FN - 70319の ASA/FXOSソフトウェアへの影響について
セキュリティ上の問題による tools.cisco.comの証明書のRootCAの変更の影響により、2018年10月5日より ASAソフトウェアのスマートライセンス認証が失敗する恐れがあります。当問題について詳しくは、FN - 70319 を参照してください。
当問題の対応には、基本、CSCvm80874 もしくは CSCvm81014の Workaround適用、もしくは 修正バージョンへのアップグレードが必要となります。なお、一部プラットフォームでシングルモード利用時は、Trustpoolの証明書の自動更新に対応するため、CSCvm80874 の対応は必須ではなくなります。
以下はプラットフォームとモード別の、対応分けとなります。
プラットフォーム |
スマートライセンス 認証元ソフトウェア |
Single Mode 利用時 |
Multiple Context Mode 利用時 |
ASAv |
ASA |
自動更新 対応 (*1) |
- (未サポート) |
ASA on Firepower2100 |
ASA |
自動更新 対応 (*1) |
自動更新 非対応 (*2) |
ASA on Firepower4100 |
FXOS |
自動更新 非対応 (*3) |
自動更新 非対応 (*3) |
ASA on Firepower9300 |
FXOS |
自動更新 非対応 (*3) |
自動更新 非対応 (*3) |
ASA on ASA5500-X
|
- (未サポート) |
- |
- |
*1 ASAバージョン 9.5(2)以降のみ自動更新対応。9.5(1)以下の場合は手動更新、もしくは CSCvm80874のWorkaround適用、もしくは ASAソフトウェアアップグレード必要
*2 対応にはCSCvm80874のWorkaround適用、もしくは ASAソフトウェアアップグレード必要
*3 対応にはCSCvm81014のWorkaround適用、もしくは FXOSソフトウェアアップグレード必要
ASAv/Firepower2100シリーズでASA利用時の対応について
ASAv/Firepower 2100シリーズでASAソフトウェアをシングルモードで利用時、かつ ASAバージョン 9.5(2)以降の場合、Trustpoolの証明書の自動更新機能が有効です。当更新は毎日22:00にwww.cisco.com宛に行われます。そのため、www.cisco.com宛にアクセス可能なASAの場合、証明書の更新は自動で行われ、FN - 70319の問題は自動で修正されます。
ASAv/Firepower 2100シリーズでASAソフトウェアをシングルモードで利用時、かつ ASAバージョン 9.5(1)以下の場合は以下CLIで、Trustpoolの証明書の手動更新が可能です。なお、以下コマンドは、ASAバージョン 9.5(2)以降で 即座にTrustpoolの証明書を更新したい場合にも有効です。
crypto ca trustpool import url http://www.cisco.com/security/pki/trs/ios_core.p7b
Firepower 2100シリーズでASAソフトウェアをマルチプル コンテキスト モードで利用時は、Trustpoolの証明書の自動更新に対応していないため、対応にはCSCvm80874のWorkaround適用、もしくは ASAソフトウェアアップグレードが必要となります。
ASAv/Firepower2100シリーズ利用時の 証明書問題の対応や 動作確認例について、より詳しくは以下ドキュメントを参照してください。
ASA: ASA-3-717009: Certificate validation failedで、スマートライセンス認証が失敗する場合
https://supportforums.cisco.com/ja/document/13182316
Firepower4100/9300シリーズでASA利用時の対応について
Firepower4100/9300シリーズでASAソフトウェアを利用時は、スマートライセンス認証はFXOSソフトウェアが行います。FXOSソフトウェアは、Trustpoolの証明書の自動更新に対応していないため、対応にはCSCvm81014のWorkaround適用、もしくは FXOSソフトウェアアップグレードが必要となります。
FXOSソフトウェアのスマートライセンス認証の仕組みについて詳しくは、以下ドキュメントを参照してください。
FPR4100/9300-ASA: Smart License 有効化方法とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3328615
参考情報
Field Notice: FN - 70319 - ASA and FXOS Software - Change in Root Certificate Might Affect Smart Licensing and Smart Call Home Functionality - Software Upgrade Recommended
https://www.cisco.com/c/en/us/support/docs/field-notices/703/fn70319.html
ASAv: スマートライセンス認証とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3163034
FPR4100/9300-ASA: Smart License 有効化方法とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3328615
ファイアウォール トラブルシューティング
https://supportforums.cisco.com/ja/document/12725841