように、自己署名証明書を 1 つ以上の機能に適用する必要があります。自己署名証明書のみが存在する場合、証明書の期限が切れてもデバイスの動作に影響を与えず、ただちに対処する必要はありません。影響を受けるには、デバイスが次の手順 2 と手順 3 の両方の基準を満たす必要があります。
自己署名証明書を使用するかどうかを確認するには、次の手順を実行します。
-
show running-config | begin crypto コマンドを使用します。
-
暗号化PKIトラストポイントの設定を探します。「selfsigned」が影響を受けるには、トラストポイントの登録を設定する必要があります。また、自己署名証明書も設定に表示されます。この例に示すように、トラストポイント名に「selfsigned」という語が含まれていない場合があります。
crypto pki trustpoint TP-self-signed-XXXXXXXX
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-662415686
revocation-check none
rsakeypair TP-self-signed-662415686
!
!
crypto pki certificate chain TP-self-signed-XXXXXXXX
certificate self-signed 01
3082032E 31840216 A0030201 02024101 300D0609 2A864886 F70D0101 05050030
30312E30 2C060355 04031325 494A531D 53656C66 2D536967 6E65642D 43657274
...
ECA15D69 11970A66 252D34DC 760294A6 D1EA2329 F76EB905 6A5153C9 24F2958F
D19BFB22 9F89EE23 02D22D9D 2186B1A1 5AD4
- 次に、影響を受けるデバイスの機能に自己署名証明書を適用する必要があります。この設定例では、自己署名証明書は、次のコマンドを使用してデバイスの Web サーバに関連付けられます。
ip http secure-trustpoint TP-self-signed-XXXXXXXX
注: トラストポイントは、デバイスの他の多くの機能と結び付けることもできます。SSC に関連付けられる可能性のあるさまざまな機能を、次の設定例に示します。
-
SIP over TLS の場合、次のテキストが設定ファイルに表示されます。
voice service voip
sip
session transport tcp tls
!
sip-ua
crypto signaling default trustpoint <self-signed-trustpoint-name>
! or
crypto signaling remote-addr a.b.c.d /nn trustpoint <self-signed-trustpoint-name>
!
-
暗号化シグナリングが有効になっている Cisco Unified CME の場合、次のテキストが設定ファイルに表示されます。
telephony-service
secure-signaling trustpoint <self-signed-trustpoint-name>
tftp-server-credentials trustpoint <self-signed-trustpoint-name>
-
暗号化シグナリングが有効になっている Cisco Unified SRST の場合、次のテキストが設定ファイルに表示されます。
credentials
trustpoint <self-signed-trustpoint-name>
-
暗号化シグナリングが有効になっている Cisco IOS dspfarm リソース(会議、メディア ターミネーション ポイント、またはトランスコーディング)の場合、次のテキストがコンフィギュレーションファイルに表示されます。
dspfarm profile 1 conference security
trustpoint <self-signed-trustpoint-name>
!
dspfarm profile 2 mtp security
trustpoint <self-signed-trustpoint-name>
!
dspfarm profile 3 transcode security
trustpoint <self-signed-trustpoint-name>
!
sccp ccm 127.0.0.1 identifier 1 priority 1 version 7.0 trustpoint <self-signed-trustpoint-name>
!
-
暗号化シグナリングで設定された STCAPP ポートの場合、次のテキストが設定ファイルに含まれます。
stcapp security trustpoint <self-signed-trustpoint-name>
stcapp security mode encrypted
-
セキュアモードの Cisco Unified Communications Gateway Services API の場合、次のテキストが設定ファイルに表示されます。
uc secure-wsapi
ip http secure-server
ip http secure-trustpoint TP-self-signed-XXXXXXXX
-
SSLVPNの場合、次のテキストが設定ファイルに含まれます。
webvpn gateway <gw name>
ssl trustpoint TP-self-signed-XXXXXXXX
OR
crypto ssl policy <policy-name>
pki trustpoint <trustpoint-name> sign
-
ISAKMP と IKEv2 の場合、設定が存在する場合は自己署名証明書が使用される可能性があります(機能が自己署名証明書と別の証明書を使用するかを判断するには、設定の詳細な分析が必要です)。
crypto isakmp policy <number>
authentication pre-share | rsa-encr < NOT either of these
!
crypto ikev2 profile <prof name>
authentication local rsa-sig
pki trustpoint TP-self-signed-xxxxxx
!
crypto isakmp profile <prof name>
ca trust-point TP-self-signed-xxxxxx
-
SSH サーバの場合、注:証明書を使用してSSHセッションを認証する可能性は極めて低いことに注意してください。ただし、設定を確認することで確認できます。 影響を受けるには、次の 3 行すべてが必要です。
注 2:ユーザ名とパスワードの組み合わせを使用してデバイスに SSH 接続する場合、影響はありません。
ip ssh server certificate profile
! Certificate used by server
server
trustpoint sign TP-self-signed-xxxxxx
-
RESTCONF の場合、次のテキストが構成ファイルに含まれます。
restconf
! And one of the following
ip http secure-trustpoint TP-self-signed-XXXXXXXXX
! OR
ip http client secure-trustpoint TP-self-signed-XXXXXXXX
回避策とソリューション
解決策は、Cisco IOS または Cisco IOS XE ソフトウェアを、修正が含まれるリリースにアップグレードすることです。
- Cisco IOS XE ソフトウェアリリース 16.9.1 以降
- Cisco IOS ソフトウェアリリース 15.6(3)M7 以降 15.7(3)M5 以降または 15.8(3)M3 以降
ソフトウェアをアップグレードした後、自己署名証明書を再生成し、信頼ストア内の証明書を必要とするデバイスにエクスポートする必要があります。
即時のソフトウェアアップグレードが可能でない場合は、3 つの回避策を使用できます。
回避策 1:第3部の認証局(CA)から有効な証明書を取得する
認証局から証明書をインストールします。 一般的な CA には、Comodo、Let's Encrypt、RapidSSL、Thawte、Sectigo、GeoTrust、Symantec などがあります。
この回避策を使用すると、証明書要求が生成され、Cisco IOS によって表示されます。次に、管理者は要求をコピーし、サードパーティ CA に送信し、結果を取得します。
注: CA を使用して証明書に署名することは、セキュリティのベストプラクティスと見なされます。この手順は、この Field Notice の回避策として提供されます。ただし、自己署名証明書を使用するのではなく、この回避策を適用した後も、引き続きサードパーティの CA 署名付き証明書を使用することをお勧めします。
サードパーティCAから証明書をインストールするには、次の手順を実行します。
-
証明書署名要求(CSR)を作成します。
Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# crypto pki trustpoint TEST
Router(ca-trustpoint)# enrollment term pem
Router(ca-trustpoint)# subject-name CN=TEST
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# rsakeypair TEST
Router(ca-trustpoint)# exit
Router(config)# crypto pki enroll TEST
% Start certificate enrollment ..
% The subject name in the certificate will include: CN=TEST
% The subject name in the certificate will include: Router.cisco.com
% The serial number in the certificate will be: FTX1234ABCD
% Include an IP address in the subject name? [no]: no
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----
A Base64 Certificate is displayed here. Copy it, along with the ---BEGIN and ---END lines.
