Cisco製品のルート証明書変更の製品別影響

 Cisco製品ではQuoVadis Root CA 2から発行されているサーバ証明書を利用していますが2021年4月1日よりIdenTrust Commercial Root CA 1から発行されるサーバ証明書に切り替えを行うとのことです。そのため サーバ証明書を使用している製品が影響を受けます。

影響を受ける機能

・Smart Licence (オンライン認証のみ)が失敗することがあります。

・SLPは90日毎のレポートが必要な場合は失敗することがあります。


影響を受ける製品

<スイッチ>

・Catalyst3650

・Catalyst3850

・Catalyst9200

・Catalyst9200L

・Catalyst9300

・Catalyst9300L

・Catalyst9400

https://www.cisco.com/c/en/us/support/docs/field-notices/723/fn72323.html


<ファイアウォール>

・FirePowerシリーズ

・ASAシリーズ

https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72103.html


対策

・個別で証明書をインストールする。

・対策済みのファームウェアへバージョンアップする。


FortiGateに続き、Ciscoでも有効期限切れが起きてしまいました。

開発時の人為的ミスとCisco社は認めているようです。





コメント

コメントを投稿

このブログの人気の投稿

FortiGateのセキュリティグループの使用方法

イメージ
 FortiGateにセキュリティプロファイルをグループ化する方法が実装されていました。 Paloaltoでは 標準的に使う機能ですが FortiGateではあまり聞きません。 FortiGateの完全実装本などにも 記載はなかったと思います。 すごい便利な機能ですが デフォルトは非表示です。 6.0.0系から使えてたみたいです。 以下のコマンドでGUIを有効化します。 config system settings set gui-security-profile-group enable end GUIにプロファイルグループが表示されます。 名前と設定したいセキュリティプロファイルを選択します。 アンチウイルスとWebフィルタだけ有効にする組み合わせも可能です。 設定したら OKで確定します。 設定ができるとプロファイルグループが出来ています。 次はファイアウォールポリシーへ適用します。 適用したいファイアウォールポリシーへ移動します。 セキュリティプロファイルグループの使用というチェック項目が増えていますので 有効にします。指定したいプロファイルグループを設定し、OKです。 これで設定は完了です。 どうでしたでしょうか? 非常に便利な機能で運用がとても楽になります。 サーバ用ポリシーとクライアントポリシーを分けたり、管理者用、開発者用などでも 分けることができて非常に便利です。 ぜひお試しください。
Read more »

FortiGate7.0からZTNA対応

 FortiGate7.0からZTNAに対応しました。 ZTNAを実装する上で必要になるコンポートネントは以下となります。 ・FortiGate  version7.0.X ・ FortiClient EMS  v7.0.x( VPN&ZTNA or Zero Trust Fabric AgentのSKUが必要) ・FortiClient  v7.0.x 従来のVPN接続のようなユーザー操作を必要とせず、社内リソースへアクセスできるようになります。 認証は以下の3つが可能なようです。LDAPなどの連携もできるみたいですよ。 ・クライアント証明書 ・ユーザID/PASS ・デバイスポスチャーチェック 実機でまた検証できる機会があったら 検証してみたいと思います。
Read more »

FortiGateがDS-Lite(IPv6)に正式対応しました!

 FortiGateは 今までMAP-Eのみ公式対応しておりましたが FortiOS 7.0.2以降で vneトンネルに set brコマンドが追加されて正式DS-Liteに対応したそうです。 https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf 具体的な違いは以下となります。 FortiOS7.0.2以前(DS-Lite対応前) ・IPv6 Tunnelにて 定義 ・送信元のIPv6アドレスの指定が必要   ※Prefix変更時には設定変更が必要となる。 FortiOS7.0.3以降(DS-Lite対応後) ・VNE-Tunnelにて 定義 ・送信元となるIPv6アドレスの指定が必要ない IPOEがまだまだ普及していませんが FortiGateが対応したとなると 企業へのIPOE導入も増えてきそうですね。
Read more »