セキュアエンドポイント – プライベートクラウドのルートCA証明書の有効期限

はじめに

このドキュメントでは、ライセンスの再生成に関する必要な情報と、バージョン3.9.0以降のこの発表に関する情報について説明します。『Private Cloud Release Notes』を参照してください。https://docs.amp.cisco.com/Private%20Cloud%20Release%20Notes.pdf

重要：セキュアエンドポイントのプライベートクラウドのルート証明書は、2023年9月3日で期限切れになります。その結果、ライセンスは同時に期限切れになります。サポートに連絡して、新しいライセンスファイルを取得し、通常の動作を維持してください。

技術詳細

該当バージョン：2023年4月11日より前に生成された、サポート対象のすべてのCisco Secure Endpointプライベートクラウドライセンス。  

証明書チェーンの内部ルートCA証明書として使用される現在のルートCA証明書は、2023年9月3日で期限が切れます。これは、次のパスにある証明書のスニペットです。/opt/fire/etc/ssl/certs（アプライアンスでSSHアクセスが有効になっている場合のみ、アプライアンスでこのパスを参照できます）

[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/root.fireamp.crt Certificate: Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Sep 4 17:32:46 2013 GMT Not After : Sep 2 17:32:46 2023 GMT Subject: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA 

この証明書および関連する証明書チェーンを更新するには、ライセンスの再生成が必要です。新しいライセンスを生成してプライベートクラウドアプライアンスに適用し、デバイスが引き続き機能することを確認する必要があります。

ライセンスを再生成すると、次の証明書が更新されます。

• ca_intermediate.crt：証明書チェーンの署名に内部的に使用される中間証明書

• ca_signing.crt：これは、コネクタポリシーの署名に使用される証明書です

• chained.fireamp.crt：内部サービスの証明書検証に使用されます。

重要：root.fireamp.crtは、ライセンスの更新や3.9.0リリースへのアップグレードでは更新されません。この証明書は、アプライアンスバージョンリリース4.0.1の一部として更新されます。

影響

アプライアンスに新しいライセンスがインストールされておらず、CA証明書の有効期限が切れると、ポータルからポリシーを編集したときにコネクタでポリシー同期エラーが発生します。したがって、2023年9月3日の有効期限が切れる前にライセンスを更新することが重要です

ライセンスの再生成

Secure Endpoint Licensing Teamに連絡して、更新された証明書でライセンスを再生成するように要求する必要があります。

新しいライセンスファイルを取得するには、Support Case Manager:https://mycase.cloudapps.cisco.com/caseでサポートケースをオンラインで開いてください。

ステップ1：シスコIDを使用してシスコサポートポータルにログインしたら、「Open New Case」をクリックします。

ステップ2:Software Licensing -> Security Related Licensing -> FireAMP/ThreatGridの順に選択します。  

ステップ3：この情報を「問題の説明」に記入してください。  

Cisco.com ID:

製品名：Cisco Secure Endpoint Private Cloud

問題/リクエストの詳細：プライベートクラウドライセンスと新しいルートCA

シスコSO番号またはWeb注文ID番号：

会社名：

正式名称:

[Email]：

Device Id :

重要!!

ステップ4:管理ポータルからライセンスページのスクリーンショットを追加するように要求されます(構成 – >ライセンスの下)

ステップ5：要求を受信したら、新しいライセンスを再生成します。新しいライセンスは、セキュアエンドポイントプロビジョニングチームから電子メールで送信されます。

ライセンスの交換

シスコライセンスチームから受け取った新しいライセンスの使用方法については、次のSecure Endpoint Private Cloud Administration Portalガイドを参照してください。https://docs.amp.cisco.com/SecureEndpointPCAdminGuide.pdf

28ページの「ライセンス」セクションを参照してください。

ライセンスを置き換えたら、新しいライセンスが有効になるようにアプライアンスを再設定してください。

検証

重要： 3.9.0以降のアプライアンスでは、新しいライセンスが適用された後でもPrivate Cloud Appliance Administration Portalの通知は表示されたままなので、無視しても問題ありません。これはアプライアンスリリース4.1.0で修正される予定です。この問題が以前のリリースで修正されていることを検証するために、このプロセスに従うことができます。

証明書が正しく更新されたことを確認するには、次の手順に従います。

[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_intermediate.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_signing.crt Certificate: Data: Version: 3 (0x2) Serial Number: 7330 (0x1ca2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud Intermediate CA/emailAddress=private-cloud-licensing@sourcefire.com Validity Not Before: Apr 11 12:42:45 2023 GMT Not After : Apr 9 12:42:45 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/chained.fireamp.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT