Introduction
Ce document décrit les informations requises sur la régénération de licence et sur cette annonce avec la version 3.9.0 et les versions ultérieures. Reportez-vous aux notes de version du cloud privé : https://docs.amp.cisco.com/Private%20Cloud%20Release%20Notes.pdf
IMPORTANT ! Un certificat racine de cloud privé de terminal sécurisé expirera le 3 septembre 2023. Par conséquent, votre licence expirera en même temps. Contactez le support technique pour obtenir un nouveau fichier de licence et maintenir un fonctionnement normal.
Détails techniques
Version concernée : toutes les licences de cloud privé Cisco Secure Endpoint prises en charge sont générées avant le 11 avril 2023.
Le certificat d'autorité de certification racine actuel utilisé comme certificat d'autorité de certification racine interne pour notre chaîne de certificats expirera le 3 septembre 2023. Il s'agit d'un extrait du certificat qui se trouve sur ce chemin : /opt/fire/etc/ssl/certs (Vous ne pourrez accéder à ce chemin sur l'appliance que si vous avez l'accès SSH activé sur l'appliance)
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/root.fireamp.crt Certificate: Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Sep 4 17:32:46 2013 GMT Not After : Sep 2 17:32:46 2023 GMT Subject: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA
La régénération de la licence serait nécessaire pour renouveler ce certificat et la chaîne de certificats associée. il est obligatoire d'obtenir une nouvelle licence générée et appliquée sur l'appliance de cloud privé pour garantir que le périphérique reste fonctionnel.
Avec la régénération de la licence, ces certificats seraient renouvelés :
-
ca_intermedi.crt : il s'agit du certificat intermédiaire utilisé en interne pour signer la chaîne de certificats
-
ca_sign.crt : certificat utilisé pour signer les stratégies de connecteurs
-
chained.fireamp.crt : utilisé pour la validation des certificats pour les services internes
IMPORTANT : root.fireamp.crt ne sera pas renouvelé dans le cadre du renouvellement de la licence ou avec la mise à niveau vers la version 3.9.0. Ce certificat sera renouvelé dans le cadre de la version 4.0.1 de l'appliance.
Incidence
Si les nouvelles licences ne sont pas installées sur l'appliance et que le certificat CA expire, la synchronisation des stratégies échoue sur les connecteurs lorsque les modifications de stratégie sont effectuées à partir du portail. Il est donc essentiel que la licence soit mise à jour avant son expiration le 3 septembre 2023
Régénération de licence
Vous devez contacter l'équipe Secure Endpoint Licensing pour demander que vos licences soient régénérées avec les certificats mis à jour.
Pour obtenir un nouveau fichier de licence, ouvrez un dossier d'assistance en ligne dans Support Case Manager : https://mycase.cloudapps.cisco.com/case
Étape 1 : Une fois connecté au portail d'assistance Cisco avec votre ID Cisco, cliquez sur « Ouvrir un nouveau dossier »
Étape 2 : Sélectionnez Software Licensing -> Security Related Licensing -> FireAMP/ThreatGrid.
Étape 3 : Veuillez compléter ces informations dans la « Description du problème »
Cisco.com ID :
Nom du produit : Cloud privé Cisco Secure Endpoint
Détails du problème/de la demande : licence de cloud privé avec nouvelle autorité de certification racine
Numéro de commande Cisco et/ou ID de commande électronique :
Nom commercial :
Nom complet :
E-mail :
ID du périphérique :
IMPORTANT!!
Étape 4 : Nous vous demandons d'ajouter une capture d'écran de la page Licence du portail d'administration (sous Configuration-> Licence)
Étape 5 : Une fois la demande reçue, nous allons générer à nouveau une nouvelle licence. Les nouvelles licences seront envoyées par e-mail par nos équipes chargées du provisionnement des terminaux sécurisés
Remplacer la licence
Pour obtenir des instructions sur l'utilisation de la nouvelle licence reçue de l'équipe de gestion des licences Cisco, reportez-vous au guide Secure Endpoint Private Cloud Administration Portal, disponible à l'adresse suivante : https://docs.amp.cisco.com/SecureEndpointPCAdminGuide.pdf
Reportez-vous à la section « Licence », page 28
Une fois la licence remplacée, reconfigurez l'appliance pour que la nouvelle licence prenne effet.
Vérification
IMPORTANT : pour l'appliance 3.9.0 et versions ultérieures, la notification sur le portail d'administration de l'appliance de cloud privé est toujours présente même après l'application de la nouvelle licence et peut être ignorée en toute sécurité. Ce problème sera résolu dans la version 4.1.0 de l'appliance et pour confirmer que le problème a été résolu dans les versions précédentes, nous pouvons suivre ce processus.
Pour vous assurer que les certificats ont été renouvelés correctement, procédez comme suit :
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_intermediate.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_signing.crt Certificate: Data: Version: 3 (0x2) Serial Number: 7330 (0x1ca2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud Intermediate CA/emailAddress=private-cloud-licensing@sourcefire.com Validity Not Before: Apr 11 12:42:45 2023 GMT Not After : Apr 9 12:42:45 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/chained.fireamp.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT
Commentaires