-----END CERTIFICATE REQUEST-----
---End - This line not part of the certificate request---
-
CSR をサードパーティ CA に送信します。
注: CSR をサードパーティ CA に送信し、結果の証明書を取得する手順は、使用されている CA によって異なります。この手順の実行方法については、CA のマニュアルを参照してください。
-
ルータの新しい ID 証明書と CA 証明書をダウンロードします。
-
デバイスに CA 証明書をインストールします。
Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# crypto pki auth TEST
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
REMOVED
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: 79D15A9F C7EB4882 83AC50AC 7B0FC625
Fingerprint SHA1: 0A80CC2C 9C779D20 9071E790 B82421DE B47E9006
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
-
デバイスに ID 証明書をインストールします。
Router(config)# crypto pki import TEST certificate
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
REMOVED
-----END CERTIFICATE-----
% Router Certificate successfully imported
回避策 2 : IOS CA サーバを使用して新しい証明書を生成する
ローカルの Cisco IOS 認証局サーバを使用して、新しい証明書を生成し、署名します。
注: ローカル CA サーバ機能は、一部の製品では使用できません。
Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip http server
Router(config)# crypto pki server IOS-CA
Router(cs-server)# grant auto
Router(cs-server)# database level complete
Router(cs-server)# no shut
%Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key
% or type Return to exit
Password: <password>
Re-enter password: <password>
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
% Certificate Server enabled.
Router# show crypto pki server IOS-CA Certificates
Serial Issued date Expire date Subject Name
1 21:31:40 EST Jan 1 2020 21:31:40 EST Dec 31 2022 cn=IOS-CA
Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# crypto pki trustpoint TEST
Router(ca-trustpoint)# enrollment url http://<local interface ip>:80 # Replace <local interface ip> with the IP address of an interface on the router
Router(ca-trustpoint)# subject-name CN=TEST
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# rsakeypair TEST
Router(ca-trustpoint)# exit
Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# crypto pki auth TEST
Certificate has the following attributes:
Fingerprint MD5: C281D9A0 337659CB D1B03AA6 11BD6E40
Fingerprint SHA1: 1779C425 3DCEE86D 2B11C880 D92361D6 8E2B71FF
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
Router(config)# crypto pki enroll TEST
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password: <passsword>
Re-enter password: <password>
% The subject name in the certificate will include: CN=TEST
% The subject name in the certificate will include: Router.cisco.com
% Include the router serial number in the subject name? [yes/no]: yes
% The serial number in the certificate will be: FTX1234ABCD
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose TEST' command will show the fingerprint.
回避策 3 : OpenSSL を使用して新しい自己署名証明書を生成する
OpenSSL を使用して PKCS12 証明書バンドルを生成し、Cisco IOS にバンドルをインポートします
LINUX、UNIX、または MAC(OSX)の例
User@linux-box$ openssl req -newkey rsa:2048 -nodes -keyout tmp.key -x509 -days 4000 -out tmp.cer -subj
"/CN=SelfSignedCert" &> /dev/null && openssl pkcs12 -export -in tmp.cer -inkey tmp.key -out tmp.bin
-passout pass:Cisco123 && openssl pkcs12 -export -out certificate.pfx -password pass:Cisco123 -inkey
tmp.key -in tmp.cer && rm tmp.bin tmp.key tmp.cer && openssl base64 -in certificate.pfx
MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQIGnxm
t5r28FECAggAgIIDEKyw10smucdQGt1c0DdfYXwUo8BwaBnzQvN0ClawXNQln2bT
vrhus6LfRvVxBNPeQz2ADgLikGxatwV5EDgooM+IEucKDURGLEotaRrVU5Wk3EGM
mjC6Ko9OaM30vhAGEEXrk26cq+OWsEuF3qudggRYv2gIBcrJ2iUQNFsBIrvlGHRo
FphOTqhVaAPxZS7hOB30cK1tMKHOIa8EwygyBvQPfjjBT79QFgeexIJFmUtqYX/P
<OUTPUT OMITTED FOR BREVITY>
tT6r4SuibYKu6HV45ffjSzOimcJI+D9LKhLWR6pK/k5ge8v7aK9/rsVbjavbdy7b
CSqGSIb3DQEJFTEWBBS96DY/gRfN1dSx46P1EqjPvSYiETAxMCEwCQYFKw4DAhoF
AAQU+EX0kNvuNz6XmFxXER8wlqKTGvgECA+D+Z81uwafAgIIAA==
Cisco IOS または IOS XE ルータの例
Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# crypto pki trustpoint TEST
Router(ca-trustpoint)# enrollment terminal
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# exit
R1(config)#crypto pki import TEST pkcs12 terminal password Cisco123
Enter the base 64 encoded pkcs12.
