Introduzione
Questo documento descrive le informazioni richieste sulla rigenerazione della licenza e sull'annuncio relativo alla versione 3.9.0 e successive. Fare riferimento alle note di rilascio di Private Cloud: https://docs.amp.cisco.com/Private%20Cloud%20Release%20Notes.pdf
IMPORTANTE! Un certificato radice Secure Endpoint Private Cloud scadrà il 3 settembre 2023. Di conseguenza, la licenza scadrà contemporaneamente. Contattare il supporto tecnico per ottenere un nuovo file di licenza e mantenere il normale funzionamento.
Dettagli tecnici
Versione interessata: tutte le licenze Cisco Secure Endpoint Private Cloud supportate sono state generate prima dell'11 aprile 2023.
Il certificato CA radice corrente utilizzato come certificato CA radice interno per la catena di certificati scadrà il 3 settembre 2023. Questo è un frammento del certificato che si trova nel seguente percorso: /opt/fire/etc/ssl/certs (è possibile selezionare questo percorso sull'accessorio solo se l'accesso SSH è abilitato sull'accessorio)
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/root.fireamp.crt Certificate: Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Sep 4 17:32:46 2013 GMT Not After : Sep 2 17:32:46 2023 GMT Subject: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA
Per rinnovare il certificato e la catena di certificati correlata, è necessaria la rigenerazione delle licenze. È necessario generare una nuova licenza e applicarla sull'appliance del cloud privato per garantire che il dispositivo rimanga funzionante.
Con la rigenerazione delle licenze, questi certificati verranno rinnovati:
-
ca_intermediate.crt: certificato intermedio utilizzato internamente per firmare la catena di certificati
-
ca_sign.crt: certificato utilizzato per firmare i criteri dei connettori
-
chained.fireamp.crt: utilizzato per la convalida dei certificati per i servizi interni
IMPORTANTE: root.fireamp.crt non verrà rinnovato durante il rinnovo della licenza o con l'aggiornamento alla versione 3.9.0. Il certificato verrà rinnovato con la versione 4.0.1 dell'accessorio.
Conseguenze
Se le nuove licenze non sono installate sull'accessorio e il certificato CA scade, si verificheranno errori di sincronizzazione dei criteri sui connettori quando vengono apportate modifiche ai criteri dal portale. È quindi di fondamentale importanza che la licenza venga aggiornata prima della scadenza del 3 settembre 2023
Rigenerazione delle licenze
Per richiedere la rigenerazione delle licenze con i certificati aggiornati, è necessario contattare il team di gestione licenze di Secure Endpoint.
Per ottenere un nuovo file di licenza, aprire una richiesta di assistenza online in Support Case Manager: https://mycase.cloudapps.cisco.com/case
Passaggio 1: Una volta effettuato l'accesso al portale di assistenza Cisco con il proprio ID Cisco, fare clic su "Open New Case" (Apri nuova richiesta)
Fase 2: selezionare Software Licensing -> Security Related Licensing -> FireAMP/ThreatGrid.
Passaggio 3: inserire queste informazioni nella "Descrizione del problema"
ID Cisco.com:
Nome prodotto: Cisco Secure Endpoint Private Cloud
Dettagli richiesta/problema: licenza cloud privata con nuova CA radice
Cisco SO# e/o ID ordine Web n.:
Nome azienda:
Nome completo:
Email:
ID dispositivo:
IMPORTANTE!!
Passo 4: vi chiediamo di aggiungere uno screenshot della pagina License dal portale di amministrazione (In Configuration-> License)
Passaggio 5: Dopo aver ricevuto la richiesta, verrà generata una nuova licenza. Le nuove licenze verranno inviate tramite e-mail dai nostri team per il provisioning degli endpoint sicuri
Sostituisci licenza
Per istruzioni su come usare la nuova licenza ricevuta dal team di gestione delle licenze Cisco, consultare la guida al portale di amministrazione Secure Endpoint Private Cloud qui: https://docs.amp.cisco.com/SecureEndpointPCAdminGuide.pdf
Fare riferimento alla sezione "Licenza" a pagina 28
Dopo aver sostituito la licenza, riconfigurare l'accessorio in modo che la nuova licenza diventi effettiva.
Verifica
IMPORTANTE: per l'appliance della versione 3.9.0 e successive, la notifica sul portale di amministrazione dell'appliance cloud privata sarà presente anche dopo l'applicazione della nuova licenza e può essere ignorata. Questo problema verrà risolto nell'accessorio versione 4.1.0 e per verificare che sia stato risolto nelle versioni precedenti, è possibile seguire questa procedura.
Per assicurarsi che i certificati siano stati rinnovati correttamente, eseguire la procedura seguente:
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_intermediate.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_signing.crt Certificate: Data: Version: 3 (0x2) Serial Number: 7330 (0x1ca2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud Intermediate CA/emailAddress=private-cloud-licensing@sourcefire.com Validity Not Before: Apr 11 12:42:45 2023 GMT Not After : Apr 9 12:42:45 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/chained.fireamp.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT
Feedback