はじめに
このドキュメントでは、Cisco Cyber Vision Centerで期限切れの自己署名証明書(SSC)を更新する手順について説明します。
問題
Webインターフェイス用のセンサーとの通信にセンターが使用する証明書(外部証明書がない場合)は、センターの最初の起動時に生成され、2年間有効です(さらに2ヵ月の猶予期間があります)。時間が経過すると、センサーはセンターに接続できなくなり、ログに次のようなエラーが表示されます。
2023-08-04T09:47:53+00:00 c4819831-bf01-4b3c-b127-fb498e50778d sensorsyncd[1]: 04/08/2023 09:47:53 sensorsyncd WARN failed to connect to center: rabbitmq error: x509: certificate has expired or is not yet valid: current time 2023-08-04T09:47:53Z is after 2023-08-02T10:35:35Z [caller=push.go:42]
また、Web UIへの接続は、使用されている外部証明書がない場合、Webブラウザに応じてエラーが表示されるか、ブロックされます。
解決方法
バージョン4.2.xに適用されます。バージョン4.2.1以降では、Web GUIからも実行できます。
センター証明書を再生成する手順
- 現在の証明書を検証する
root@center:~# openssl x509 -subject -startdate -enddate -noout -in /data/etc/ca/center-cert.pem
subject=CN = CenterDemo
notBefore=Aug 8 11:42:30 2022 GMT
notAfter=Oct 6 11:42:30 2024 GMT
2.新しい証明書を生成する
新しい証明書を生成するには、前の手順で取得した共通名(「subject=CN」フィールドから)を使用する必要があります
root@center:~# sbs-pki --newcenter=CenterDemo
6C89E224EBC77EF6635966B2F47E140C
3.センターを再起動します。
Local CenterとGlobal Centerの両方を含む展開では、Local Centerの登録を解除し、再登録することが重要です。
センサー証明書を再生成する手順
センター証明書の有効期限が切れている場合、一部のセンサー証明書もセンターでセンサーが作成された時点から2年間有効であるため、有効期限が切れる可能性があります。
- 拡張機能がインストールされたセンサーの場合、再展開では新しい証明書が使用されます。
- 手動で配置されたセンサーの場合:
- センサーのシリアル番号を使用して、センターで新しい証明書を生成します。
root@center:~# sbs-pki --newsensor=FCWTEST
326E50A526B23774CBE2507D77E28379
コマンドによって返されるIDをメモする
2.このセンサーのセンサーIDを取得します
root@center:~# sbs-sensor list
c6e38190-f952-445a-99c0-838f7b4bbee6
FCWTEST (serial number=FCWTEST)
version:
status: ENROLLED
mac:
ip:
capture mode: optimal
model: IOX
hardware:
first seen on 2022-08-09 07:23:15.01585+00
uptime 0
last update on: 0001-01-01 00:00:00+00
3. センサーのデータベースを証明書IDで更新します
root@center:~# sbs-db exec "UPDATE sensor SET certificate_serial='326E50A526B23774CBE2507D77E28379' WHERE id='c6e38190-f952-445a-99c0-838f7b4bbee6'"
UPDATE 1
Certificate serialは、最初のステップから取得した値で、センサーのセンサーIDを示す必要があります
4. Web GUIからこのセンサーのプロビジョニングパッケージをダウンロードします
5.このプロビジョニングパッケージで展開をやり直します
フィードバック