Problème
Après la restauration d'un Cisco Secure Firewall Management Center (FMC) à partir d'une sauvegarde plus ancienne ne contenant pas de périphériques FTD (Threat Defense) FPR3110 récemment ajoutés, les tentatives d'enregistrement de ces FTD sur le FMC génèrent le message d'erreur suivant :
Failed to issue certificate to device.
Les étapes de dépannage précédentes, telles que la suppression et le réajout du gestionnaire FMC sur les périphériques FTD, n'ont pas résolu le problème. Des conseils sont requis sur la façon d'effacer ou de corriger les fichiers liés aux certificats qui peuvent entraîner des échecs d'enregistrement FMC.
Environnement
- Technologie : Cisco Secure Firewall Firepower - 7.0
- Sous-technologie : Firepower Management (FMC / cdFMC / FDM) - 7.0
- Version du logiciel FMC : 9.18.4
- Périphériques FTD FPR3110 (nouvellement ajoutés, absents de la sauvegarde FMC plus ancienne)
- Modification récente : FMC restauré à partir d'une sauvegarde, FTD précédemment enregistrés mais pas présents dans la sauvegarde restaurée
- Erreur : "Echec de l'émission du certificat au périphérique" lors de l'enregistrement des FTD au FMC
- Tentatives précédentes multiples de suppression et de réajout du gestionnaire FMC sur les FTD
Escalade interne
Faire appel aux équipes internes de signalement pour validation et assistance lors d'une intervention manuelle sur les fichiers de base de données des périphériques.
Pour résoudre l'échec de l'enregistrement FMC dû à des problèmes d'affectation de certificat après une restauration, suivez ces étapes détaillées. Chaque étape est expliquée en détail, avec des exemples de commandes et de résultats préformatés pour plus de clarté.
Motif
La cause sous-jacente de l'échec de l'enregistrement est une restauration FMC incorrecte à partir d'une sauvegarde. Comme indiqué dans la documentation Cisco, une sauvegarde FMC doit être restaurée sur un périphérique FMC entièrement recréé. La restauration d'une sauvegarde FMC sur un FMC déjà configuré peut provoquer des conflits de base de données tels que des fichiers d'affectation de certificats non concordants (« serial » et « serial.old ») et la présence de certificats révoqués correspondant aux enregistrements ayant échoué. Cela a empêché le FMC d'émettre de nouveaux certificats vers les périphériques jusqu'à ce que les fichiers aient été corrigés manuellement.
Autres informations utiles
- Assistance technique de Cisco et téléchargements
- Restaurer sur un centre de gestion réimagé
- ID de bogue Cisco : CSCwk70545, CSCwd08448, CSCvx90840
- Cas connexes : 699153777, 695273860, 698528439, 698522515, 699376877, 699840417, 695068700, 694553292, 698529565, 698516153, 697548586