简介
本文档介绍有关许可证重新生成和此版本3.9.0及更高版本的发布所需的信息。请参阅私有云版本说明:https://docs.amp.cisco.com/Private%20Cloud%20Release%20Notes.pdf
重要!安全终端私有云根证书将于2023年9月3日到期。因此,您的许可证将在同一时间到期。请联系支持部门,获取新的许可证文件并保持正常运行。
技术详细资料
受影响的版本:在2023年4月11日之前生成的所有支持的思科安全终端私有云许可证。
当前根CA证书(用作我们的证书链的内部根CA证书)将于2023年9月3日到期。这是位于以下路径的证书片段: /opt/fire/etc/ssl/certs(仅当在设备上启用了SSH访问时,才能在设备上浏览到此路径)
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/root.fireamp.crt Certificate: Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Sep 4 17:32:46 2013 GMT Not After : Sep 2 17:32:46 2023 GMT Subject: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA
更新此证书和相关证书链需要重新生成许可证。必须生成新许可证并在私有云设备上应用,以确保设备保持正常运行。
重新生成许可证后,将续订这些证书:
-
ca_intermediate.crt:这是内部用于签署证书链的中间证书
-
ca_signing.crt:这是用于对连接器策略进行签名的证书
-
chained.fireamp.crt:用于内部服务的证书验证
重要信息:root.fireamp.crt不会作为许可证续订的一部分或升级到3.9.0版本时进行续订。此证书将作为设备版本4.0.1的一部分进行续订。
影响
如果设备上未安装新许可证,并且CA证书过期,则从门户进行策略编辑时,将导致连接器上的策略同步失败。因此,在2023年9月3日到期之前更新许可证非常重要
重新生成许可证
您必须与安全终端许可团队联系,以请求使用更新的证书重新生成许可证。
要获取新的许可证文件,请在Support Case Manager(支持案例管理器)中在线提交支持案例:https://mycase.cloudapps.cisco.com/case
第1步:使用您的思科ID登录思科支持门户后,点击“Open New Case”(打开新案例)
第2步:选择Software Licensing -> Security Related Licensing -> FireAMP/ThreatGrid。
第3步:请在“问题描述”中填写此信息
Cisco.com ID:
产品名称:思科安全终端私有云
问题/请求详细信息:包含新根CA的私有云许可证
思科SO#和/或网上订单ID号:
企业名称:
全名:
邮件:
Device ID:
重要!!
第4步:我们请求您从管理门户(在Configuration-> License下)添加License页面的屏幕快照
第5步:收到请求后,我们将重新生成新的许可证。新的许可证将由我们的安全终端调配团队通过电子邮件发送
更换许可证
有关如何使用从思科许可团队获得的新许可证的说明,请参阅此处的安全终端私有云管理门户指南:https://docs.amp.cisco.com/SecureEndpointPCAdminGuide.pdf
请参阅第28页的“许可证”部分
更换许可证后,请重新配置设备以使新许可证生效。
确认
重要信息:对于3.9.0及更高版本上的设备,即使应用了新许可证,私有云设备管理门户上的通知仍会存在,并且可以安全忽略。此问题将在设备版本4.1.0中得到修复,为了验证早期版本中已修复此问题,我们可以遵循此流程。
要确保正确续订证书,请使用以下步骤:
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_intermediate.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_signing.crt Certificate: Data: Version: 3 (0x2) Serial Number: 7330 (0x1ca2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud Intermediate CA/emailAddress=private-cloud-licensing@sourcefire.com Validity Not Before: Apr 11 12:42:45 2023 GMT Not After : Apr 9 12:42:45 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/chained.fireamp.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT