簡介
本文檔介紹有關許可證重新生成以及3.9.0及更高版本發佈的相關必要資訊。請參閱私有雲版本說明:https://docs.amp.cisco.com/Private%20Cloud%20Release%20Notes.pdf
重要!安全終端私有雲根證書將於2023年9月3日到期。因此,您的許可證將在同一時間到期。請聯絡支援人員,獲取新的許可證檔案並保持正常運行。
技術詳細資料
受影響的版本:2023年4月11日之前生成的所有支援的思科安全終端私有雲許可證。
當前根CA證書(用作我們的證書鏈的內部根CA證書)將於2023年9月3日到期。這是位於以下路徑的證書片段: /opt/fire/etc/ssl/certs(僅當在裝置上啟用了SSH訪問時,才能在裝置上瀏覽到此路徑)
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/root.fireamp.crt Certificate: Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Sep 4 17:32:46 2013 GMT Not After : Sep 2 17:32:46 2023 GMT Subject: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA
需要重新生成許可證才能續訂此證書和相關證書鏈。必須在私有雲裝置上生成並應用新的許可證,以確保裝置保持正常運行。
重新生成許可證後,將更新這些證書:
-
ca_intermediate.crt:這是內部用於對證書鏈進行簽名的中間證書
-
ca_signing.crt:這是用於對聯結器策略進行簽名的證書
-
chained.fireamp.crt:用於內部服務的證書驗證
重要資訊:root.fireamp.crt不會在許可證續訂或升級到3.9.0版本時續訂。此證書將作為裝置版本4.0.1的一部分更新。
影響
如果裝置上未安裝新許可證,並且CA證書過期,則從門戶進行策略編輯時,將導致聯結器上的策略同步失敗。因此,在2023年9月3日到期之前更新許可證非常重要
許可證再生
您必須與Secure Endpoint Licensing團隊聯絡,以請求使用更新的證書重新生成許可證。
要獲取新的許可證檔案,請在支援案例管理器中線上開啟支援案例:https://mycase.cloudapps.cisco.com/case
第1步:使用您的Cisco ID登入思科支援門戶後,點選「Open New Case」(開啟新案例)
第2步:選擇Software Licensing -> Security Related Licensing -> FireAMP/ThreatGrid。
第3步:請在「問題描述」中填寫此信息
Cisco.com ID:
產品名稱:思科安全終端私有雲
問題/請求詳細資訊:具有新根CA的私有雲許可證
思科SO#和/或網路訂單ID號:
企業名稱:
全名:
電子郵件:
裝置ID:
重要!!
第4步:我們請求您從管理門戶(在配置 — >許可證下)新增許可證頁面的螢幕快照
第5步:收到請求後,我們將重新生成新的許可證。我們的安全終端調配團隊將通過電子郵件傳送新許可證
更換許可證
有關如何使用從思科許可團隊獲得的新許可證的說明,請參閱此處的安全端點私有雲管理門戶指南:https://docs.amp.cisco.com/SecureEndpointPCAdminGuide.pdf
請參見第28頁的「許可證」部分
一旦您更換了許可證,請重新配置裝置以使新許可證生效。
驗證
重要資訊:對於3.9.0及更高版本上的裝置,即使應用了新許可證,私有雲裝置管理門戶上的通知仍會存在,可以安全忽略。此問題將在裝置版本4.1.0中得到修復,為了驗證早期版本中已修復此問題,我們可以按照此過程操作。
為確保證書正確續訂,請使用以下步驟:
[root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_intermediate.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/ca_signing.crt Certificate: Data: Version: 3 (0x2) Serial Number: 7330 (0x1ca2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud Intermediate CA/emailAddress=private-cloud-licensing@sourcefire.com Validity Not Before: Apr 11 12:42:45 2023 GMT Not After : Apr 9 12:42:45 2028 GMT [root@fireamp certs]# /usr/bin/openssl x509 -text -noout -in /opt/fire/etc/ssl/certs/chained.fireamp.crt Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=Sourcefire, O=Immunet, OU=PrivateCloud Appliance, CN=FireAMP Private Cloud ROOT CA Validity Not Before: Mar 2 04:10:43 2023 GMT Not After : Feb 29 04:10:43 2028 GMT
意見