Firepower Management Center (FMC) en Firepower Threat Defense (FTD) rapporteren Cisco Smart Licensing HTTPS-verkeer als toos.cisco.com in plaats van tools.cisco.com.
Dit zorgt ervoor dat Cisco-apparaatlicentieverkeer (ASA, routers, switches) wordt geblokkeerd door op URL's gebaseerd of Security Intelligence-beleid, wat mogelijk resulteert in het verlopen van licenties.
Het verkeer zelf is legitiem en bestemd voor Cisco-licentieinfrastructuren.
Productfamilie: Cisco Secure Firewall
Verkeerstype: Cisco Smart Licensing (HTTPS / TCP 443)
TLS Server Identity (TSID)-functie ingeschakeld
FMC-verbindingsgebeurtenissen of FTD-systeemsupporttracering:

Opdrachten voor slimme licenties (bijvoorbeeld licentie voor slimme vernieuwing) mislukken.
URL-filtering / Beleid voor beveiligingsinformatie dat toos.cisco.com blokkeert.
Packet capture bevestigt dat verkeer wordt verzonden naar Cisco-licentie-IP's (zoals tools1.cisco.com).
Het uitschakelen van TSID zorgt ervoor dat FMC tools.cisco.com rapporteert.
Op het Cisco-apparaat (voorbeeld: ASA):
license smart renew auth
capture LIC interface outside trace detail match tcp host <ASA_IP> any eq 443
show capture LIC
Exporteer de IP-resoluties voor vastlegging en bevestiging van bestemming naar Cisco-licentiehosts:
tools1.cisco.com
Packet Capture (FTD CLI)
capture capin interface <inside> match tcp host <DEVICE_IP> any eq 443
capture capout interface <outside> match tcp host <DEVICE_IP> any eq 443
System Support Trace
system support trace
Zoek naar logboekvermeldingen die vergelijkbaar zijn met:
url toos.cisco.com
Navigeer naar toegangscontrolebeleid
Bewerk de toepasselijke regel
Geavanceerde instellingen controleren
Bevestigen dat TLS Server Identity Discovery (TSID) is ingeschakeld
Schakel TSID uit op de regel
Implementatiebeleid
Licentiepoging opnieuw uitvoeren
Opmerking - Verwacht gedrag: FMC rapporteert tools.cisco.com wanneer TSID is uitgeschakeld
Bevestig vanuit de tools voor pakketregistratie of browsers:
SAN-lijst bevat toos.cisco.com als eerste item

Geen defect. Gedrag wordt bepaald door design. Adviseer een van deze opties:
1.- Sta toos.cisco.com toe in URL-filtering / Security Intelligence-beleid
2.- Cisco Smart Licensing-verkeer toestaan op: URL-categorie of breder domeinpatroon
Door-ontwerp TSID-gedrag wanneer TLS ClientHello geen SNI bevat.
Als TSID is ingeschakeld en SNI ontbreekt, bepaalt de FMC de serveridentiteit met behulp van certificaatkenmerken in deze volgorde:
1.- Algemene benaming (GN)
2.- Alternatieve naam eerste onderwerp (SAN)
3.- Organisatorische eenheid (OE)
Cisco Smart Licensing-servercertificaten bevatten toos.cisco.com als eerste SAN-item.
Als gevolg hiervan rapporteert FMC toos.cisco.com, hoewel:
DNS-resolutie is correct
Het IP-adres van de bestemming behoort tot de licentie-infrastructuur van Cisco
De verkeersintegriteit wordt niet aangetast
Dit heeft alleen invloed op URL-rapportage en beleidshandhaving.
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
01-Jul-2026
|
Eerste vrijgave |