キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASAv: ASA-3-717009: Certificate validation failedで、スマートライセンス認証が失敗する場合

[toc:faq]

   

証明書問題によるスマートライセンス認証の失敗

以下エラーで認証が失敗する場合、スマートライセンス認証に利用するTrustpoolが最新でない可能性があります。

%ASA-3-717009: Certificate validation failed. No suitable trustpoints found to validate certificate serial number: ...

  
当エラーの復旧方法は、以下 3つがあります。

復旧手順A) インターネットに接続し、証明書自動更新を待つ
復旧手順B) インターネットに接続し、強制手動アップデート
復旧手順C) ローカルで、ASAアップグレードによる証明書更新 

  
各復旧手順について順に説明いたします。

   

   

スマートライセンスの証明書問題の復旧手順

復旧手順 A) インターネットに接続し、証明書自動更新を待つ

ASAバージョン 9.5(2)以降の場合、当Trustpoolの自動インポート機能(*毎日22:00実行)が有効です。 つまり、当実装を持つASAは、インターネットに接続していれば証明書の自動更新が可能です。 

   

復旧手順B) インターネットに接続し、強制手動アップデート

即座にTrustpoolを更新したい場合は以下コマンドで可能です。 ASAバージョン 9.4以下や、もしくは即座に更新をしたい方向けです。

crypto ca trustpool import url http://www.cisco.com/security/pki/trs/ios_core.p7b

 
以下はコマンド実行例です。

ASA# crypto ca trustpool import url http://www.cisco.com/security/$
Root file signature verified.
You are about to update the current trusted certificate pool
with the 18384 byte file at http://www.cisco.com/security/pki/trs/ios_core.p7b
Do you want to continue? (y/n)
Trustpool import:
attempted: 15
installed: 1
duplicates: 14
expired: 0
failed: 0

  

復旧手順C) ローカルで、ASAアップグレードによる証明書更新

何らかの理由で一時的にASAvを インターネットから切り離して、閉じた環境でASAvをセットアップする場合向けです。  

手順としては、古いTrustpointのクリア後、特定バージョン以降にASAをアップグレードする事で、ASA起動時に証明書の再インポートが可能です。 この証明書は十分な長い期間 動作するよう設計されています。

 
以下に具体的な手順を示します。

C-1. まず"clear configure crypto ca trustpoint"コマンドで、古いTrustpointをクリアします。 "show run crypt ca"コマンドでTrustpoolがクリアされたことを確認した後、"write memory"で設定保存します。

ASAV-01(config)# clear configure crypto ca trustpoint
WARNING: Removing an enrolled trustpoint will destroy all
certificates received from the related Certificate Authority.
Are you sure you want to do this? [yes/no]: yes
INFO: Be sure to ask the CA administrator to revoke your certificates.
ASAV-01(config)#
ASAV-01(config)# show run crypt ca
crypto ca trustpool policy
ASAV-01(config)#
ASAV-01(config)# write memory

    

C-2. 起動時にTrustpoolの更新が可能な以下バージョンにASAをアップグレードします。 なお、任意トレインの最新バージョンのご利用をお勧めします。

    • 9.6(2) 以降
    • 9.5(3) 以降
    • 9.4(3) 以降
    • 9.3(3)11 以降
    • 9.2(4)11 以降

  

C-3. 対応バージョンにアップグレード後、"show run crypt ca"コマンドでTrustpoolが復元されたことを確認します。

ASAV-01(config)# show version | in Version
Cisco Adaptive Security Appliance Software Version 9.6(2)
Device Manager Version 7.6(2)
ASAV-01#
ASAV-01(config)# show run crypt ca
crypto ca trustpoint _SmartCallHome_ServerCA
no validation-usage
crl configure
crypto ca trustpool policy
auto-import
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 18dad19e267de8bb4a2158cdcc6b3b4a
308204d3 308203bb a0030201 02021018 dad19e26 7de8bb4a 2158cdcc 6b3b4a30
0d06092a 864886f7 0d010105 05003081 ca310b30 09060355 04061302 55533117
30150603 55040a13 0e566572 69536967 6e2c2049 6e632e31 1f301d06 0355040b
13165665 72695369 676e2054 72757374 204e6574 776f726b 313a3038 06035504

 

C-4. Token IDによる再認証を実行し、スマートライセンス認証が成功する事を確認します。

ASAV-01# license smart register idtoken OGJjY2MyNzktNjYzN....
ASAV-01#
ASAV-01# show license feature
Serial Number: 9A3TVSxxxxx
Export Compliant: YES

License mode: Smart Licensing
ASAv Platform License State: Licensed 
Active entitlement: ASAv-STD-100M, enforce mode: Authorized 
Licensed for maximum of 1 vCPU

Licensed features for this platform:
Maximum Physical Interfaces       : 10
Maximum VLANs                     : 50
Inside Hosts                      : Unlimited
Failover                          : Active/Standby
Encryption-DES                    : Enabled
Encryption-3DES-AES : Enabled

   

  

参考情報

ASAv: スマートライセンス認証とトラブルシューティング
https://supportforums.cisco.com/ja/document/13070711

ASAv Smart Licensing Failures Due to Certificate Handshake Failure
http://www.cisco.com/c/en/us/support/docs/security/adaptive-security-appliance-asa-software/200486-ASAv-Smart-Licensing-Failures-Due-to-Cer.html

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/ja/document/12725841

バージョン履歴
改訂番号
1/1
最終更新:
‎12-12-2016 05:10 AM
更新者:
 
ラベル(1)