无法避免:IOS系统开发人员的人为错误,软件开发版本超过10年。
解决方案:
1,升级官网IOS,重新签名生成证书.
2,调整设备系统时间至2020年1月1日零点之前。
3,从第三部分证书颁发机构(CA)获得有效的证书
4,使用IOS CA Server生成新证书
5,使用OpenSSL生成新的自签名证书
受影响的系统:
使用自签名Certficate所有的IOS / IOS-XE系统,不具备CSCvi48253 CSCvi48253的错误预览修复,或者说没有足够的CSCvi48253 CSCvi48253的错误预览生成的SSC时修复。这包括:
所有IOS 12.x
在15.6(3)M7、15.7(3)M5、15.8(3)M3、15.9(3)M之前的所有IOS 15.x
16.9.1之前的所有IOS-XE
产生影响:
TLS上的SIP呼叫将无法完成。
注册到启用了加密信号的Cisco Unified CME的设备将不再起作用。
启用了加密信令的Cisco Unified SRST将不允许设备注册。
启用了加密信令的Cisco IOS dspfarm资源(会议,媒体终端点或代码转换)将不再注册。
配置了加密信令的STCAPP端口将不再注册。
在没有预共享密钥的情况下使用MGCP或IPSec通过H.323呼叫信令通过网关进行的呼叫将失败。
在安全模式下(使用HTTPS)使用Cisco Unified Communications Gateway服务API的API调用将失败。
RESTCONF可能会失败。
用于管理设备的HTTPS会话将显示浏览器警告,表明证书已过期。
AnyConnect SSL VPN会话将无法建立或报告无效的证书。
IPSec连接将无法建立。
如何确定是否影响自己:
1. SSL VPN接入,使用自签名证书认证,配置中包含
webvpn gateway <gw name>
ssl trustpoint TP-self-signed-XXXXXXXX
OR
crypto ssl policy <policy-name>
pki trustpoint <trustpoint-name> sign
2. 使用IPSEC ISAKMP and IKEv2 建立VPN,配置中包含
crypto isakmp policy <number>
authentication pre-share | rsa-encr < NOT either of these
!
crypto ikev2 profile <prof name>
authentication local rsa-sig
pki trustpoint TP-self-signed-xxxxxx
!
crypto isakmp profile <prof name>
ca trust-point TP-self-signed-xxxxxx
3. 使用思科设备做SSH SERVER,并且配置中包含以下自签名证书认证(SSH SERVER通过账号密码认证的SSH SERVER将不受影响)
ip ssh server certificate profile
! Certificate used by server
server
trustpoint sign TP-self-signed-xxxxxx
4. 使用SIP over TLS,配置中包含
voice service voip
sip
session transport tcp tls
!
sip-ua
crypto signaling default trustpoint <self-signed-trustpoint-name>
! or
crypto signaling remote-addr a.b.c.d /nn trustpoint <self-signed-trustpoint-name>
!
5. 使用 Cisco Unified CME 的 启用加密证书encrypted signaling enabled,配置中包含
telephony-service
secure-signaling trustpoint <self-signed-trustpoint-name>
tftp-server-credentials trustpoint <self-signed-trustpoint-name>
6. 使用Cisco Unified Communications Gateway Services API in Secure Mode,,配置中包含
uc secure-wsapi
ip http secure-server
ip http secure-trustpoint TP-self-signed-XXXXXXXX
7. 使用 Cisco Unified SRST with encrypted signaling enabled,配置中包含
credentials
trustpoint <self-signed-trustpoint-name
8. Cisco IOS dspfarm resources (Conference, Media Termination Point, or Transcoding) with encrypted signaling enabled,配置中包含
dspfarm profile 1 conference security
trustpoint <self-signed-trustpoint-name>
!
dspfarm profile 2 mtp security
trustpoint <self-signed-trustpoint-name>
!
dspfarm profile 3 transcode security
trustpoint <self-signed-trustpoint-name>
!
sccp ccm 127.0.0.1 identifier 1 priority 1 version 7.0 trustpoint <self-signed-trustpoint-name>
!
9. 使用STCAPP ports configured with encrypted signaling,配置中包含
stcapp security trustpoint <self-signed-trustpoint-name>
stcapp security mode encrypted
Cisco官方问答:
问:产生什么问题?
