Introdução
Este documento descreve as informações necessárias sobre a Regeneração de Licenças e sobre este anúncio com a versão 3.9.0 e superior. Consulte as notas de versão da nuvem privada: https://docs.amp.cisco.com/Private%20Cloud%20Release%20Notes.pdf
IMPORTANTE! Um certificado raiz de Secure Endpoint Private Cloud expirará em 3 de setembro de 2023. Como resultado, sua licença expirará ao mesmo tempo. Entre em contato com o suporte para obter um novo arquivo de licença e manter a operação normal.
Detalhes técnicos
Versão afetada: toda a licença de nuvem privada do Cisco Secure Endpoint suportada gerada antes de 11 de abril de 2023.
O Certificado de CA raiz atual, usado como certificado de CA raiz interno para nossa cadeia de certificados, expirará em 3 de setembro de 2023. Este é um trecho do certificado localizado neste caminho: /opt/fire/etc/ssl/certs (Você só poderá navegar para este caminho no equipamento se tiver o acesso SSH habilitado no equipamento)
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/root.fireamp.crt Certificate: Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Sep 4 17:32:46 2013 GMT Not After : Sep 2 17:32:46 2023 GMT Subject: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA
A regeneração de licença seria necessária para renovar este certificado e a cadeia de certificados relacionada. é obrigatório obter uma nova licença gerada e aplicada no dispositivo de nuvem privada para garantir que o dispositivo permaneça funcional.
Com a regeneração da Licença, esses certificados serão renovados:
-
ca_intermediate.crt: Este é o certificado intermediário usado internamente para assinar a cadeia de certificados
-
ca_signing.crt: Este é o certificado usado para assinar as políticas de conectores
-
chained.fireamp.crt: Usado para validação de certificado para serviços internos
IMPORTANTE: root.fireamp.crt não será renovado como parte da renovação da licença ou com a atualização para a versão 3.9.0. Este certificado seria renovado como parte da versão do dispositivo versão 4.0.1.
Impacto
Se as novas licenças não forem instaladas no dispositivo e o certificado CA expirar, isso causará falhas de sincronização de política nos conectores quando as edições de política forem feitas no Portal. Portanto, é essencial que a licença seja atualizada antes da expiração, em 3 de setembro de 2023
Regeneração de licença
Você teria que entrar em contato com a Secure Endpoint Licensing Team para solicitar que suas licenças sejam geradas novamente com os certificados atualizados.
Para obter um novo arquivo de licença, abra um caso de suporte online no Support Case Manager: https://mycase.cloudapps.cisco.com/case
Etapa 1: Depois de fazer login no portal de suporte da Cisco com sua ID da Cisco, clique em "Abrir novo caso"
Etapa 2: Selecione Licenciamento de software -> Licenciamento relacionado à segurança -> FireAMP/ThreatGrid.
Etapa 3: Preencha essas informações na "Descrição do problema"
Cisco.com ID:
Nome do produto: Cisco Secure Endpoint Private Cloud
Detalhes da ocorrência/solicitação: licença de nuvem privada com nova CA raiz
Nº do SO da Cisco e/ou nº da ID do pedido da Web:
Nome da empresa:
Nome completo:
E-mail:
ID do dispositivo:
IMPORTANTE!!
Etapa 4: Solicitamos que você adicione uma captura de tela da página Licença do Portal de Administração (em Configuração-> Licença)
Etapa 5: depois que a solicitação for recebida, geraremos novamente uma nova licença. Novas licenças seriam enviadas por e-mail por nossas equipes de provisionamento de endpoints seguros
Substituir Licença
Para obter instruções sobre como usar a nova licença que foi recebida da equipe de licenciamento da Cisco, consulte o Guia do Portal de Administração do Secure Endpoint Private Cloud: https://docs.amp.cisco.com/SecureEndpointPCAdminGuide.pdf
Consulte a seção "Licença" na página 28
Depois de substituir a licença, reconfigure o equipamento para que a nova licença entre em vigor.
Verificação
IMPORTANTE: para o dispositivo na versão 3.9.0 e posterior, a notificação no Portal de administração do dispositivo de nuvem privada ainda estaria presente mesmo depois que a nova licença fosse aplicada e poderia ser ignorada com segurança. Isso será corrigido no Appliance versão 4.1.0 e, para confirmar que o problema foi corrigido em versões anteriores, podemos seguir esse processo.
Para garantir que os certificados foram renovados corretamente, siga as etapas abaixo:
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_intermediate.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_signing.crt Certificate: Data: Version: 3 (0x2) Serial Number: 7330 (0x1ca2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud Intermediate CA/emailAddress=private-cloud-licensing@sourcefire.com Validity Not Before: Apr 11 12:42:45 2023 GMT Not After : Apr 9 12:42:45 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/chained.fireamp.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT