Introducción
Este documento describe la información necesaria sobre la Regeneración de licencias y sobre este anuncio con la versión 3.9.0 y posterior. Consulte las notas de la versión de la nube privada: https://docs.amp.cisco.com/Private%20Cloud%20Release%20Notes.pdf
¡IMPORTANTE! El certificado raíz de Secure Endpoint Private Cloud caducará el 3 de septiembre de 2023. Como resultado, su licencia caducará al mismo tiempo. Póngase en contacto con el soporte técnico para obtener un nuevo archivo de licencia y mantener el funcionamiento normal.
Detalles técnicos
Versión afectada: todas las licencias de Cisco Secure Endpoint Private Cloud admitidas se generaron antes del 11 de abril de 2023.
El certificado de CA raíz actual que se utiliza como certificado de CA raíz interna para nuestra cadena de certificados vencerá el 3 de septiembre de 2023. Este es un fragmento del Certificado que se encuentra en esta trayectoria: /opt/fire/etc/ssl/certs (Usted podría navegar a esta trayectoria en el dispositivo solamente si tiene el Acceso SSH Habilitado en el Dispositivo)
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/root.fireamp.crt Certificate: Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Sep 4 17:32:46 2013 GMT Not After : Sep 2 17:32:46 2023 GMT Subject: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA
La regeneración de licencias sería necesaria para renovar este certificado y la cadena de certificados relacionada. Es obligatorio obtener una nueva licencia generada y aplicada en el appliance de nube privada para garantizar que el dispositivo sigue funcionando.
Con la regeneración de licencias, estos certificados se renovarían:
-
ca_intermediate.crt: Este es el certificado intermedio que se utiliza internamente para firmar la cadena de certificados
-
ca_signing.crt: se trata del certificado utilizado para firmar las directivas de conectores
-
chained.fireamp.crt: se utiliza para la validación de certificados para servicios internos
IMPORTANTE: root.fireamp.crt no se renovaría como parte de la renovación de la licencia o con la actualización a la versión 3.9.0. Este certificado se renovaría como parte de la versión del dispositivo 4.0.1.
Impacto
Si las nuevas licencias no se instalan en el dispositivo y el certificado de la CA caduca, se producirían errores de sincronización de directivas en los conectores cuando las modificaciones de directivas se realizan desde el portal. Por lo tanto, es fundamental que la licencia se actualice antes de que caduque el 3 de septiembre de 2023
Regeneración de licencias
Tendría que ponerse en contacto con el equipo de licencias de Secure Endpoint para solicitar que sus licencias se vuelvan a generar con los certificados actualizados.
Para obtener un nuevo archivo de licencia, abra un caso de soporte en línea en el Administrador de casos de soporte: https://mycase.cloudapps.cisco.com/case
Paso 1: Una vez que inicie sesión en el portal de asistencia de Cisco con su ID de Cisco, haga clic en "Abrir nuevo caso"
Paso 2: Seleccione Software Licensing -> Security Related Licensing -> FireAMP/ThreatGrid.
Paso 3: Cumplimente esta información en la "Descripción del problema"
ID de Cisco.com:
Nombre del producto: Cisco Secure Endpoint Private Cloud
Detalles del problema/la solicitud: licencia de nube privada con la nueva CA raíz
Nº de pedido de venta de Cisco o Nº de ID del pedido web:
Nombre comercial:
Nombre completo:
Correo electrónico:
ID de dispositivo:
IMPORTANTE!
Paso 4: Le solicitamos que agregue una captura de pantalla de la página Licencia desde Administration Portal (en Configuración-> Licencia)
Paso 5: Una vez que se reciba la solicitud, volveremos a generar una nueva licencia. Nuestros equipos de aprovisionamiento de terminales seguros enviarían nuevas licencias por correo electrónico
Sustituir licencia
Para obtener instrucciones sobre cómo utilizar la nueva licencia recibida del equipo de licencias de Cisco, consulte la guía del portal de administración de Secure Endpoint Private Cloud aquí: https://docs.amp.cisco.com/SecureEndpointPCAdminGuide.pdf
Consulte la sección "Licencia" en la página 28
Una vez que haya sustituido la licencia, vuelva a configurar el dispositivo para que la nueva licencia surta efecto.
Verificación
IMPORTANTE: para el dispositivo en la versión 3.9.0 y posterior, la notificación en el portal de administración de dispositivos de nube privada seguirá estando presente incluso después de que se aplique la nueva licencia y se pueda ignorar de forma segura. Esto se solucionará en la versión 4.1.0 del dispositivo y, para validar que el problema se ha corregido en versiones anteriores, podemos seguir este proceso.
Para asegurarse de que los certificados se renovaron correctamente, siga estos pasos:
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_intermediate.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_signing.crt Certificate: Data: Version: 3 (0x2) Serial Number: 7330 (0x1ca2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud Intermediate CA/emailAddress=private-cloud-licensing@sourcefire.com Validity Not Before: Apr 11 12:42:45 2023 GMT Not After : Apr 9 12:42:45 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/chained.fireamp.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT