キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
1298
閲覧回数
10
いいね!
0
コメント
jianzh3
Cisco Employee
Cisco Employee

はじめに

FMCに登録されている Firepower デバイスが SFTunnel を経由し、FMC との暗号化通信を行います。
本ドキュメントは SFTunnel に利用されている SSL 証明書の再作成方法についてご紹介します。

 

 

事象の説明

確実なトリガーが不明ですが、例えばVDBの更新時などに何かの理由で FMC に登録されている Firepower デバイスと FMC の間の通信がうまくできない事象が稀に発生することがあります。対象 Firepower デバイスの再起動、及び、 FMC への再登録を実施しても、事象が改善できません。また、Firepower デバイスのTSファイルの「/var/log/messages」に以下のような SFTunnel 通信用の SSL 証明書の期限切れを示すエラーログが出力されます。

本件事象は Firepower 5.4や 6.0など古いバージョンをご利用環境で発生報告があります。

sftunneld:sf_ssl [ERROR] CRL Expired 
sftunneld:sf_ssl [ERROR] Unable to load SSL verification data(2): CRL expired 
sftunneld:sf_ssl [ERROR] Unable to create SSL context(2): error:00000000:lib(0):func(0):reason(0)

 

 

SSL証明書の作成方法

Firepower デバイスの Expert モードで SSL 証明書の再作成により、上記の事象を改善できることが期待できます。詳細な作業手順は以下の内容を参照してください。
※SSL 証明書を再作成された後でも事象が改善できない場合に、関連情報を持って Cisco TAC にお問い合わせしてください。

  • ステップ1: EM_peersテーブルのクエリにてセンサー上の登録情報の確認
例)
sudo mysql -padmin sfsnort -e "select name,ip,uuid,role from EM_peers where role !=0"
password:
+---------------+---------------+--------------------------------------+------+
| name | ip | uuid | role |
+---------------+---------------+--------------------------------------+------+
| Sourcefire3D | 10.0.1.1 | a57b4472-97cd-11e9-a594-9076186da141 | 1 |
+---------------+---------------+--------------------------------------+------+

 

  • ステップ2: remove_peer.plスクリプトにてEM_Peerテーブル上のエントリーを、以下のようなコマンドを実行して削除
例)
admin@Sourcefire3D:~$ sudo remove_peer.pl 10.0.1.1
admin@Sourcefire3D:~$ sudo remove_peer.pl ~10.0.1.1
admin@Sourcefire3D:~$ sudo remove_peer.pl a57b4472-97cd-11e9-a594-9076186da141
admin@Sourcefire3D:~$ sudo remove_peer.pl ~a57b4472-97cd-11e9-a594-9076186da141
admin@Sourcefire3D:~$ sudo remove_peer.pl Sourcefire3D
admin@Sourcefire3D:~$ sudo remove_peer.pl ~Sourcefire3D

 

実行するコマンドのSyntaxは以下です。

remove_peer.pl IP_ADDRESS
remove_peer.pl ~IP_ADDRESS
remove_peer.pl UUID
remove_peer.pl ~UUID
remove_peer.pl NAME
remove_peer.pl ~NAME

 

  • ステップ3: 現在のSSL Certificateの取り消し
例)
admin@Sourcefire3D:~$ for NUM in `grep -e '^V' /etc/sf/ca_root/index.txt | grep sftunnel | cut -f4`; do sfca_revoke /etc/sf/ca_root $NUM; done

 

  • ステップ4: SSL_peerテーブルからSFTunnelの削除
例)
admin@Sourcefire3D:~$ sudo mysql -padmin sfsnort -e 'delete from ssl_peer where role = "sftunnel"'

 

  • ステップ5: イニシャルSFTunnel SSL Certificatesの再生成
例)
admin@Sourcefire3D:~$ sudo /etc/rc.d/init.d/cert-tun-init

 

  • ステップ6: (仮に古いデバイス登録が FMC 側で残ってる場合は手動でデバイスを FMC 側で削除してから、)FMCへFirepower デバイスの再登録

 

 

参考情報

FireSight-FirePower 登録手順
https://community.cisco.com/t5/-/-/ta-p/3135323

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします