はじめに
コンフィギュレーションガイドのとおりにUmbrella Connectorの設定をしているにも関わらず、
Umbrella DNSへの登録に失敗するという事例が報告されています。
デバイス登録できない問題が発生している場合は本記事の内容をご確認頂くことをお勧めいたします。
事象
コンフィギュレーションガイドのとおりCA証明書をインポートし、Umbrella Connectorの設定をしていてもUmbrella DNSへの登録に失敗する問題。
認知されている症状としては以下のとおり。
(1) show service-policy inspect dnsでのステータス表示がUNKNOWNとなる
show service-policy inspect dns
Umbrella registration: tag: default, status: UNKNOWN, device-id: , retry 6 (2) syslogに以下のように、証明書の検証エラーが出力され最終的に5回リトライしたが登録に失敗した旨が表示される。 (ASA-7はdebugレベルのみ)
Jun 18 2024 21:02:54: %ASA-7-725013: SSL server outside:xx.xx.xx.xx/1456 to yy.yy.yy.yy/443 chooses cipher ECDHE-RSA-AES128-GCM-SHA256
Jun 18 2024 21:02:54: %ASA-7-717025: Validating certificate chain containing 2 certificate(s).
Jun 18 2024 21:02:54: %ASA-7-717029: Identified client certificate within certificate chain. serial number: 0B84F13C9321EA92E60A4E2530C6BC6A, subject name: CN=api.opendns.com,O=Cisco OpenDNS LLC,L=San Francisco,ST=California,C=US.
Jun 18 2024 21:02:54: %ASA-3-717009: Certificate validation failed. serial number: 0CF5BD062B5602F47AB8502C23CCF066, subject name: CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1,O=DigiCert Inc,C=US.
Jun 18 2024 21:02:54: %ASA-3-717027: Certificate chain failed validation. Generic validation failure occurred.
Jun 18 2024 21:02:54: %ASA-7-725014: SSL lib error. Function: tls_process_client_certificate Reason: certificate verify failed
...
Jun 18 2024 21:03:56: %ASA-3-339005: Umbrella device registration failed after 5 retries
条件
コンフィギュレーションガイドに記載の下記の証明書をインポートして登録を試行していること
- Install the CA Certificate from the Cisco Umbrella Registration Server
- Import the Digicert Certificate Authority
原因
原因としてCSCwk55891 が報告されています。
現在Umbrella DNSのクラウドが利用しているサーバ証明書のチェーンを検証できないCA証明書がガイド上に記載されています。
ASA/FTDにこの証明書をインポートして登録設定を行っても、
Umbrella DNSのサーバ証明書の検証ができずにデバイス登録に失敗します。
ワークアラウンド
ガイドに記載の証明書の代わりに下記のDigiCert Global Root G2のCA証明書をトラストポイントへインポートします。
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----CA証明書をインポートした後に該当policy-map/parameter配下を再設定することでUmbrellaへの登録をトリガしてください。
例
ciscoasa(config)# policy-map type inspect dns preset_dns_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# no umbrella fail-open
ciscoasa(config-pmap-p)# umbrella fail-open参考情報
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