End with a blank line or the word "quit" on a line by itself:
MIII8QIBAzCCCLcGCSqGSIb3DQEHAaCCCKgEggikMIIIoDCCA1cGCSqGSIb3DQEH
BqCCA0gwggNEAgEAMIIDPQYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQItyCo
Vh05+0QCAggAgIIDENUWY+UeuY5sIRZuoBi2nEhdIPd1th/auBYtX79aXGiz/iEW
<OUTPUT OMITTED FOR BREVITY>
IY1l273y9bC3qPVJ0UGoQW8SGfarqEjaqxdAet66E5V6u9Yvd4oMsIYGsa70m+FN
CsUVj+ll5hzGjK78L0ycXWpH4gDOGYBVf+D7mgWqaqZvxYUoEkOrTMmW5zElMCMG
CSqGSIb3DQEJFTEWBBSgiBJIYpJLzo/GYN0sesZh3wGmPTAxMCEwCQYFKw4DAhoF
AAQUdeUrLIC2uo/mbyE86he5+qEjmPYECKu76GWaeKb7AgIIAA==
quit
CRYPTO_PKI: Imported PKCS12 file successfully.
R1(config)#
新しい証明書がインストールされていることを確認します。
R1#show crypto pki certificates TEST
Load for five secs: 5%/1%; one minute: 2%; five minutes: 3%
Time source is SNTP, 15:04:37.593 UTC Mon Dec 16 2019
CA Certificate
Status: Available
Certificate Serial Number (hex): 00A16966E46A435A99
Certificate Usage: General Purpose
Issuer:
cn=SelfSignedCert
Subject:
cn=SelfSignedCert
Validity Date:
start date: 14:54:46 UTC Dec 16 2019
end date: 14:54:46 UTC Nov 28 2030
その他の情報
FN70489 を参照:Field Notice: FN - 70489 - PKI Self-Signed Certificate Expiration in Cisco IOS and Cisco IOS XE Software
CSCvi48253
を参照:Self-signed certificates expire on 00:00 1 Jan 2020 UTC, can't be created after that time.
Q&A
Q: 問題は何ですか。
該当する Cisco IOS または Cisco IOS-XE バージョンを実行する製品で生成された自己署名 X.509 PKI 証明書は、01/01/2020 00:00:00 UTC で期限切れになります。01/01/2020 00:00:00 UTC 以降の影響を受けるデバイスでは、新しい自己署名証明書を作成できません。これらの自己署名証明書に依存するサービスは、証明書の期限が切れた後は機能しなくなる可能性があります。
Q:製品の自己署名証明書が期限切れになると、お客様のネットワークにどのような影響がありますか。
自己署名証明書に依存する影響を受ける製品の機能は、証明書の期限が切れると機能しなくなる可能性があります。 詳細については、Field Noticeを参照してください。
Q:この問題に該当するかどうかを確認するにはどうすればよいですか。
Field Notice には、自己署名証明書を使用しているかどうか、および設定がこの問題の影響を受けるかどうかを判断する手順が記載されています。Field Notice の「該当製品の識別方法」の項を参照してください。
Q:影響を受けているかどうかを確認するために実行できるスクリプトはありますか。
はい。Cisco CLI Analyzer を使用して、システム診断の実行を実行します。証明書が存在し、使用中の場合は、アラートが表示されます。https://cway.cisco.com/cli/
Q. この問題に対してシスコが提供したソフトウェア修正はありますか。
