はじめに
本記事の記載されている内容はFN - 72103に記載されている内容の解説であり、齟齬が発生する場合はFN - 72103の記述を正しいものとします。
QuoVadis Public Key Infrastructure (PKI) Root CA 2の廃止は、業界全体の問題の対象となっております。QuoVadis Root CA 2は既に2021-03-31に廃止され、2021-03-31以降、QuoVadis Root CA 2からCiscoに対して新たな証明書が発行されることはありません。
Adaptive Security Appliance (ASA) および Firepower ソフトウェアの一部の機能と通信を行うCiscoクラウドサーバ側で、証明書は個々の有効期限が切れるまで有効ですが、有効期限が切れると更新されないため、2022-02-05 より、 IdenTrust Commercial Root CA 1 への移行を順次開始しております。
FN - 72103の ASAソフトウェアへの影響
Cisco CSSM クラウド(tools.cisco.com)の証明書のRootCAの変更の影響により、2022年2月5日より ASAソフトウェアのスマートライセンス認証やスマートコールホーム認証が失敗する恐れがあります。
ASAv/ASA5500-X/Firepower1000/Firepower2100シリーズでASA利用時の対応
ASAv/ASA5500-X/Firepower1000/Firepower2100シリーズでASAソフトウェアを利用時はスマートライセンス認証、及び、スマートコールホーム認証はASAソフトウェアが行います。影響の対応にはFN - 72103のWorkaround適用、もしくは ASAソフトウェアアップグレードが必要となります。
※ASA5500-Xをご利用の場合、スマートライセンスを利用できないため、スマートコールホーム認証のみが影響を受けます。
Firepower4100/Firepower9300シリーズでASA利用時の対応
Firepower4100/9300シリーズでASAソフトウェアを利用時は、スマートライセンス認証やスマートコールホーム認証はFXOSソフトウェアが行います。影響の対応にはFN - 72103のWorkaround適用、もしくはFXOSソフトウェアアップグレードが必要となります。
FN - 72103の FTDソフトウェアへの影響
セキュリティ上の問題による tools.cisco.comの証明書のRootCAの変更の影響により、2022年2月5日より FTDソフトウェアのスマートライセンス認証が失敗する恐れがあります。また、2022年3月16日より SSE APJ クラウドに関わる機能がAPJ クラウドとの認証処理が失敗する恐れがあります。影響を受ける機能に関しまして、FN - 72103を参照ください。
ASA5500-X/Firepower1000/Firepower2100シリーズでFTD利用時(FMC管理)の対応
FMCソフトウェアでFTDソフトウェアを管理時はCiscoクラウドサーバ側と通信を行う機能がFMCソフトウェア、もしくは、FTDソフトウェアが行います。影響の対応にはFMCソフトウェアとFTDソフトウェア両方のアクションが必要となります。
- FMCソフトウェアに対し、FN - 72103のWorkaround適用、もしくは FMCソフトウェアアップグレードが必要となります。
- FTDソフトウェアに対し、 FTDソフトウェアアップグレードが必要となります。
ASA5500-X/Firepower1000/Firepower2100シリーズでFTD利用時(FDM管理)の対応
FDMでFTDソフトウェアを管理時はCiscoクラウドサーバ側と通信を行う機能がFTDソフトウェアが行います。影響の対応にはFTDソフトウェアのアップグレードが必要となります。
Firepower4100/Firepower9300シリーズでFTD利用時(FMC管理)の対応
FMCソフトウェアでFTDソフトウェアを管理時はCiscoクラウドサーバ側と通信を行う機能がFMCソフトウェア、もしくは、FTDソフトウェアが行います。影響の対応にはFMCソフトウェアとFTDソフトウェア両方のアクションが必要となります。
- FMCソフトウェアに対し、FN - 72103のWorkaround適用、もしくは FMCソフトウェアアップグレードが必要となります。
- FTDソフトウェアに対し、 FTDソフトウェアアップグレードが必要となります。
Firepower4100/Firepower9300シリーズでFTD利用時(FDM管理)の対応
FDMでFTDソフトウェアを管理時はCiscoクラウドサーバ側と通信を行う機能がFTDソフトウェアが行います。影響の対応にはFTDソフトウェアアップグレードが必要となります。
FN - 72103の ASA5500-XのFirePOWERモジュール/NGIPSソフトウェアへの影響
Cisco ASA 5500-X with FirePOWER Services/NGIPSv/Firepower7000/Firepower8000シリーズでNGIPSソフトウェア利用時は影響を受けません。
Smart Software Manager satellite (On-Prem)による スマートライセンスの影響
Smart Software Manager satellite (On-Prem)を利用し、スマートライセンスの認証を行う場合に、スマートライセンス機能が影響を受けません。
PLRやSLR利用時の影響
PLRやSLRなどのオフライン認証方式を利用し、スマートライセンスの認証を行う場合に、スマートライセンス機能が影響を受けません。
参考情報
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72103.html