在运行受影响的Cisco IOS或Cisco IOS-XE版本的产品上生成的自签名X.509 PKI证书将于UTC时间01/01/2020 00:00:00过期。在世界标准时间01/01/2020 00:00:00之后,无法在受影响的设备上创建新的自签名证书。证书过期后,任何依赖于这些自签名证书的服务都将不再起作用。
问:如果产品的自签名证书过期,对客户网络有什么影响?
证书过期后,任何依赖于自签名证书的受影响产品的功能都可能不再起作用。请参阅现场通知以获取更多详细信息。
问:如何知道我是否受此问题影响?
现场通知提供了确定您是否使用自签名证书以及您的配置是否受此问题影响的说明。请参阅现场通知中的“如何识别受影响的产品”部分。
问:是否可以运行一个脚本来查看我是否受到影响?
是。使用Cisco CLI分析器,运行系统诊断运行。如果该证书存在并且正在使用,将显示警报。https://cway.cisco.com/cli/
问:思科是否提供了针对此问题的软件修复程序?
是。思科已经发布了针对此问题的软件修补程序,以及在无法立即进行软件升级的情况下的解决方法。请参阅现场通知以获取完整详细信息。
问:此问题是否影响使用证书的任何思科产品?
否。此问题仅影响使用由Cisco IOS或Cisco IOS-XE特定版本生成的自签名证书的产品,并且该证书已应用于该产品上的服务。使用证书颁发机构(CA)生成的证书的产品不受此问题的影响。
问:思科产品是否仅使用自签名证书?
可以。证书可以由外部第三方证书颁发机构生成,也可以在Cisco IOS或Cisco IOS-XE设备本身上作为自签名证书生成。特定的客户要求可能导致选择使用自签名证书。由证书颁发机构(CA)生成的证书不受此问题的影响。
问:为什么会发生此问题?
不幸的是,尽管技术供应商做出了最大的努力,但是软件缺陷仍然会发生。如果发现任何思科技术中的错误,我们将致力于提高透明度并致力于为客户提供保护其网络所需的信息。
在这种情况下,此问题是由一个已知的软件错误引起的,在该错误中,受影响的Cisco IOS和Cisco IOS-XE版本将始终将自签名证书的到期日期设置为UTC 01/01/2020 00:00:00。在此日期之后,证书将过期且无效,这可能会影响产品功能。
问:为什么选择了2020年1月1日UTC的截止日期?
证书通常具有到期日期。对于此软件错误,十年前的Cisco IOS和Cisco IOS-XE软件开发期间使用了2020年1月1日,这是人为错误。
问:此问题影响哪些产品?
运行15.6(03)M07、15.7(03)M05、15.8(03)M03和15.9(03)M之前的Cisco IOS版本的任何Cisco产品以及运行16.9.1之前的Cisco IOS-XE版本的任何Cisco产品
问:客户需要做什么?
我们要求我们的客户查看现场通知,以评估他们是否受到此问题的影响;如果是,请按照变通办法/解决方案的指示来缓解此问题。
问:这是一个安全漏洞吗?
否。这不是安全漏洞,并且不存在产品完整性的风险。
问:SSH是否受到影响?
不会。SSH确实使用RSA密钥对,但除了极少数配置之外,不使用证书。为了使IOS利用证书,必须存在以下配置。
ip ssh服务器证书配置文件
服务器
信任点签名TP-self-signed-xxxxxx
问:Classic Catalyst 2K,3K,4K,6K平台有哪些固定版本可用?
对于基于Polaris的平台(3650/3850 / Catalyst 9K系列),此修复程序自16.9.1起;
对于CDB平台,其修复程序自15.2(7)E1a起
对于其他经典交换平台:
提交正在进行中,但我们尚未发布CCO发布。下一个CCO版本将具有修复程序。
在期中,请利用其他可用的解决方法之一。
问:WAAS是否受到影响?
WAAS将继续正常运行并优化流量,但是AppNav-XE和中央管理器将脱机到具有过期自签名证书的设备。这意味着无法监视AppNav-Cluster或更改WAAS的任何策略。总而言之,WAAS将继续正常运行,但是将暂停管理和监视,直到解决证书问题为止。要解决此问题,需要在IOS上生成一个新证书,然后将其导入到Central Manager中。
网友评论