事象: ASA with FirePOWER FirePower ASDM管理時自動Ruleアップデート失敗とその対処方法

zhisong · ‎2020-12-29

始めに
発生事象
ASDM管理時の対応方法
方法1: 手動アップデート
方法2: Firepower証明書の再インストール
方法3: ASDM管理からFMC管理への切り替え

始めに

Firepower Systemを利用し、system softwareやVDB, GeoDB, SRU等の自動更新機能を利用の場合、下記エラーメッセージとともに、自動更新に失敗することがあります。自動更新機能は以下の管理デバイスもしくはアプライアンスで利用可能です。

対象製品：
・Firepower Management Center (FMC)
・Firepower 7000/8000 Series
・ASA with FirePOWER module, managed locally (on-box) via ASDM
・Firepower Device Manager

失敗時メッセージ例：
"Peer certificate cannot be authenticated with known CA certificates."

本ドキュメントでは、ASA with FirePOWER module を利用時、かつ FirePOWER module をASDMで管理時に、上記事象が発生した場合の対応方法について説明します。
本ドキュメントは、ASA 9.8(4)10、 ASDM 7.8(4)、 Firepower 6.6.0にて確認、作成しております。

発生事象

自動更新機能をご利用の場合、下記エラーメッセージとともに、自動更新に失敗することがあります。
"Peer certificate cannot be authenticated with known CA certificates."

当事象は既知不具合CSCvm03931に該当する事象で、Ciscoダウンロードサーバへの接続時、証明書の認証失敗で発生する事象です。

FMC/FDM管理時は、既にCSCvm03931の修正バージョンにて本事象が修正されています。

なお、ASDM管理時は、FirepowerをCSCvm03931の修正バージョンへアップグレードしても、本事象は改善されません。また、2020年12月現在、ASDM管理時の修正バージョンのリリース予定はありません。

そのため、ASDM管理時は下記の任意の方法で対応が可能です。

ASDM管理時の対応方法

方法1: 手動アップデート

不具合CSCvm03931ページのWorkaroundの記載の通り、Ciscoダウンロードサイトから事前に必要なUpdateファイルをローカルにダウンロード後、ローカルからASDMにアップロードし更新することで対応可能です。

方法2: Firepower証明書の再インストール

手動でFirepowerの証明書を再インストールすることで対応可能です。

Firepower証明書再インストール手順:

1． "untar_me.tar"ファイルをFirepowerにアップロード
ASDM > Configuration > ASA FirePOWER Configuration > Tools > Backup Restore > Backup Management > Upload Backup

"untar_me.tar"ファイルは当ドキュメントにアタッチしている"untar_me2.zip"を解凍することで取得可能です。"untar_me2.zip"の解凍パスワードは"cisco"、ファイルサイズは 17408 bytes です。解凍後の"untar_me.tar"のファイルサイズは 30720 bytes です。

2． Firepower CLIへ接続しSuper userで"untar_me.tar"ファイルを"/var/tmp"配下に移動

admin@firepower:/var/sf/backup$ sudo su -

root@firepower:~#
root@firepower:/var/tmp# mv /var/sf/backup/untar_me.tar /var/tmp/
root@firepower:/var/tmp# ls -l
total 72
...snip...
-rw-r--r-- 1 www www 30720 Oct 19 21:05 untar_me.tar
root@firepower:/var/tmp#

3． "tar -xvf untar_me.tar"コマンドでファイルを解凍

root@firepower:/var/tmp# tar -xvf untar_me.tar
install_certs.sh
iosCerts.pem
iosCerts.tgz
root@firepower:/var/tmp#

4． "./install_certs.sh"コマンドでスクリプトを実行

root@firepower:/var/tmp# ./install_certs.sh
installing CA certificates to /etc/sf/keys/fireamp/thawte_roots ...
/etc/sf/keys/fireamp/thawte_roots /var/tmp
iosCert10.pem
iosCert1.pem
iosCert2.pem
iosCert3.pem
iosCert4.pem
iosCert5.pem
iosCert6.pem
iosCert7.pem
iosCert8.pem
iosCert9.pem
Doing .
WARNING: Skipping duplicate certificate QuoVadis_Root_CA2.pem
/var/tmp
Exiting ./install_certs.sh.
root@firepower:/var/tmp#

方法3: ASDM管理からFMC管理への切り替え

ASDM管理からCSCvm03931の修正バージョンのFMC管理へ切り替えることで、本事象を解決することも可能です。
ASDM管理時とFMC管理時の相違点については、下記コミュニティをご参照ください。

ASA5500-X: FTD/FirePOWERの FDM/FMC/ASDM管理時の比較