故障排除

本章涵盖以下部分:

对安全设备连接器进行故障排除

使用这些主题对现场安全设备连接器 (SDC) 进行故障排除。

如果这些场景都不符合您的情况,请通过思科技术支持中心提交支持案例

SDC 无法接通

如果 SDC 未能连续响应来自 CDO 的两个心跳请求,则该 SDC 处于“无法访问”状态。如果您的 SDC 无法访问,您的租户将无法与您已自行激活的任何设备通信。

CDO 表示无法通过以下方式访问 SDC:

  • 您会看到消息“某些安全设备连接器 (SDC) 无法访问。您将无法与与这些 SDC 关联的设备进行通信。”在 CDO 主页上。

  • “安全连接器”(Secure Connectors) 页面中的 SDC 状态为“无法访问”(Unreachable)。

首先,尝试将 SDC 重新连接到租户以解决此问题:

  1. 检查 SDC 虚拟机是否正在运行,并且可以访问您所在地区的 CDO IP 地址。请参阅将 思科防御协调器 连接到托管设备

  2. 尝试通过手动请求心跳来重新连接 CDO 和 SDC。如果 SDC 响应心跳请求,它将返回“活动”状态。要手动请求心跳,请执行以下操作:

    1. 从 CDO 菜单中选择 管理 > 安全连接器

    2. 点击无法访问的 SDC。

    3. 在“操作”(Actions) 窗格中,点击请求检测信号 (Request Heartbeat)

    4. 点击重新连接 (Reconnect)

  3. 如果在手动尝试将 SDC 重新连接到租户后,SDC 未返回到主用状态,请按照中的说明进行操作。部署后,SDC 状态在 CDO 上未变为活动状态

部署后,SDC 状态在 CDO 上未变为活动状态

如果 CDO 在部署后约 10 分钟内未指示您的 SDC 处于活动状态,请使用您在部署 SDC 时创建的 cdo 用户和密码,通过 SSH 连接到 SDC VM。

Procedure


Step 1

查看 /opt/cdo/configure.log。它会显示您为 SDC 输入的配置设置,以及这些设置是否已成功应用。如果设置过程中出现任何故障,或者值输入不正确,请再次运行 sdc-onboard 设置:

  1. 在 [cdo@localhost cdo]$ 提示符后,输入 sudo sdc-onboard setup。

  2. 输入 cdo 用户的密码。

  3. 按照提示操作。设置脚本将指导您完成在设置向导中执行的所有配置步骤,并为您提供更改输入的值的机会。

Step 2

如果在查看日志并运行 sudo sdc-onboard setup 后,CDO 仍不指示 SDC 处于活动状态,请联系 CDO 支持。联系思科威胁防御支持


更改后的 SDC IP 地址未反映在 CDO 中

如果您更改了 SDC 的 IP 地址,则在格林威治标准时间上午 3:00 之前,它不会反映在 CDO 中。

排除设备与 SDC 的连接故障

使用此工具可测试从 CDO 通过安全设备连接器 (SDC) 到您的设备的连接。如果您的设备未能载入,或者您想在载入之前确定 CDO 是否可以访问您的设备,则可能需要测试此连接。

Procedure


Step 1

从 CDO 菜单中选择管理 (Admin) > 安全连接器 (Secure Connectors)

Step 2

选择 SDC。

Step 3

在右侧的故障排除 (Troubleshooting) 窗格中,点击设备连接 (Device Connectivity)

Step 4

输入您尝试进行故障排除或尝试连接的设备的有效 IP 地址或 FQDN 和端口号,然后点击开始 (Go)。CDO 执行以下验证:

  1. DNS 解析 (DNS Resolution) - 如果您提供 FQDN 而不是 IP 地址,这将验证 SDC 可以解析域名并获取 IP 地址。

  2. 连接测试 (Connection Test) - 验证设备是否可访问。

  3. TLS 支持 (TLS Support) - 检测设备和 SDC 支持的 TLS 版本和密码。

    • 不支持的密码 (Unsupported Cipher) - 如果没有设备和 SDC 都支持的 TLS 版本,则 CDO 还会测试设备(而不是 SDC)支持的 TLS 版本和密码。

  4. “SSL 证书”(SSL Certificate) - 故障排除提供证书信息。

Step 5

如果在载入或连接设备方面仍有问题,请联系防御协调器支持


与 SDC 间歇性连接或无连接

本节中讨论的解决方案仅适用于本地安全设备连接器 (SDC)。

症状:与 SDC 的连接断断续续或无连接。

诊断:如果磁盘空间几乎已满(80% 以上),可能会出现此问题。

执行以下步骤以检查磁盘空间使用情况。

  1. 打开 Secure Device Connector (SDC) VM 的控制台。

  2. 使用用户名 cdo 登录。

  3. 输入初始登录时创建的密码。

  4. 首先,通过键入 df -h 确认没有可用磁盘空间,以检查可用磁盘空间量。

    您可以确认磁盘空间已被 Docker 占用。正常磁盘使用量应低于 2 GB。

  5. 要查看 Docker 文件夹的磁盘使用情况,

    执行 sudo du -h /var/lib/docker | sort -h.

    您可以看到 Docker 文件夹的磁盘空间使用情况。

操作步骤

如果 Docker 文件夹的磁盘空间使用量快要满了,请在 Docker 配置文件中定义以下内容:

  • 最大大小:在当前文件达到最大大小后强制执行日志轮换。

  • 最大文件:在达到最大限制时删除多余的轮换日志文件。

请执行以下操作:

  1. 执行 sudo vi /etc/docker/daemon.json。

  2. 将以下行插入文件。

    {

    "log-driver": "json-file",

    "log-opts": {"max-size": "100m", "max-file": "5" }

    }

  3. 按 ESC,然后键入 :wq!写入更改并关闭文件。



    您可以执行 sudo cat /etc/docker/daemon.json 来验证对文件所做的更改。


  4. 执行 sudo systemctl restart docker 以重新启动 docker 文件。

    更改需要几分钟才能生效。您可以执行 sudo du -h /var/lib/docker | sort -h 以查看 docker 文件夹的更新磁盘使用情况。

  5. 执行 df -h 以验证可用磁盘大小是否已增加。

  6. 在 SDC 状态从“无法连通”(Unreachable) 变成“活动”(Active) 之前,您必须从 CDO 转到“安全连接器”(Secure Connectors) 页面,然后从“操作”(Actions) 菜单中点击请求重新连接 (Request Reconnect)

影响安全设备连接器的容器权限升级漏洞:cisco-sa-20190215-runc

思科产品安全事件响应团队 (PSIRT) 发布了安全公告 cisco-sa-20190215-runc,其中描述了 Docker 中的一个高严重性漏洞。阅读整个 PSIRT 团队公告,了解漏洞的完整说明。

此漏洞会影响所有 CDO 客户:

  • 使用 CDO 云部署的安全设备连接器 (SDC) 的客户无需执行任何操作,因为 CDO 运营团队已执行补救步骤。

  • 使用本地部署的 SDC 的客户需要升级其 SDC 主机才能使用最新的 Docker 版本。他们可以按照以下说明执行此操作:

更新 CDO 标准 SDC 主机

如果您使用 CDO 映像部署了 SDC,请使用以下说明。 使用 CDO 的 VM 映像部署安全设备连接器

过程

步骤 1

使用 SSH 或虚拟机监控程序控制台连接到 SDC 主机。

步骤 2

运行以下命令检查 Docker 服务的版本:

docker version

步骤 3

如果您运行的是最新的虚拟机 (VM),您应该会看到如下输出:

 > docker version
Client:
     Version: 18.06.1-ce
     API version: 1.38
     Go version: go1.10.3
     Git commit: e68fc7a
     Built: Tue Aug 21 17:23:03 2018
     OS/Arch: linux/amd64
     Experimental: false
您可能会在这里看到旧版本。

步骤 4

运行以下命令以更新 Docker 并重新启动服务:

> sudo yum update docker-ce
> sudo service docker restart

 

当 Docker 服务重新启动时,CDO 和您的设备之间会出现短暂的连接中断。

步骤 5

再次运行 docker version 命令。您应该会看到以下输出:

> docker version
Client:
    Version: 18.09.2
    API version: 1.39
    Go version: go1.10.6
    Git commit: 6247962
    Built: Sun Feb XX 04:13:27 2019
    OS/Arch: linux/amd64
    Experimental: false

步骤 6

大功告成。您现在已升级到 Docker 的最新版本并安装了补丁。


更新自定义 SDC 主机

如果您已创建自己的 SDC 主机,则需要按照说明根据 Docker 的安装方式进行更新。如果您使用的是 CentOS、yum 和 Docker-ce(社区版),则前面的程序将起作用。

如果您已安装 Docker-ee(企业版)或使用其他方法安装 Docker,则 Docker 的固定版本可能不同。您可以查看 Docker 页面以确定要安装的正确版本:Docker 安全更新和容器安全最佳实践。https://blog.docker.com/2019/02/docker-security-update-cve-2018-5736-and-container-security-best-practices/

思科防御协调器进行故障排除

登录失败故障排除

登录失败,因为您无意中登录到错误的 CDO 区域

请确保您登录的是适当的 CDO 区域。登录 https://sign-on.security.cisco.com 后,您可以选择要访问的区域。点击 CDO 磁贴访问 Defenseorchestrator.com 或点击 CDO (EU) 访问 Defenseorchestrator.eu。

迁移后的登录失败故障排除

由于用户名或密码不正确,CDO 登录失败

解决方法 如果您尝试登录 CDO ,并且知道您使用的是正确的用户名和密码,但登录失败,或者您尝试“忘记密码”无法恢复有效的密码,则您可能已尝试在未创建新 Cisco Security Cloud Sign On 帐户的情况下进行登录,则您需要按照创建新的 Cisco Security Cloud Sign On 账户并配置 Duo 多因素身份验证中的说明注册新的 Cisco Security Cloud Sign On 帐户。

登录到 Cisco Security Cloud Sign On 控制面板成功,但您无法启动 CDO

解决方法 您可能使用与 CDO 租户不同的用户名创建了 Cisco Security Cloud Sign On 账户。请联系思科技术支持中心 (TAC),以规范 CDO 和 Cisco Secure Sign-On 之间的用户信息。

使用保存的书签登录失败

解决方法 您可能正在尝试使用浏览器中保存的旧书签登录。书签可能指向 https://cdo.onelogin.com。https://cdo.onelogin.com/

解决方法 登录 https://sign-on.security.cisco.com

访问和证书故障排除

解析检测到的新指纹状态

Procedure

Step 1

在导航栏中,点击 设备和服务

Step 2

点击设备选项卡。

Step 3

点击适当的设备类型选项卡。

Step 4

选择处于检测到新指纹状态的设备。

Step 5

点击检测到的新指纹窗格中的查看指纹

Step 6

当系统提示您查看并接受指纹时:

  1. 点击下载指纹并进行查看。

  2. 如果您对指纹满意,请点击接受。如果不是,请点击取消

Step 7

解决新的指纹问题后,设备的连接状态可能会显示为在线,而配置状态可能会显示“未同步”或“检测到冲突”。回顾解决配置冲突 (Resolve Configuration Conflicts) 以查看和解决 CDO 与设备之间的配置差异。


使用安全和分析日志记录事件排除网络问题

以下是使用事件查看器排除网络问题的基本框架。

此场景假设您的网络运营团队收到报告,指出用户无法访问网络上的资源。根据报告问题的用户及其位置,网络运营团队可以合理地了解哪个防火墙控制其对资源的访问。


Note


此场景还假设 FDM 管理 设备是管理网络流量的防火墙。安全分析和日志记录不会从其他设备类型收集日志记录信息。


Procedure

Step 1

在导航窗格中,选择 分析 (Analytics) > 事件日志记录 (Event Logging)

Step 2

点击历史 (Historical) 选项卡。

Step 3

时间范围 (Time Range) 开始过滤事件。默认情况下,“历史”(Historical) 选项卡显示最近一小时的事件。如果这是正确的时间范围,请输入当前日期和时间作为结束时间。如果该时间范围不正确,请输入包含所报告问题时间的开始和结束时间。

Step 4

传感器 ID (Sensor ID) 字段中输入您怀疑控制用户访问的防火墙的 IP 地址。如果可能是多个防火墙,请使用搜索栏中的 attribute:value 对过滤事件。输入两个条目并将其与 OR 语句组合在一起。例如:SensorID:192.168.10.2 OR SensorID:192.168.20.2

Step 5

在事件过滤器栏中的源 IP (Source IP) 字段中输入用户的 IP 地址。

Step 6

如果用户无法访问资源,请尝试在目标 IP (Destination IP) 字段中输入该资源的 IP 地址。

Step 7

展开结果中的事件并查看其详细信息。以下是一些需要查看的详细信息:

  • AC_RuleAction - 触发规则时采取的操作(允许、信任、阻止)。

  • FirewallPolicy - 触发事件的规则所在的策略。

  • FirewallRule - 触发事件的关联规则的名称。如果值为“默认操作”(Default Action),则触发事件的是策略的默认操作,而不是策略中的某个规则。

  • UserName - 与发起方 IP 地址关联的用户。发起方 IP 地址与源 IP 地址相同。

Step 8

如果规则操作阻止访问,请查看 FirewallRule 和 FirewallPolicy 字段,以确定策略中阻止访问的规则。


SSL 解密问题故障排除

处理解密重签名适用于浏览器而非应用的 Web 站点(SSL 或证书颁发机构锁定)

智能手机和其他设备的某些应用使用 SSL(或证书颁发机构)锁定技术。SSL 锁定技术将原始服务器证书的散列值嵌入到应用本身内部。因此,当应用收到来自 Firepower Threat Defense设备的重签证书时,散列验证会失败并中止连接。

主要表现是,用户使用站点应用无法连接到网站,但可以使用网络浏览器连接,即使在应用无法正常工作的同一台设备上使用浏览器也可以连接。例如,用户不能使用 Facebook iOS 或 Android 应用,但可以通过 [/bookmap/topic/concept/reference/concept/conbody/section/p/xref {"link-https"}) https://www.facebook.com (xref] 转至 Safari 或 Chrome,进行成功连接。

由于 SSL 锁定专用于避免中间人攻击,因此此问题无法解决。必须从以下选项中选择一项:

更多详细信息

如果站点在浏览器中可用,但不能在同一设备的应用中使用,几乎可以肯定这是一个 SSL 锁定实例。但是,如果您想要更深入地挖掘,除了浏览器测试之外,还可以使用连接事件确定 SSL 锁定。

应用可能会通过两种方式处理散列验证失败:

  • 第 1 组应用,例如 Facebook,从服务器收到 SH、CERT、SHD 消息后立即发送 SSL 警告消息。警告通常是一个表示 SSL 锁定的“Unknown CA (48)” 警告。紧接着警告消息发送 TCP 重置。在事件详细信息中,您应看到以下现象:

    • SSL 流标志包括 ALERT_SEEN。

    • SSL 流标志不包括 APP_DATA_C2S 或 APP_DATA_S2C。

    • SSL 流消息通常是:CLIENT_HELLO、SERVER_HELLO、SERVER_CERTIFICATE、SERVER_KEY_EXCHANGE、SERVER_HELLO_DONE。

  • 第 2 组应用,例如 Dropbox,不会发送任何警告。而是,等到完成握手后发送 TCP 重置。在事件中,您应看到以下现象:

    • SSL 流标志不包括 ALERT_SEEN、APP_DATA_C2S 或 APP_DATA_S2C。

    • SSL 流消息通常是:CLIENT_HELLO、SERVER_HELLO、SERVER_CERTIFICATE、SERVER_KEY_EXCHANGE、SERVER_HELLO_DONE、CLIENT_KEY_EXCHANGE、CLIENT_CHANGE_CIPHER_SPEC、CLIENT_FINISHED、SERVER_CHANGE_CIPHER_SPEC、SERVER_FINISHED。

迁移后的登录失败故障排除

由于用户名或密码不正确,CDO 登录失败

解决方法 如果您尝试登录 CDO ,并且知道您使用的是正确的用户名和密码,但登录失败,或者您尝试“忘记密码”无法恢复有效的密码,则您可能已尝试在未创建新 Cisco Security Cloud Sign On 帐户的情况下进行登录,则您需要按照创建新的 Cisco Security Cloud Sign On 账户并配置 Duo 多因素身份验证中的说明注册新的 Cisco Security Cloud Sign On 帐户。

登录到 Cisco Security Cloud Sign On 控制面板成功,但您无法启动 CDO

解决方法 您可能使用与 CDO 租户不同的用户名创建了 Cisco Security Cloud Sign On 账户。请联系思科技术支持中心 (TAC),以规范 CDO 和 Cisco Secure Sign-On 之间的用户信息。

使用保存的书签登录失败

解决方法 您可能正在尝试使用浏览器中保存的旧书签登录。书签可能指向 https://cdo.onelogin.com。https://cdo.onelogin.com/

解决方法 登录 https://sign-on.security.cisco.com

对象故障排除

解决重复对象问题

重复对象 是指同一设备上具有不同名称但值相同的两个或多个对象。这些对象通常是意外创建的,可用于类似的目的,并供不同的策略使用。解决重复对象问题后,CDO 会使用保留的对象名称来更新所有受影响的对象引用。

要解决重复对象问题,请执行以下操作:

Procedure

Step 1

在左侧的 CDO 导航栏中,点击对象 (Objects)并选择一个选项。

Step 2

然后过滤对象以查找重复的对象问题。

Step 3

选择其中一个结果。在对象详细信息面板中,您将看到“重复”(DUPLICATE) 字段以及受影响的重复项数:

Step 4

点击解决。CDO 会显示要比较的重复对象。

Step 5

选择两个要比较的对象。

Step 6

您现在有以下选项:

  • 如果要将其中一个对象替换为另一个对象,请点击要保留的对象的选择 (Pick),点击解决 (Resolve) 以查看将受到影响的设备和网络策略,如果对更改满意,请点击确认 (Confirm)。CDO 会保留您选择替换的对象,同时删除重复项。

  • 如果列表中有要忽略的对象,请点击忽略 (Ignore)。如果您忽略某个对象,它就会从 CDO 显示的重复对象列表中删除。

  • 如果要保留对象,但又不希望 CDO 在搜索重复对象时找到该对象,请点击全部忽略 (Ignore All)

Step 7

一旦解决重复对象问题,请查看并部署您现在所做的更改,或者等待并一次部署多个更改。


解决未使用的对象问题

未使用的对象 是设备配置中存在但未被其他对象、访问列表或 NAT 规则引用的对象。

解决未使用的对象问题
Procedure

Step 1

在左侧的 CDO 导航栏中,点击对象 (Objects)并选择一个选项。

Step 2

然后过滤对象以查找未使用的对象问题。

Step 3

选择一个或多个未使用的对象。

Step 4

您现在有以下选项:

  • 在操作窗格中,点击删除 (Remove) 以从 CDO 中删除未使用的对象。

  • 在问题窗格中,点击忽略 (Ignore)。如果您忽略某个对象,CDO 将停止在未使用的对象的结果中显示该对象。

Step 5

如果您删除了未使用的对象、 预览和部署所有设备的配置更改 您现在所做的更改,或者等待并一次部署多个更改。

Note

 

要批量解决未使用的对象问题,请参阅批量解决对象问题


批量删除未使用的对象
Procedure

Step 1

在左侧的 CDO 导航栏中,点击对象 (Objects)并选择一个选项。

Step 2

然后过滤对象以查找未使用的对象问题。

Step 3

选择要删除的未使用对象:

  • 点击对象表头行中的复选框,以便选择页面上的所有对象。

  • 在对象表中选择单个未使用的对象。

Step 4

在“操作”(Actions) 窗格中,点击删除 (Remove) 以删除在 CDO 中选定的所有未使用的对象。一次可以删除 99 个对象。

Step 5

点击确定 (OK) 以确认您要删除未使用的对象。

Step 6

您有两种选择来部署这些更改:

  • 查看并部署您现在所做的更改,或者等待并一次部署多个更改。

  • 打开资产页面并查找受更改影响的设备。选择受更改影响的所有设备,然后在管理窗格中点击全部部署。阅读警告并采取适当的措施。


解决不一致的对象问题

不一致对象 是指两台或多台设备上具有相同名称但值不同的对象。有时,用户会在不同的配置中创建具有相同名称和内容的对象,但随着时间的推移,这些对象的值会出现分歧,从而造成不一致。

注意:要批量解决不一致的对象问题,请参阅批量解决对象问题

您可以对不一致的对象执行以下操作:

  • 忽略:CDO 忽略对象之间的不一致并保留其值。对象将不再列在不一致类别下。

  • 合并:CDO 将所有选定对象及其值合并到一个对象组中。

  • 重命名:CDO 允许您重命名其中一个不一致的对象并为其指定新名称。

  • 将共享网络对象转换为覆盖:CDO 允许您将不一致的共享对象(有或没有覆盖)合并为一个具有覆盖的共享对象。不一致对象中最常见的默认值设置为新形成的对象中的默认值。