はい。シスコは、この問題に対するソフトウェア修正と、ソフトウェアのアップグレードが即座に実行できない場合の回避策をリリースしました。詳細については、Field Notice を参照してください。
Q:この問題は、証明書を使用するシスコ製品に影響を与えますか。
いいえ。この問題は、特定のバージョンの Cisco IOS または Cisco IOS-XE で生成された自己署名証明書を使用する製品に対してのみ影響を及ぼし、証明書が製品のサービスに適用されます。認証局(CA)によって生成された証明書を使用する製品は、この問題の影響を受けません。
Q:シスコ製品は自己署名証明書のみを使用しますか。
いいえ。証明書は、外部のサードパーティ認証局によって生成されるか、Cisco IOS または Cisco IOS-XE デバイス自体で自己署名証明書として生成されます。お客様固有の要件により、自己署名証明書を使用する選択が可能になる場合があります。認証局(CA)によって生成された証明書は、この問題の影響を受けません。
Q. この問題が発生した理由は何ですか。
残念ながら、テクノロジーベンダーの最善の取り組みにもかかわらず、ソフトウェアの欠陥は依然として発生しています。シスコのテクノロジーにバグが見つかると、シスコは、透明性を高め、お客様がネットワークを保護するために必要な情報を提供することに取り組んでいます。
この場合、問題は、Cisco IOS および Cisco IOS-XE の該当するバージョンでは、自己署名証明書の有効期限が常に 01/01/2020 00:00:00 UTC に設定される、既知のソフトウェアバグが原因で発生します。この日付を過ぎると、証明書の有効期限が切れ、無効になり、製品の機能に影響を与える可能性があります。
Q:2020 年 1 月 1 日 00:00:00 UTC の有効期限が選択されたのはなぜですか。
通常、証明書には有効期限が設定されます。このソフトウェアバグの場合、2020 年 1 月 1 日は、10 年以上前の Cisco IOS および Cisco IOS-XE ソフトウェアの開発時に使用され、人為的なミスです。
Q:この問題の影響を受ける製品は何ですか。
15.6(03)M07、15.7(03)M05、15.8(03)M03、15.9(03)M より前の Cisco 製品と、16.9.1 より前の Cisco IOS-XE リリースを実行するシスコ製品
Q:お客様は何をする必要があるか。
お客様に Field Notice を確認して、この問題の影響を受けているかどうかを評価し、影響を受けている場合は、回避策とソリューションの指示に従ってこの問題を軽減するようお願いします。
Q:この問題はセキュリティの脆弱性ですか。
いいえ。これはセキュリティの脆弱性ではなく、製品の整合性に関するリスクもありません。
Q:SSH は影響を受けますか。
いいえ。SSH は RSA キーペアを使用しますが、まれな設定以外は証明書を使用しません。IOS が証明書を使用するには、次の設定が存在する必要があります。
ip ssh server certificate profile
server
trustpoint sign TP-self-signed-xxxxxx
Q:クラシックCatalyst 2000、3000、4000、6000プラットフォームでは、どの修正済みバージョンが利用できますか。
Polaris ベースのプラットフォーム(3650/3850/Catalyst 9Kシリーズ)では、修正が16.9.1以降で利用可能
CDB プラットフォームでは、修正が15.2(7)E1a以降で利用可能
その他のクラシックスイッチングプラットフォームの場合:
コミットは進行中ですが、CCO リリースは投稿されていません。次回の CCO リリースには修正が含まれます。
interm では、他の回避策の 1 つを使用してください。
Q: WAAS に影響はありますか。
WAAS は引き続き正常に動作し、トラフィックを最適化しますが、AppNav-XE と Central Manager は、期限切れの自己署名証明書を持つデバイスにオフラインになります。つまり、AppNav-Cluster を監視したり、WAAS のポリシーを変更したりすることはできません。要約すると、WAAS は引き続き正常に動作しますが、証明書の問題が解決するまで管理と監視は中断されます。 この問題を解決するには、IOS で新しい証明書を生成し、Central Manager にインポートする必要があります。