Firepower Management Center (FMC) und Firepower Threat Defense (FTD) melden HTTPS-Datenverkehr von Cisco Smart Licensing als toos.cisco.com anstatt als tools.cisco.com.
Dies führt dazu, dass der Lizenzierungsverkehr für Cisco Geräte (ASA, Router, Switches) durch URL-basierte oder Security Intelligence-Richtlinien blockiert wird, was zum Lizenzablauf führen kann.
Der Datenverkehr selbst ist legitim und an die Lizenzierungsinfrastruktur von Cisco gerichtet.
Produktfamilie: Sichere Firewall von Cisco
Datenverkehrstyp: Cisco Smart Licensing (HTTPS/TCP 443)
TLS-TSID-Funktion aktiviert
Ablaufverfolgung von FMC-Verbindungsereignissen oder FTD-Systemunterstützung:

Die Smart Licensing-Befehle (z. B. die Lizenz-Smart Renew-Authentifizierung) schlagen fehl.
URL-Filterung/Sicherheitsintelligenzrichtlinien blockieren toos.cisco.com.
Durch die Paketerfassung wird bestätigt, dass der Datenverkehr an lizenzierende IPs von Cisco gesendet wird (wie tools1.cisco.com).
Wenn Sie TSID deaktivieren, meldet FMC tools.cisco.com.
Auf dem Cisco Gerät (Beispiel: ASA:
license smart renew auth
capture LIC interface outside trace detail match tcp host <ASA_IP> any eq 443
show capture LIC
Exportieren Sie die Erfassung und bestätigen Sie die Auflösung der Ziel-IP-Adresse in Cisco Lizenzierungshosts:
tools1.cisco.com
Paketerfassung (FTD CLI)
capture capin interface <inside> match tcp host <DEVICE_IP> any eq 443
capture capout interface <outside> match tcp host <DEVICE_IP> any eq 443
Trace zur Systemunterstützung
system support trace
Suchen Sie nach Protokolleinträgen wie:
url toos.cisco.com
Navigieren zur Zugriffskontrollrichtlinie
Bearbeiten der entsprechenden Regel
Erweiterte Einstellungen überprüfen
Bestätigung, dass die TLS-Serveridentitätserkennung (TSID) aktiviert ist
TSID für Regel deaktivieren
Bereitstellen von Richtlinien
Lizenzierungsversuch erneut ausführen
Hinweis - Erwartetes Verhalten: FMC meldet tools.cisco.com, wenn TSID deaktiviert ist
Bestätigen Sie in den Paketerfassungs- oder Browser-Tools Folgendes:
SAN-Liste enthält als ersten Eintrag toos.cisco.com

Kein Defekt. Verhalten ist Absicht. Empfehlen Sie eine der folgenden Optionen:
1.- Lassen Sie toos.cisco.com in URL-Filterung / Sicherheitsintelligenzrichtlinien zu
2.- Zulassen von Cisco Smart Licensing-Datenverkehr durch: URL-Kategorie oder umfassenderes Domänenmuster
TSID-Verhalten nach Entwurf, wenn TLS ClientHello kein SNI enthält
Wenn TSID aktiviert ist und SNI fehlt, bestimmt FMC die Serveridentität mithilfe der Zertifikatattribute in der folgenden Reihenfolge:
1.- Gattungsbezeichnung (KN)
2.- Alternativer Name des ersten Betreffs (SAN)
3.- Organisationseinheit (OU)
Cisco Smart Licensing-Serverzertifikate enthalten toos.cisco.com als ersten SAN-Eintrag.
FMC meldet toos.cisco.com daraufhin, obwohl:
Die DNS-Auflösung ist richtig.
Die Ziel-IP-Adresse gehört zur Lizenzierungsinfrastruktur von Cisco.
Die Integrität des Datenverkehrs wird nicht beeinträchtigt.
Dies betrifft nur URL-Berichte und die Richtliniendurchsetzung.
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
01-Jul-2026
|
Erstveröffentlichung |