    Note


    如果有多个通用默认值,则选择其中一个作为默认值。其余默认值和覆盖值设置为该对象的覆盖。


  • 将共享网络组转换为其他值: - CDO 允许您将不一致的共享网络组合并为具有其他值的单个共享网络组。此功能的条件是,要转换的不一致网络组必须至少有一个具有相同值的通用对象。与此条件匹配的所有默认值都将成为默认值,其余对象将作为新形成的网络组的其他值进行分配。

    例如,请考虑两个不一致的共享网络组。第一个网络组“shared_network_group”由“object_1”(192.0.2.x)和“object_2”(192.0.2.y)组成。它还包含附加值“object_3”(192.0.2.a)。第二个网络组“shared_network_group”由“object_1”(192.0.2.x) 和附加值“object_4”(192.0.2.b) 组成。将共享网络组转换为其他值时,新形成的组“shared_network_group”包含默认值“object_1”(192.0.2.x) 和“object_3”(192.0.2.y)”。 2.a) 和 'object_4' (192.0.2.b) 作为附加值。


    Note


    当您创建新的网络对象时,CDO 会自动将其值作为覆盖分配给具有相同名称的现有共享网络对象。这也适用于将新设备载入 CDO 的情况。


仅当满足以下条件时才会进行自动分配:

  1. 必须将新网络对象分配给设备。

  2. 租户中只能存在一个具有相同名称和类型的共享对象。

  3. 共享对象必须已包含覆盖。

要解决不一致的对象问题,请执行以下操作:

Procedure

Step 1

在左侧的 CDO 导航栏中,点击对象 (Objects)并选择一个选项。

Step 2

然后过滤对象以查找不一致的对象问题。

Step 3

选择不一致的对象。在对象详细信息面板中,您将看到包含受影响对象数量的不一致字段:

Step 4

点击解决。CDO 显示不一致的对象以供比较。

Step 5

您现在有以下选项:

  • 全部忽略:

    1. 比较显示的对象,然后在其中一个对象上点击忽略 (Ignore)。或者,要忽略所有对象,请点击全部忽略 (Ignore All)

    2. 点击确定 (OK)以进行确认。

  • 通过合并对象来解决:

    1. 点击通过合并 X 对象来解决 (Resolve by Merging X Objects)

    2. 点击 Confirm

  • 重命名:

    1. 点击重命名

    2. 保存对受影响的网络策略和设备所做的更改,然后点击确认 (Confirm)

  • 转换为覆盖(对于不一致的共享对象):将共享对象与覆盖进行比较时,比较面板仅显示不一致的值 (Inconsistent Values) 字段中的默认值。

    1. 点击转换为覆盖 (Convert to Overrides)。所有不一致的对象都将转换为具有覆盖的单个共享对象。

    2. 点击 Confirm。您可以点击编辑共享对象 (Edit Shared Object) 以查看新创建的对象的详细信息。您可以使用向上和向下箭头在默认值和覆盖之间移动值。

  • 转换为其他值(对于不一致的网络组):

    1. 点击转换为其他值 (Convert to Additional Values)。所有不一致的对象都将转换为具有其他值的单个共享对象。

    2. 保存对受影响的网络策略和设备所做的更改,然后点击确认 (Confirm)

Step 6

解决不一致问题后,请立即查看并部署所做的更改,或者等待并立即部署多个更改。


批量解决对象问题

解决具有未使用重复解决不一致的对象问题 问题的对象的方法之一是忽略它们。您可以选择并忽略多个对象,即使对象表现出多个问题也是如此。例如,如果对象既不一致又未使用,则一次只能忽略一种问题类型。


Important


如果该对象稍后与其他问题类型关联,则您提交的忽略操作仅影响您当时选择的问题。例如,如果您忽略某个对象,因为它是重复的,并且该对象后来被标记为不一致,则将其忽略为重复对象并不意味着它将作为不一致的对象被忽略。


要批量忽略问题,请执行以下程序:

Procedure

Step 1

在左侧的 CDO 导航栏中,点击对象 (Objects)并选择一个选项。

Step 2

要缩小搜索范围,您可以过滤对象问题。

Step 3

在对象表中,选择要忽略的所有适用对象。“问题”窗格按问题类型对对象进行分组。

Step 4

点击忽略 (Ignore) 可按类型忽略问题。您必须单独忽略每种问题。

Step 5

点击确定 (OK) 以确认要忽略这些对象。


设备连接状态

您可以查看 CDO 租户中载入的设备的连接状态。本主题可帮助您了解各种连接状态。在资产页面上,连接列显示设备连接状态。

当设备连接状态为“在线”时,表示设备已通电并连接到 CDO。当设备由于各种原因遇到问题时,通常会出现下表中所述的其他状态。下表提供了从此类问题中恢复的方法。可能有多个问题导致连接失败。当您尝试重新连接时,CDO 会提示您先解决所有这些问题,然后再执行重新连接。

设备连接状态

可能的原因

解决方法

在线

设备已通电并连接到 CDO。

不适用

离线

设备已关闭或丢失网络连接。

检查设备是否处于离线状态。

许可证不足

设备没有足够的许可证。

许可证不足故障排除

凭证无效

CDO 用于连接到设备的用户名和密码组合不正确。

对无效凭证进行故障排除

检测到新证书

设备上的证书已更改。如果设备使用自签名证书,则可能是由于设备重新启动而导致的。

新证书问题故障排除

载入错误

在自行激活设备时,CDO 可能已失去与设备的连接。

对自行激活错误进行故障排除

许可证不足故障排除

如果设备连接状态显示“许可证不足”(Insufficient License),请执行以下操作:

  • 等待一段时间,直到设备获得许可证。通常,思科智能软件管理器需要一些时间才能将新许可证应用于设备。

  • 如果设备状态未更改,请从 CDO 注销并重新签名,以刷新 CDO 门户,以解决许可证服务器和设备之间的任何网络通信故障。

  • 如果门户刷新未更改设备状态,请执行以下操作:

Procedure


Step 1

思科智能软件管理器生成新的令牌并进行复制。您可以观看生成智能许可视频了解详细信息。

Step 2

在 CDO 导航栏中,点击设备和服务 (Devices & Services) 页面。

Step 3

点击设备选项卡。

Step 4

点击相应的设备类型选项卡,然后选择状态为许可证不足的设备。

Step 5

设备详细信息 (Device Details) 窗格中,点击许可证不足 (Insufficient Licenses)中出现的管理许可证 (Manage Licenses)。此时将出现管理许可证 (Manage Licenses) 窗口。

Step 6

激活 (Activate) 字段中,粘贴新的令牌,然后点击注册设备 (Register Device)

将令牌成功应用于设备后,其连接状态将变为在线 (Online)


对无效凭证进行故障排除

执行以下操作以解决由于凭证无效而导致设备断开连接的问题:

Procedure


Step 1

通过在清单 (Inventory) 页面中导航来打开。

Step 2

点击设备 (Devices) 选项卡。

Step 3

点击相应的设备类型选项卡,然后选择具有无效凭证 (Invalid Credentials) 状态的设备。

Step 4

设备详细信息 (Device Details) 窗格中,点击无效凭证 (Invalid Credentials) 中显示的 重新连接 (Reconnect)。CDO 尝试与您的设备重新连接。

Step 5

出现提示时,输入设备的用户名和密码。

Step 6

点击继续

Step 7

设备在线并准备好使用后,点击关闭 (Close)

Step 8

可能是因为 CDO 尝试使用错误的凭证连接到设备,因此直接在设备上更改了 CDO 用于连接到设备的用户名和密码组合。您现在可能会看到设备处于“在线”(Online) 状态,但配置状态为“检测到冲突”(Conflict Detected)。使用解决配置冲突 (Resolve Configuration Conflicts) 以查看和解决 CDO 与设备之间的配置差异。


新证书问题故障排除

CDO 对证书的使用

CDO 在连接到设备时检查证书的有效性。具体而言,CDO 要求:

  1. 设备使用 TLS 版本 1.0 或更高版本。

  2. 设备提供的证书未过期,并且其颁发日期是过去的日期(即,它已经有效,未计划在以后生效)。

  3. 证书必须是 SHA-256 证书。不接受 SHA-1 证书。

  4. 以下条件之一成立:

    • 设备使用自签名证书,并且与授权用户信任的最新证书相同。

    • 设备使用受信任证书颁发机构 (CA) 签名的证书,并提供将所提供的枝叶证书链接到相关 CA 的证书链。

以下是 CDO 使用与浏览器不同的证书的方式:

  • 如果是自签名证书,则 CDO 会覆盖域名检查,而不会在设备载入或重新连接期间检查证书是否与授权用户信任的证书完全匹配。

  • CDO 尚不支持内部 CA。目前无法检查由内部 CA 签名的证书。

    可以按设备禁用 ASA 设备的证书检查。当 CDO 无法信任 ASA 的证书时,您可以选择禁用该设备的证书检查。如果您已尝试禁用设备的证书检查,但仍无法将其载入,则可能是您为设备指定的 IP 地址和端口不正确或无法访问。无法全局禁用证书检查,也无法对具有受支持证书的设备禁用证书检查。无法禁用非 ASA 设备的证书检查。

    当您禁用设备的证书检查时,CDO 仍将使用 TLS 连接到设备,但不会验证用于建立连接的证书。这意味着被动的中间人攻击者将无法窃听连接,但主动的中间人可以通过提供具有无效证书的 CDO 来拦截连接。

确定证书问题

CDO 可能无法载入设备的原因有很多种。当 UI 显示消息“CDO 无法使用提供的证书连接到设备”时,表示证书存在问题。当 UI 不显示此消息时,问题更有可能与连接问题(设备无法访问)或其他网络错误有关。

要确定 CDO 拒绝给定证书的原因,您可以在 SDC 主机或可访问相关设备的其他主机上使用 openssl 命令行工具。使用以下命令创建显示设备提供的证书的文件:

openssl s_client -showcerts -connect <host>:<port> &> <filename>.txt

此命令将启动交互式会话,因此您需要在几秒钟后使用 Ctrl-c 退出。

您现在应该有一个包含如下输出的文件:

depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA 
verify return:1
depth=1 C = US, O = Google Inc, CN = Google Internet Authority G2 
verify return:1 
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = *.google.com 
verify return:1 CONNECTED(00000003)
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.google.com 
  i:/C=US/O=Google Inc/CN=Google Internet Authority G2
-----BEGIN CERTIFICATE----- 
MIIH0DCCBrigAwIBAgIIUOMfH+8ftN8wDQYJKoZIhvcNAQELBQAwSTELMAkGA1UE 
....lots of base64... 
tzw9TylimhJpZcl4qihFVTgFM7rMU2VHulpJgA59gdbaO/Bf
-----END CERTIFICATE-----
1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2 
  i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 
-----BEGIN CERTIFICATE----- 
MIID8DCCAtigAwIBAgIDAjqSMA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT 
....lots of base64... 
tzw9TylimhJpZcl4qihFVTgFM7rMU2VHulpJgA59gdbaO/Bf 
-----END CERTIFICATE----- 
2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 
  i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority 
-----BEGIN CERTIFICATE----- 
MIIDfTCCAuagAwIBAgIDErvmMA0GCSqGSIb3DQEBBQUAME4xCzAJBgNVBAYTAlVT 
....lots of base64... 
b8ravHNjkOR/ez4iyz0H7V84dJzjA1BOoa+Y7mHyhD8S 
-----END CERTIFICATE-----
--- 
Server certificate 
subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.google.com 
issuer=/C=US/O=Google Inc/CN=Google Internet Authority G2 
---
No client certificate CA names sent 
Peer signing digest: SHA512 
Server Temp Key: ECDH, P-256, 256 bits

--- 
SSL handshake has read 4575 bytes and written 434 bytes 
--- 
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256 
Server public key is 2048 bit Secure Renegotiation IS supported 
Compression: NONE 
Expansion: NONE 
No ALPN negotiated 
SSL-Session:    
    Protocol : TLSv1.2 
    Cipher : ECDHE-RSA-AES128-GCM-SHA256 
    Session-ID: 48F046F3360225D51BE3362B50CE4FE8DB6D6B80B871C2A6DD5461850C4CF5AB 
    Session-ID-ctx: 
    Master-Key: 9A9CCBAA4F5A25B95C37EF7C6870F8C5DD3755A9A7B4CCE4535190B793DEFF53F94203AB0A62F9F70B9099FBFEBAB1B6 
    Key-Arg : None 
    PSK identity: None 
    PSK identity hint: None 
    SRP username: None 
    TLS session ticket lifetime hint: 100800 (seconds) 
    TLS session ticket: 
    0000 - 7a eb 54 dd ac 48 7e 76-30 73 b2 97 95 40 5b de z.T..H~v0s...@[. 
    0010 - f3 53 bf c8 41 36 66 3e-5b 35 a3 03 85 6f 7d 0c .S..A6f>[5...o}. 
    0020 - 4b a6 90 6f 95 e2 ec 03-31 5b 08 ca 65 6f 8f a6 K..o....1[..eo.. 
    0030 - 71 3d c1 53 b1 29 41 fc-d3 cb 03 bc a4 a9 33 28 q=.S.)A.......3( 
    0040 - f8 c8 6e 0a dc b3 e1 63-0e 8f f2 63 e6 64 0a 36 ..n....c...c.d.6 
    0050 - 22 cb 00 3a 59 1d 8d b2-5c 21 be 02 52 28 45 9d "..:Y...\!..R(E. 
    0060 - 72 e3 84 23 b6 f0 e2 7c-8a a3 e8 00 2b fd 42 1d r..#...|....+.B. 
    0070 - 23 35 6d f7 7d 85 39 1c-ad cd 49 f1 fd dd 15 de #5m.}.9...I..... 
    0080 - f6 9c ff 5e 45 9c 7c eb-6b 85 78 b5 49 ea c4 45 ...^E.|.k.x.I..E 
    0090 - 6e 02 24 1b 45 fc 41 a2-87 dd 17 4a 04 36 e6 63 n.$.E.A....J.6.c 
    00a0 - 72 a4 ad 
    00a4 - <SPACES/NULS> Start Time: 1476476711 Timeout : 300 (sec)
Verify return code: 0 (ok)
---  

