安全终端私有云-身份验证证书过期

简介

本文档介绍运行版本3.1.0到4.1.0且初始安装时间为4年（2020年）的思科安全终端私有云中身份验证证书到期所需的信息。

注意：这些证书的到期时间取决于设备设置时间。

技术详细资料

受影响的版本：运行版本3.1.0到4.1.0的思科安全终端私有云，初始安装时间为4年。

从2024年5月开始，运行版本3.1.0到4.1.0且原始安装时间为4年前的安全终端私有云上的身份验证证书将过期。这将导致服务中断。在证书到期之前，您将在管理控制台中收到以下警告：

系统警告2024-02-12 00:05:07 +0000 Certificate audit.crt将在3个月内到期。

系统警告2024-02-12 00:05:07 +0000 Certificate refresh_token.crt将在3个月内到期。

系统警告2024-02-12 00:05:07 +0000证书jwt.crt将在3个月内到期。

系统警告2024-02-12 00:05:06 +0000 Certificate saml.crt将在3个月内到期。

您可以通过SSH使用命令行命令检查这些证书的到期日期，如下所示：

[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/refresh_token.crt

证书:

    数据 :

        版本：3 (0x2)

        序列号(S):

            ee：ea：9f：f9:88:09:38:31:0b：90：bb：b5:1b：29：e3:6b

    签名算法：sha256WithRSAEncryption

        颁发机构：C=US、O=Sourcefire、O=Immunet、OU=PrivateCloud设备、CN=refresh-token

        有效性

            不早于：9月28日00:52:02 2022 GMT

            晚于：9月27日00:52:02 2026 GMT

        主题：C=US、O=Sourcefire、O=Immunet、OU=PrivateCloud设备、CN=refresh-token

更新至安全终端私有云4.2.0时，将续订以下证书：

• audit.crt-用于审核记录的签名
• refresh_token.crt -处理与身份管理服务的通信
• jwt.crt - 允许服务之间的交叉通信
• saml.crt -标记SAML响应

影响

如果证书在到期前未更新，则对管理控制台和安全终端控制台的访问将丢失。因此，在2024年5月证书到期之前更新设备至关重要。

解决方案

要更新证书，私有云设备必须至少升级到4.2.0版。更新可以通过SSH从命令行启动，也可以从管理控制台用户界面启动。

提示：开始之前，请务必阅读本文档底部链接的安全终端私有云版本说明和管理门户用户指南。

注意：在将设备更新到4.2.0之前，需要将内容更新为2024年2月之后的最新版本。请参阅本文档中链接的发行说明。

从管理门户：

1. 导航到操作>更新设备
2. 选择检查/下载更新
3. 下载更新后，选择Update Software并选择OK进行确认。

通过SSH从命令行：

1. 运行amp-ctl update-check命令。
2. 下载更新后，运行命令amp-ctl update。

您可以按照本文技术详细信息部分列出的说明验证证书是否已成功更新。

注意：如果设备因紧急状况而无法更新，请通过此处联系思科TAC。

安全终端私有云版本说明：https://docs.amp.cisco.com/Private%20Cloud%20Release%20Notes.pdf

安全终端私有云管理门户用户指南：https://docs.amp.cisco.com/AMPPrivateCloudAdminGuide-latest.pdf