Problema
Dopo aver ripristinato un Cisco Secure Firewall Management Center (FMC) da un backup precedente che non conteneva dispositivi FTD (Threat Defense) FPR3110 aggiunti di recente, i tentativi di registrare nuovamente questi FTD nel FMC restituiscono il messaggio di errore:
Failed to issue certificate to device.
Le operazioni precedenti di risoluzione dei problemi, ad esempio la rimozione e la reaggiunta del gestore di FMC sui dispositivi FTD, non hanno risolto il problema. È necessario disporre di istruzioni su come cancellare o correggere i file relativi ai certificati che possono causare errori di registrazione del FMC.
Ambiente
- Tecnologia: Cisco Secure Firewall Firepower - 7.0
- Sottotecnologia: Firepower Management (FMC / cdFMC / FDM) - 7.0
- Software FMC versione: 9.18.4
- FPR3110 FTD Dispositivi (appena aggiunti, non presenti nel backup FMC precedente)
- Modifica recente: FMC ripristinato dal backup, FTD registrati in precedenza ma non presenti nel backup ripristinato
- Errore: "Impossibile rilasciare il certificato al dispositivo" durante la registrazione di FTD nel FMC
- Più tentativi precedenti di rimuovere e aggiungere nuovamente il manager FMC nei FTD
Escalation interna
Coinvolgere i team di escalation interni per la convalida e l'assistenza durante l'intervento manuale sui file di database dei dispositivi.
Per risolvere l'errore di registrazione FMC dovuto a problemi di assegnazione dei certificati dopo un ripristino, attenersi alla procedura dettagliata riportata di seguito. Ogni fase viene illustrata in modo dettagliato, con esempi preformattati di comandi e output.
Causa
La causa sottostante dell'errore di registrazione è un ripristino non corretto del FMC dal backup. Come indicato nella documentazione di Cisco, un backup del FMC deve essere ripristinato in un dispositivo del FMC con nuova immagine. Il ripristino di un backup del FMC in un FMC già configurato può causare conflitti di database, ad esempio file di assegnazione dei certificati non corrispondenti ("serial" e "serial.old") e la presenza di certificati revocati corrispondenti alle registrazioni non riuscite. Ciò ha impedito al FMC di rilasciare nuovi certificati ai dispositivi fino a quando i file non sono stati corretti manualmente.
Contenuto correlato
- Supporto tecnico Cisco e download
- Ripristino su un centro di gestione con nuova immagine
- ID bug Cisco: CSCwk70545, CSCwd08448, CSCvx90840
- Casi correlati: 699153777, 695273860, 698528439, 698522515, 699376877, 699840417, 695068700, 694553292, 698529565, 698516153, 697548586