在此输出中要注意的第一件事是最后一行,您可以在其中看到验证返回代码 (Verify return code)。如果存在证书问题,返回代码将为非零值,并且会有错误说明。

展开此证书错误代码列表,查看常见错误及其补救方法

0 X509_V_OK 操作成功。

2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT 无法找到不受信任证书的颁发者证书。

3 X509_V_ERR_UNABLE_TO_GET_CRL 无法找到证书的 CRL。

4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE 无法解密证书签名。这意味着无法确定实际签名值,而不是与预期值不匹配。这仅对 RSA 密钥有意义。

5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE 无法解密 CRL 签名。这意味着无法确定实际签名值,而不是与预期值不匹配。未使用。

6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY 无法读取证书 SubjectPublicKeyInfo 中的公钥。

7 X509_V_ERR_CERT_SIGNATURE_FAILURE 证书签名无效。

8 X509_V_ERR_CRL_SIGNATURE_FAILURE 证书签名无效。

9 X509_V_ERR_CERT_NOT_YET_VALID 证书无效:notBefore 日期晚于当前时间。有关详细信息,请参阅下面的验证返回代码:9(证书尚未生效)

10 X509_V_ERR_CERT_HAS_EXPIRED The certificate has expired;也就是说,notAfter 日期早于当前时间。有关详细信息,请参阅下面的验证返回代码:10(证书已过期)

11 X509_V_ERR_CRL_NOT_YET_VALID CRL 尚未生效。

12 X509_V_ERR_CRL_HAS_EXPIRED CRL 已过期。

13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD 证书 notBefore 字段包含无效时间。

14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD 证书 notAfter 字段包含无效时间。

15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD CRL lastUpdate 字段包含无效时间。

16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD CRL nextUpdate 字段包含无效时间。

17 X509_V_ERR_OUT_OF_MEM 尝试分配内存时发生错误。这绝不应该发生。

18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT 通过的证书是自签名证书,在受信任证书列表中找不到相同的证书。

19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN 可以使用不受信任的证书建立证书链,但无法在本地找到根证书。

20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY 无法找到本地查找的证书的颁发者证书。这通常意味着受信任证书列表不完整。

21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE 无法验证签名,因为该链仅包含一个证书,并且它不是自签名证书。有关详细信息,请参阅下面的“验证返回代码:21(无法验证第一个证书)”。验证返回代码:21(无法验证下面的第一个证书)以了解详细信息。

22 X509_V_ERR_CERT_CHAIN_TOO_LONG 证书链长度大于提供的最大深度。未使用。

23 X509_V_ERR_CERT_REVOKED 证书已被撤销。

24 X509_V_ERR_INVALID_CA CA 证书无效。它不是 CA 或其扩展名与提供的用途不一致。

25 X509_V_ERR_PATH_LENGTH_EXCEEDED BasicConstraints 路径长度参数已被超过。

26 X509_V_ERR_INVALID_PURPOSE 提供的证书不能用于指定的目的。

27 X509_V_ERR_CERT_UNTRUSTED 根 CA 未标记为用于指定用途的受信任。

28 X509_V_ERR_CERT_REJECTED 根 CA 被标记为拒绝指定用途。

29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH 当前候选颁发者证书被拒绝,因为其使用者名称与当前证书的颁发者名称不匹配。仅在设置了 -issuer_checks 选项时显示。

30 X509_V_ERR_AKID_SKID_MISMATCH 当前候选颁发者证书被拒绝,因为其使用者密钥标识符存在且与当前证书的颁发机构密钥标识符不匹配。仅在设置了 -issuer_checks 选项时显示。

31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH 当前候选颁发者证书被拒绝,因为其颁发者名称和序列号存在,并且与当前证书的颁发机构密钥标识符不匹配。仅在设置了 -issuer_checks 选项时显示。

32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN 当前候选颁发者证书被拒绝,因为其 keyUsage 扩展不允许证书签名。

50 X509_V_ERR_APPLICATION_VERIFICATION 应用特定错误。未使用。

检测到新证书

如果升级具有自签名证书的设备,并且在升级过程后生成了新证书,则 CDO 可能会生成“检测到新证书”(New Certificate Detected) 消息作为配置状态 (Configuration Status)连接 (Connectivity) 状态。您必须手动确认并解决此问题,然后才能继续从 CDO 对其进行管理。证书同步且设备处于正常状态后,即可管理设备。


Note


当您同时将多个托管设备批量重新连接到 CDO 时,CDO 会自动审核并接受设备上的新证书,并继续与其重新连接。


使用以下程序解析新证书:

  1. 导航到设备和服务 (Device & Services) 页面。

  2. 使用过滤器显示检测到新证书 (New Certificate Detected) 连接或配置状态的设备,然后选择所需的设备。

  3. 在右侧窗格中,点击查看证书 (Review Certificate)。CDO 允许您下载证书以供审核并接受新证书。

  4. 在设备同步窗口中,点击接受 (Accept),或在重新连接到设备窗口中,点击继续 (Continue)

    CDO 会自动将设备与新的自签名证书同步。您可能需要手动刷新设备和服务 (Devices & Services) 页面,才能在设备同步后查看设备。

证书错误代码

验证返回代码:0(正常),但 CDO 返回证书错误

CDO 获得证书后,它会尝试通过对“https://”进行 GET 调用来连接到设备的 URL。<device_ip> :<port> "。如果这不起作用,CDO 将显示证书错误。如果您发现证书有效(openssl 返回 0 ok),则问题可能是其他服务正在侦听您尝试连接的端口。只能使用命令:

 curl -k -u <username>:<password> https://<device_id>:<device_port>/admin/exec/show%20version

确定您是否确实在与 ASA 通信,并检查 HTTPS 服务器是否在 ASA 上的正确端口上运行:

 # show asp table socket
Protocol         Socket         State         Local Address             Foreign Address 
SSL             00019b98         LISTEN        192.168.1.5:443             0.0.0.0:* 
SSL             00029e18         LISTEN        192.168.2.5:443             0.0.0.0:* 
TCP             00032208         LISTEN        192.168.1.5:22              0.0.0.0:* 

验证返回代码:9(证书尚未生效)

此错误意味着所提供证书的颁发日期是未来,因此客户端不会将其视为有效。这可能是由于证书构建不良导致的,或者在自签名证书的情况下,可能是由于设备生成证书时时间错误。

您应该会在错误中看到一行,包括证书的 notBefore 日期:

depth=0 CN = ASA Temporary Self Signed Certificate 
verify error:num=18:self signed certificate 
verify return:1 
depth=0 CN = ASA Temporary Self Signed Certificate 
verify error:num=9:certificate is not yet valid
notBefore=Oct 21 19:43:15 2016 GMT 
verify return:1 
depth=0 CN = ASA Temporary Self Signed Certificate 
notBefore=Oct 21 19:43:15 2016 GMT 

通过此错误,您可以确定证书何时生效。

补救

证书的 notBefore 日期需要是过去的日期。您可以使用更早的 notBefore 日期重新颁发证书。当客户端或颁发设备上的时间设置不正确时,也会出现此问题。

验证返回代码:10(证书已过期)

此错误意味着所提供的至少一个证书已过期。您应该会在错误中看到一行,包括证书的 notBefore 日期:

 error 10 at 0 depth lookup:certificate has expired 

到期日期位于证书正文中。

补救

如果证书确实已过期,则唯一的补救方法是获取另一个证书。如果证书仍将到期,但 openssl 声称它已过期,请检查计算机上的时间和日期。例如,如果某个证书设置为在 2020 年到期,但您的计算机上的日期是 2021 年,则您的计算机会将该证书视为已过期。

验证返回代码:21(无法验证第一个证书)

此错误表示证书链存在问题,并且 openssl 无法验证设备提供的证书是否应受信任。我们来看看上面示例中的证书链,了解证书链的工作原理:

--- 
Certificate chain 
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.google.com 
i:/C=US/O=Google Inc/CN=Google Internet Authority G2

-----BEGIN CERTIFICATE----- 
MIIH0DCCBrigAwIBAgIIUOMfH+8ftN8wDQYJKoZIhvcNAQELBQAwSTELMAkGA1UE 
....lots of base64... 
tzw9TylimhJpZcl4qihFVTgFM7rMU2VHulpJgA59gdbaO/Bf 
-----END CERTIFICATE----- 

1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2 
i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 

-----BEGIN CERTIFICATE----- 
MIID8DCCAtigAwIBAgIDAjqSMA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT 
....lots of base64... 
tzw9TylimhJpZcl4qihFVTgFM7rMU2VHulpJgA59gdbaO/Bf 
-----END CERTIFICATE----- 

2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 
i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority 

-----BEGIN CERTIFICATE----- 
MIIDfTCCAuagAwIBAgIDErvmMA0GCSqGSIb3DQEBBQUAME4xCzAJBgNVBAYTAlVT 
....lots of base64... 
b8ravHNjkOR/ez4iyz0H7V84dJzjA1BOoa+Y7mHyhD8S 
-----END CERTIFICATE----- --- 

证书链是服务器提供的证书列表,从服务器自己的证书开始,然后包括将服务器的证书与证书颁发机构的顶级证书链接的更高级别的中间证书。每个证书都会列出其使用者(以“s:”开头的行及其颁发者)(以“i”开头的行)。

使用者是证书所标识的实体。它包括组织名称,有时还包括为其颁发证书的实体的通用名称。

颁发者是颁发证书的实体。它还包括一个组织字段,有时还包括一个通用名称。

如果服务器具有由受信任证书颁发机构直接颁发的证书,则无需在其证书链中包含任何其他证书。它将显示一个如下所示的证书:

--- Certificate chain 0 s:/C=US/ST=California/L=Anytown/O=ExampleCo/CN=*.example.com i:/C=US/O=Trusted Authority/CN=Trusted Authority 
-----BEGIN CERTIFICATE----- 
MIIH0DCCBrigAwIBAgIIUOMfH+8ftN8wDQYJKoZIhvcNAQELBQAwSTELMAkGA1UE 
....lots of base64... 
tzw9TylimhJpZcl4qihFVTgFM7rMU2VHulpJgA59gdbaO/Bf 
-----END CERTIFICATE----- --- 

鉴于此证书,openssl 将验证 *.example.com 的 ExampleCo 证书是否由受信任的颁发机构证书正确签名,该证书存在于 openssl 的内置信任存储区中。验证后,openssl 将成功连接到设备。

但是,大多数服务器没有直接由受信任 CA 签名的证书。相反,与第一个示例一样,服务器的证书由一个或多个中间设备签名,而最高级别的中间设备具有由受信任 CA 签名的证书。默认情况下,OpenSSL 不信任这些中间 CA,并且只有在获得以受信任 CA 结尾的完整证书链时才能对其进行验证。

由中间机构签署证书的服务器必须提供将其链接到受信任 CA 的所有证书,包括所有中间证书。如果它们不提供整个链,则 openssl 的输出将如下所示:

depth=0 OU = Example Unit, CN = example.com 
verify error:num=20:unable to get local issuer certificate 
verify return:1 

depth=0 OU = Example Unit, CN = example.com 
verify error:num=27:certificate not trusted 
verify return:1 

depth=0 OU = Example Unit, CN = example.com 
verify error:num=21:unable to verify the first certificate 
verify return:1

CONNECTED(00000003)

--- 
Certificate chain 
0 s:/OU=Example Unit/CN=example.com 
i:/C=US/ST=Massachusetts/L=Cambridge/O=Intermediate Authority/OU=http://certificates.intermediateauth...N=Intermediate Certification Authority/sn=675637734 
-----BEGIN CERTIFICATE-----
...lots of b64...
-----END CERTIFICATE-----
--- 
Server certificate 
subject=/OU=Example Unit/CN=example.com 
issuer=/C=US/ST=Massachusetts/L=Cambridge/O=Intermediate Authority/OU=http://certificates.intermediateauth...N=Intermediate Certification Authority/sn=675637734 
--- 
No client certificate CA names sent 
--- 
SSL handshake has read 1509 bytes and written 573 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA 
Server public key is 2048 bit 
Secure Renegotiation IS NOT supported 
Compression: NONE 
Expansion: NONE 
SSL-Session: 
Protocol : TLSv1 
Cipher : AES256-SHA 
Session-ID: 24B45B2D5492A6C5D2D5AC470E42896F9D2DDDD54EF6E3363B7FDA28AB32414B 
Session-ID-ctx: 
Master-Key: 21BAF9D2E1525A5B935BF107DA3CAF691C1E499286CBEA987F64AE5F603AAF8E65999BD21B06B116FE9968FB7C62EF7C 
Key-Arg : None 
Krb5 Principal: None 
PSK identity: None 
PSK identity hint: None 
Start Time: 1476711760 
Timeout : 300 (sec) 
Verify return code: 21 (unable to verify the first certificate) 
--- 

此输出显示服务器仅提供一个证书,并且提供的证书是由中间机构而不是受信任的根签名的。输出还显示特征验证错误。

补救

此问题是由设备提供的证书配置错误引起的。解决此问题的唯一方法是将正确的证书链加载到设备上,以便 CDO 或任何其他程序可以安全地连接到设备,以便为连接的客户端提供完整的证书链。

要将中间 CA 添加到信任点,请访问以下链接之一(具体取决于您的情况 - 是否在 ASA 上生成了 CSR):

检测到新证书

如果升级具有自签名证书的设备,并且在升级过程后生成了新证书,则 CDO 可能会生成“检测到新证书”(New Certificate Detected) 消息作为配置状态 (Configuration Status)连接 (Connectivity) 状态。您必须手动确认并解决此问题,然后才能继续从 CDO 对其进行管理。证书同步且设备处于正常状态后,即可管理设备。



