購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
2262
閲覧回数
0
いいね!
0
コメント

ASA: FN - 70319: 2018年10月よりスマートライセンス認証が失敗する問題の対応について

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2018-11-19 01:48 PM ‎2018-11-19 03:28 PM 更新

 

FN - 70319の ASA/FXOSソフトウェアへの影響について

セキュリティ上の問題による tools.cisco.comの証明書のRootCAの変更の影響により、2018年10月5日より ASAソフトウェアのスマートライセンス認証が失敗する恐れがあります。当問題について詳しくは、FN - 70319 を参照してください。

 

当問題の対応には、基本、CSCvm80874 もしくは CSCvm81014の Workaround適用、もしくは 修正バージョンへのアップグレードが必要となります。なお、一部プラットフォームでシングルモード利用時は、Trustpoolの証明書の自動更新に対応するため、CSCvm80874 の対応は必須ではなくなります。

 
以下はプラットフォームとモード別の、対応分けとなります。

プラットフォーム スマートライセンス
認証元ソフトウェア		 Single Mode
利用時		 Multiple Context Mode
利用時
ASAv ASA 自動更新 対応 (*1) - (未サポート)
ASA on 
Firepower2100		 ASA 自動更新 対応 (*1) 自動更新 非対応 (*2)
ASA on 
Firepower4100		 FXOS 自動更新 非対応 (*3) 自動更新 非対応 (*3)
ASA on 
Firepower9300		 FXOS 自動更新 非対応 (*3) 自動更新 非対応 (*3)
ASA on
ASA5500-X
 - (未サポート) - -

 

*1 ASAバージョン 9.5(2)以降のみ自動更新対応。9.5(1)以下の場合は手動更新、もしくは CSCvm80874のWorkaround適用、もしくは ASAソフトウェアアップグレード必要
*2 対応にはCSCvm80874のWorkaround適用、もしくは ASAソフトウェアアップグレード必要
*3 対応にはCSCvm81014のWorkaround適用、もしくは FXOSソフトウェアアップグレード必要

  

 

ASAv/Firepower2100シリーズでASA利用時の対応について

ASAv/Firepower 2100シリーズでASAソフトウェアをシングルモードで利用時、かつ ASAバージョン 9.5(2)以降の場合、Trustpoolの証明書の自動更新機能が有効です。当更新は毎日22:00にwww.cisco.com宛に行われます。そのため、www.cisco.com宛にアクセス可能なASAの場合、証明書の更新は自動で行われ、FN - 70319の問題は自動で修正されます。

 

ASAv/Firepower 2100シリーズでASAソフトウェアをシングルモードで利用時、かつ ASAバージョン 9.5(1)以下の場合は以下CLIで、Trustpoolの証明書の手動更新が可能です。なお、以下コマンドは、ASAバージョン 9.5(2)以降で 即座にTrustpoolの証明書を更新したい場合にも有効です。

crypto ca trustpool import url http://www.cisco.com/security/pki/trs/ios_core.p7b

 

Firepower 2100シリーズでASAソフトウェアをマルチプル コンテキスト モードで利用時は、Trustpoolの証明書の自動更新に対応していないため、対応にはCSCvm80874のWorkaround適用、もしくは ASAソフトウェアアップグレードが必要となります。


ASAv/Firepower2100シリーズ利用時の 証明書問題の対応や 動作確認例について、より詳しくは以下ドキュメントを参照してください。

ASA: ASA-3-717009: Certificate validation failedで、スマートライセンス認証が失敗する場合
https://supportforums.cisco.com/ja/document/13182316

   

  

Firepower4100/9300シリーズでASA利用時の対応について

Firepower4100/9300シリーズでASAソフトウェアを利用時は、スマートライセンス認証はFXOSソフトウェアが行います。FXOSソフトウェアは、Trustpoolの証明書の自動更新に対応していないため、対応にはCSCvm81014のWorkaround適用、もしくは FXOSソフトウェアアップグレードが必要となります。

 

FXOSソフトウェアのスマートライセンス認証の仕組みについて詳しくは、以下ドキュメントを参照してください。

FPR4100/9300-ASA: Smart License 有効化方法とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3328615

  

 

参考情報

Field Notice: FN - 70319 - ASA and FXOS Software - Change in Root Certificate Might Affect Smart Licensing and Smart Call Home Functionality - Software Upgrade Recommended

https://www.cisco.com/c/en/us/support/docs/field-notices/703/fn70319.html

 
ASAv: スマートライセンス認証とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3163034

 
FPR4100/9300-ASA: Smart License 有効化方法とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3328615

 
ファイアウォール トラブルシューティング

https://supportforums.cisco.com/ja/document/12725841

 

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents