はじめに
本記事ではASAへの証明書(CA Certificate)のインポートに失敗した際、証明書のEnd date に過去の日付が表示される事象についてご紹介いたします。※ 本動作はASAv Software Version 9.18.2.8 にて確認しています
事象
ASAに証明書をインポートした際に下記のように end date が過去の日付が表示され、インポートに失敗する場合が御座います。
[出力例]
INFO : Certificate has the following attributes;
Fingerprint : xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx
<snip>
% CA Cert not yet valid or is expired -
start date: 15:24:03 UTC Feb 1 2023
end date: 09:05:46 UTC Dec 26 1985 <<<<<<<<<<<<< THIS
% Error in saving certificate: status = FAIL
原因・回避策
この問題はCSCvr58616 として報告されております。
CSCvr58616 CA Certificates valid after December 31, 2099 fail to authenticate to ASA
CSCvr58616 は2100年以降のEnd dateを持つ証明書のインポートが失敗する問題として不具合登録されておりましたが、弊社開発部隊の調査・解析の結果、これは現在のASAの実装であると判断され調査が終了となっております。
回避策としましてはEnd dateが2100年より前(2099年12/31以前)のEnd dateの証明書をご利用頂く方法となります。
推奨されるEnd dateについて
ご利用される環境にもよりますが、弊社ドキュメントに下記のように記載がございます。
CLI Book 1: Cisco Secure Firewall ASA Series General Operations CLI Configuration Guide, 9.18
Chapter: Digital Certificates より抜粋
> For ASAs that are configured as CA servers or clients, limit the validity period of the certificate to less than the recommended end date of 03:14:08 UTC, January 19, 2038. This guideline also applies to imported certificates from third-party vendors.
ご参考とはなりますが、証明書のEnd date は2038年1月19日より以前にしていただくことを推奨いたします。
また、関連して下記不具合等が登録されておりますのでご紹介いたします。
CSCsc45595 PKI: import fails due to very long validity period beyond 2038