当您选择批量重新连接设备至 CDO (Bulk Reconnect Devices to CDO) 同时将多个托管设备连接到 CDO 时,CDO 会自动审核并接受设备上的新证书,并继续与其重新连接。


使用以下程序解析新证书:

过程

步骤 1

在导航栏中,点击 设备和服务

步骤 2

点击设备选项卡。

步骤 3

点击适当的设备类型选项卡。

步骤 4

使用过滤器显示检测到新证书 (New Certificate Detected) 连接或配置状态的设备,然后选择所需的设备。

步骤 5

在右侧窗格中,点击查看证书 (Review Certificate)。CDO 允许您下载证书以供审核并接受新证书。

步骤 6

在设备同步窗口中,点击接受 (Accept),或在重新连接到设备窗口中,点击继续 (Continue)


CDO 会自动将设备与新的自签名证书同步。您可能需要手动刷新设备和服务 (Devices & Services) 页面,才能在设备同步后查看设备。

对自行激活错误进行故障排除

出现设备自行激活错误的原因有很多。

可以采取以下操作:

Procedure


Step 1

清单 (Inventory) 页面中,点击设备 (Devices) 选项卡。

Step 2

点击相应的设备类型选项卡,然后选择遇到此错误的设备。在某些情况下,您会在右侧看到错误说明。执行说明中提到的必要操作。

Step 3

从 CDO 中删除设备实例,然后尝试重新载入设备。


解决“检测到冲突”状态

CDO 允许您在每个实时设备上启用或禁用冲突检测。如果 冲突检测 已启用,并且在未使用 CDO 的情况下对设备的配置进行了更改,则设备的配置状态将显示为检测到冲突 (Conflict Detected)

要解决“检测到冲突”(Conflict Detected) 状态,请执行以下程序:

Procedure


Step 1

在导航栏中,点击 设备和服务

Step 2

点击设备 (Devices) 选项卡以找到设备。

Step 3

点击设备类型选项卡。

Step 4

选择报告冲突的设备,然后点击右侧详细信息窗格中的查看冲突 (Review Conflict)

Step 5

设备同步 (Device Sync) 页面中,通过查看突出显示的差异来比较两种配置。

  • 标记为“最后一次设备配置”(Last Known Device Configuration) 的面板是存储在 CDO 上的设备配置。

  • 标记为“在设备上找到”(Found on Device) 的面板是存储在运行 ASA 配置中的配置。

Step 6

通过选择以下选项之一来解决冲突:

  • 接受设备更改 (Accept Device changes):这将使用设备的运行配置覆盖 CDO 上存储的配置 和任何待处理的更改。

    Note

     

    由于 CDO 不支持在命令行界面之外部署对Cisco IOS 设备的更改,因此在解决冲突时,您对Cisco IOS 设备的唯一选择是选择接受而不查看 (Accept Without Review)

  • 拒绝设备更改 (Reject Device Changes):这将使用存储在 CDO 上的配置覆盖设备上存储的配置。

Note

 

所有配置更改(拒绝或接受)都记录在更改日志中。


解决“未同步”状态

使用以下程序解决配置状态为“未同步”的设备:

Procedure


Step 1

在导航栏中,点击设备和服务 (Devices & Services)

Step 2

点击 设备 选项卡以查找设备,或点击 模板 选项卡以查找型号设备。

Step 3

点击设备类型选项卡。

Step 4

选择报告为“未同步”的设备。

Step 5

在右侧的未同步面板中,选择以下任一选项:

  • 预览并部署... - 如果要将配置更改从 CDO 推送到设备,请预览并部署您现在所做的更改,或者等待并一次部署多个更改。预览和部署所有设备的配置更改

  • 放弃更改 - 如果您不想将配置更改从 CDO 推送到设备,或者您想要“撤消”您开始在 CDO 上进行的配置更改。此选项使用设备上存储的运行配置覆盖 CDO 中存储的配置。


SecureX 故障排除

尝试将 CDO 与 SecureX 结合使用时,可能会遇到错误、警告和问题。对于 SecureX UI 中发现的问题,您必须使用 SecureX 文档。有关详细信息,请参阅 SecureX 的支持。https://visibility.amp.cisco.com/iroh/iroh-auth/login?redirect_after_login=https://securex.us.security.cisco.com/help/terms-privacy-support

要创建有关 CDO 中 SecureX 功能区功能的案例,或有关 SecureX 功能区的租户可访问性,请参阅 CDO 思科 TAC 以了解详细信息。联系思科威胁防御支持系统可能会要求您提供租户 ID。

SecureX UI 故障排除

我在 SecureX 控制面板中看到重复的 CDO 模块

您可以在 SecureX 中手动配置单个产品的多个模块。例如,如果您有多个 CDO 租户,则可以为每个租户创建一个 CDO 模块。重复的模块意味着来自同一 CDO 租户的两个单独的 API 令牌。这种冗余可能会导致控制面板混乱和混乱。

如果您碰巧在 SecureX 中手动配置了一个 CDO 模块,然后在 CDO 的常规设置页面中选择了连接 SecureX,这可能会导致一个租户在 SecureX 中具有多个模块。

作为一种解决方法,我们建议从 SecureX 中删除原始 CDO 模块,并继续使用重复模块监控 CDO 性能。此模块使用更强大的 API 令牌生成,该令牌更安全,并与 SecureX 功能区兼容。

CDO UI 故障排除

要在 SecureX 中提交有关 CDO 模块的支持案例,请参阅 SecureX 条款、隐私、支持的“支持”部分了解详细信息。https://visibility.amp.cisco.com/iroh/iroh-auth/login?redirect_after_login=https://securex.us.security.cisco.com/help/terms-privacy-support

OAuth 错误

您可能会遇到 oAuth 错误,并显示以下消息:“用户似乎不具有所有必需的范围或足够的权限”。如果您遇到此问题,请考虑以下可能性:

我使用错误的组织凭证登录 SecureX

如果您选择使用“常规设置”(General Settings) 页面的“租户设置”(Tenant Settings) 部分中的“连接 SecureX”(Connect SecureX) 选项将 CDO 事件发送到 SecureX,但使用错误的凭证登录 SecureX,您可能会在 SecureX 控制面板中看到来自错误租户的事件。

解决方法是,在 CDO 的“常规设置”(General Settings) 页面中点击断开 SecureX。这将终止用于向 SecureX 组织发送和接收信息的只读 API 用户,从而终止 SecureX 控制面板。

然后,您必须重新启用 Connect Tenant to SecureX,并在系统提示登录 SecureX 时使用正确的组织登录凭证。

我使用错误的帐户登录功能区

此时,如果使用错误的帐户信息登录功能区,则无法注销功能区。您必须在支持案例管理器中创建案例,才能手动重置功能区登录。https://mycase.cloudapps.cisco.com/case

无法启动 SecureX 功能区

您可能无权访问适当的范围;您必须联系思科 TAC 来解决此问题。有关详细信息,请参阅联系思科 TAC

有关 SecureX 功能区如何运行的其他信息,请参阅 SecureX 功能区文档。https://visibility.amp.cisco.com/iroh/iroh-auth/login?redirect_after_login=https://securex.us.security.cisco.com/help/ribbon