Cisco-Admins aufgepasst: Selbst signierte X.509-Zertifikate laufen am 1.1.20 aus

Wer Netzwerkgeräte von Cisco einsetzt und auf selbst signierte X.509-Zertifikate für beispielsweise SSH-Verbindungen setzt, sollte zügig handeln: Die Zertifikate sind ab 01. Januar 2020 nicht mehr gültig. Problematisch ist, dass man danach keinen neuen mehr erstellen kann. Dementsprechend sind Verbindungsprobleme nicht ausgeschlossen.Updates schaffen Abhilfe.

Darauf weist Cisco in einer Mitteilung hin. Betroffen sind alle Netzwerkgeräte des Herstellers die auf das hauseigene Betriebssystem IOS oder IOS XE setzen. Das sind beispielsweise verschiedene Router-Serien und Switches. Von der Problematik sind aber ausschließlich unter IOS selbst signierte X.509-Zertifikate betroffen, die aktiv im Einsatz für Features wie SSH oder RESTCONF sind. Wer auf von einer Zertifizierungsstelle (CA) signierte Zertifikate setzt, ist von der Problematik nicht betroffen.

Jetzt handeln!

Haben die Zertifikate ihre Gültigkeit verloren, sind damit ausgestattete Dienste unter Umständen nicht mehr erreichbar. Da man Cisco zufolge danach keinen neuen selbst signierten Zertifikate mehr erzeugen kann, ist das ein echtes Problem. Vor diesem Hintergrund mutet es seltsam an, dass Cisco erst jetzt kurz vor knapp davor warnt.

Betroffene Admins sollten daher jetzt die verfügbaren aktualisierten IOS- und IOS-XE-Versionen installieren. Cisco gibt an, das Problem ab IOS 15.6(3)M7, 15.7(3)M5 und 15.8(3)M3 und IOS XE 16.9.1 gelöst zu haben. Anschließend muss man die Zertifikate neu generieren und sie an die entsprechenden Stellen exportieren.

In der Meldung finden Admins noch Workaorunds, um die Problematik zu lösen. So schafft beispielsweise der Umstieg auf von einer CA signierte Zertifikat Abhilfe. (des)