はじめに
FMCに登録されている Firepower デバイスが SFTunnel を経由し、FMC との暗号化通信を行います。
本ドキュメントは SFTunnel に利用されている SSL 証明書の再作成方法についてご紹介します。
事象の説明
確実なトリガーが不明ですが、例えばVDBの更新時などに何かの理由で FMC に登録されている Firepower デバイスと FMC の間の通信がうまくできない事象が稀に発生することがあります。対象 Firepower デバイスの再起動、及び、 FMC への再登録を実施しても、事象が改善できません。また、Firepower デバイスのTSファイルの「/var/log/messages」に以下のような SFTunnel 通信用の SSL 証明書の期限切れを示すエラーログが出力されます。
本件事象は Firepower 5.4や 6.0など古いバージョンをご利用環境で発生報告があります。
sftunneld:sf_ssl [ERROR] CRL Expired
sftunneld:sf_ssl [ERROR] Unable to load SSL verification data(2): CRL expired
sftunneld:sf_ssl [ERROR] Unable to create SSL context(2): error:00000000:lib(0):func(0):reason(0)
SSL証明書の作成方法
Firepower デバイスの Expert モードで SSL 証明書の再作成により、上記の事象を改善できることが期待できます。詳細な作業手順は以下の内容を参照してください。
※SSL 証明書を再作成された後でも事象が改善できない場合に、関連情報を持って Cisco TAC にお問い合わせしてください。
- ステップ1: EM_peersテーブルのクエリにてセンサー上の登録情報の確認
例)
sudo mysql -padmin sfsnort -e "select name,ip,uuid,role from EM_peers where role !=0"
password:
+---------------+---------------+--------------------------------------+------+
| name | ip | uuid | role |
+---------------+---------------+--------------------------------------+------+
| Sourcefire3D | 10.0.1.1 | a57b4472-97cd-11e9-a594-9076186da141 | 1 |
+---------------+---------------+--------------------------------------+------+
- ステップ2: remove_peer.plスクリプトにてEM_Peerテーブル上のエントリーを、以下のようなコマンドを実行して削除
例)
admin@Sourcefire3D:~$ sudo remove_peer.pl 10.0.1.1
admin@Sourcefire3D:~$ sudo remove_peer.pl ~10.0.1.1
admin@Sourcefire3D:~$ sudo remove_peer.pl a57b4472-97cd-11e9-a594-9076186da141
admin@Sourcefire3D:~$ sudo remove_peer.pl ~a57b4472-97cd-11e9-a594-9076186da141
admin@Sourcefire3D:~$ sudo remove_peer.pl Sourcefire3D
admin@Sourcefire3D:~$ sudo remove_peer.pl ~Sourcefire3D
実行するコマンドのSyntaxは以下です。
remove_peer.pl IP_ADDRESS
remove_peer.pl ~IP_ADDRESS
remove_peer.pl UUID
remove_peer.pl ~UUID
remove_peer.pl NAME
remove_peer.pl ~NAME
- ステップ3: 現在のSSL Certificateの取り消し
例)
admin@Sourcefire3D:~$ for NUM in `grep -e '^V' /etc/sf/ca_root/index.txt | grep sftunnel | cut -f4`; do sfca_revoke /etc/sf/ca_root $NUM; done
- ステップ4: SSL_peerテーブルからSFTunnelの削除
例)
admin@Sourcefire3D:~$ sudo mysql -padmin sfsnort -e 'delete from ssl_peer where role = "sftunnel"'
- ステップ5: イニシャルSFTunnel SSL Certificatesの再生成
例)
admin@Sourcefire3D:~$ sudo /etc/rc.d/init.d/cert-tun-init
- ステップ6: (仮に古いデバイス登録が FMC 側で残ってる場合は手動でデバイスを FMC 側で削除してから、)FMCへFirepower デバイスの再登録
参考情報
FireSight-FirePower 登録手順
https://community.cisco.com/t5/-/-/ta-p/3135323