We’re one of the best professional IT outsourcing companies in Thailand. Let’s work together

การแก้ไขปัญหาใบ Certificate ของ FMC หมดอายุ

Home Postsการแก้ไขปัญหาใบ Certificate ของ FMC หมดอายุ
การแก้ไขปัญหาใบ Certificate ของ FMC หมดอายุ

cacert.pem Certificate บน FMC หมดอายุ ส่งผลให้ทุกอุปกรณ์แสดงสถานะเป็น “disabled”

อาการของปัญหา: ตัวอุปกรณ์ Firepower ไม่สามารถเชื่อมต่อกับ Firepower Management Center (FMC) ได้ เนื่องจากใบรับรองที่ใช้สำหรับเซ็นรับรอง sftunnel certificates บน FMC ได้หมดอายุแล้วนั่นเองครับ

ไฟล์บันทึกข้อมูล (Logs):

ข้อผิดพลาดบนอุปกรณ์:

Sep 20 04:10:47 DEVICE SF-IMS[50792]: [51982] sftunneld:sf_ssl [INFO] Initiating IPv4 connection to FMC-IP:8305/tcp
Sep 20 04:10:47 DEVICE SF-IMS[50792]: [51982] sftunneld:sf_ssl [INFO] Wait to connect to 8305 (IPv4): FMC-IP
Sep 20 04:10:47 DEVICE SF-IMS[50792]: [51982] sftunneld:sf_ssl [ERROR] -Error with certificate at depth: 1
Sep 20 04:10:47 DEVICE SF-IMS[50792]: [51982] sftunneld:sf_ssl [ERROR] err 10:certificate has expired
Sep 20 04:10:47 DEVICE SF-IMS[50792]: [51982] sftunneld:sf_ssl [ERROR] SSL_renegotiate error: 1: error:00000001:lib(0):func(0):reason(1)

ข้อผิดพลาดบน FMC:

Sep 20 03:14:23 FMC SF-IMS[1504]: [4171] sftunneld:sf_ssl [ERROR] SSL_renegotiate error: 1: error:00000001:lib(0):func(0):reason(1)
Sep 20 03:14:23 FMC SF-IMS[1504]: [4171] sftunneld:sf_ssl [WARN] establishConnectionUtil: SSL handshake failed
Sep 20 03:14:23 FMC SF-IMS[1504]: [4171] sftunneld:sf_ssl [ERROR] establishSSLConnection: Unable to connect with both threads:

เงื่อนไขของปัญหา: ไฟล์ cacert.pem แสดงสถานะหมดอายุบน FMC

สามารถตรวจสอบใบรับรองได้โดยใช้คำสั่งต่อไปนี้:

cd /etc/sf/ca_root/
root@firepower:/etc/sf/ca_root# openssl x509 -text -in cacert.pem

ตัวอย่างผลลัพธ์ที่แสดงว่าใบรับรองหมดอายุแล้ว:

 Validity
    Not Before: Jul 18 18:31:32 2012 GMT
    Not After : Jul 16 18:31:32 2022 GMT <<<

แนวทางแก้ไขชั่วคราว (Workaround): แนวทางแก้ไขสำหรับปัญหานี้อธิบายไว้ที่ Cisco Support โดยขึ้นอยู่กับว่าใบรับรองหมดอายุแล้วหรือไม่

รายละเอียดเพิ่มเติมเกี่ยวกับปัญหา: สามารถดูข้อมูลเพิ่มเติมได้ที่ Cisco Field Notice

การตรวจสอบวันหมดอายุของใบรับรอง: ใช้คำสั่งต่อไปนี้เพื่อตรวจสอบ:

root@firepower:/etc/sf/ca_root# openssl x509 -text -in cacert.pem

หากวันหมดอายุของใบรับรอง (Not After) เป็นวันที่ผ่านมาแล้ว แสดงว่าใบรับรองหมดอายุและต้องดำเนินการต่ออายุครับ

#FMC #Firepower #Cisco #Cybersecurity

Tags:
Share:

Recent News

Categories

Need Any Consultations ?

Contact Us