소개
이 문서에서는 Cisco Cyber Vision Center에서 만료된 SSC(Self-Signed Certificate)를 갱신하는 단계에 대해 설명합니다.
문제
웹 인터페이스에 대한 센서와의 통신을 위해 센터에서 사용하는 인증서(외부 인증서가 없는 경우)는 센터의 첫 번째 시작 시 생성되며 2년(추가 2개월 유예 기간 포함) 동안 유효합니다. 시간이 되면 센서가 더 이상 중앙에 연결할 수 없게 되어 로그에 다음과 같은 종류의 오류가 표시됩니다.
2023-08-04T09:47:53+00:00 c4819831-bf01-4b3c-b127-fb498e50778d sensorsyncd[1]: 04/08/2023 09:47:53 sensorsyncd WARN failed to connect to center: rabbitmq error: x509: certificate has expired or is not yet valid: current time 2023-08-04T09:47:53Z is after 2023-08-02T10:35:35Z [caller=push.go:42]
또한 웹 UI에 연결하면 웹 브라우저에 따라 오류가 표시되거나 외부 인증서가 사용되지 않을 경우 차단됩니다.
솔루션
버전 4.2.x에 적용 가능합니다. 버전 4.2.1 이상에서는 웹 GUI에서도 이 작업을 수행할 수 있습니다.
Center Certificate 재생성 단계
- 현재 인증서 검증
root@center:~# openssl x509 -subject -startdate -enddate -noout -in /data/etc/ca/center-cert.pem
subject=CN = CenterDemo
notBefore=Aug 8 11:42:30 2022 GMT
notAfter=Oct 6 11:42:30 2024 GMT
2. 새 인증서 생성
이전 단계에서 얻은 공용 이름("subject=CN" 필드)을 사용하여 새 인증서를 생성해야 합니다
root@center:~# sbs-pki --newcenter=CenterDemo
6C89E224EBC77EF6635966B2F47E140C
3. 센터를 재부팅합니다.
Local Center와 Global Center를 모두 사용하는 구축에서는 Local Center의 등록을 취소하고 다시 등록해야 합니다.
센서 인증서 재생성 단계
센터 인증서가 만료되면 일부 센서 인증서는 센터에서 센서를 만든 시점으로부터 2년 후에 유효하므로 곧 만료될 수 있습니다.
- 내선 번호로 설치된 센서의 경우 재구축에서는 새 인증서를 사용합니다.
- 수동으로 구축된 센서의 경우:
- 센서 일련 번호를 사용하여 센터에 새 인증서를 생성합니다.
root@center:~# sbs-pki --newsensor=FCWTEST
326E50A526B23774CBE2507D77E28379
명령에서 반환된 ID를 확인합니다
2. 이 센서의 센서 ID 가져오기
root@center:~# sbs-sensor list
c6e38190-f952-445a-99c0-838f7b4bbee6
FCWTEST (serial number=FCWTEST)
version:
status: ENROLLED
mac:
ip:
capture mode: optimal
model: IOX
hardware:
first seen on 2022-08-09 07:23:15.01585+00
uptime 0
last update on: 0001-01-01 00:00:00+00
3. 인증서 ID로 센서의 데이터베이스를 업데이트합니다.
root@center:~# sbs-db exec "UPDATE sensor SET certificate_serial='326E50A526B23774CBE2507D77E28379' WHERE id='c6e38190-f952-445a-99c0-838f7b4bbee6'"
UPDATE 1
인증서 직렬은 첫 번째 단계에서 얻은 값이어야 하고 센서의 센서 ID를 식별해야 합니다
4. 웹 GUI에서 이 센서의 프로비저닝 패키지를 다운로드합니다.
5. 이 프로비전 패키지로 배치를 다시 실행합니다
피드백