Решено Как обновить сертификат Внутреннего центра сертификации (ICA)

Статус
Закрыто для дальнейших ответов.
E

egor540

Почетный гость
Здравствуйте!

Возникла проблема: истёк сертификат внутреннего центра сертификации (при применении политик на шлюзах выходит ошибка "Failed - Installation failed. Reason: Internal SSL authentication SSL error [ Unknown ]."
К сожалению, нет подписки на техническую поддержку, поэтому нет возможности обратиться в службу поддержки Check Point. Возможно кто-нибудь подскажет, как можно подменить или продлить сертификат?

В наличии кластер, состоящий из двух шлюзов безопасности. Для управления ими используется сервер, установленный на виртуальной машине.
 
egor540 сказал(а):
Здравствуйте!

Возникла проблема: истёк сертификат внутреннего центра сертификации (при применении политик на шлюзах выходит ошибка "Failed - Installation failed. Reason: Internal SSL authentication SSL error [ Unknown ]."
К сожалению, нет подписки на техническую поддержку, поэтому нет возможности обратиться в службу поддержки Check Point. Возможно кто-нибудь подскажет, как можно подменить или продлить сертификат?

В наличии кластер, состоящий из двух шлюзов безопасности. Для управления ими используется сервер, установленный на виртуальной машине.
Нажмите, чтобы раскрыть...
А шлюзы доступны через SIC ? Попробуйте их переподключить по sic через cpconfig
 
По вопросу
Engineer сказал(а):
А шлюзы доступны через SIC ? Попробуйте их переподключить по sic через cpconfig
Нажмите, чтобы раскрыть...
в свойствах шлюзов SIC статус выдает ошибку (скрин во вложении). один шлюз из кластера судя по индикации в Смарт консоле не работает, команда cphaprob state отображет шлюз№1 down, шлюз№2 active.

Сам сертификат издан 29.02.2020, в начале марта 2025 обнаружили ошибку, судя по периоду времени сертификат был издан на 5 лет.

Железка 4400
 

Вложения

  • 2025-04-15_11-56-40.png
    2025-04-15_11-56-40.png
    44,7 КБ · Просмотры: 2
Последнее редактирование:

Solution​

Procedure​

Note: In Management HA configuration, implement the below steps on the Primary Security Management Server / Multi-Domain Management Server.

  1. Take a backup or snapshot of the machine (sk108902).

  2. Make sure that the SIC certificate is still valid:

    On Security Management Server:

    [Expert@HostName]# cpca_client lscert -stat Valid -kind SIC

    On Multi-Domain Management Server:

    [Expert@HostName]# mdsenv<br>[Expert@HostName]# cpca_client lscert -stat Valid -kind SIC

    If the output does not show a certificate for "CN=cp_mgmt...", then proceed with the steps below. Verify the CN format. It could be different than what is seen above.

    If the output is "Operation failed. rc=-1" make sure the Management Server is Active as per sk98432.

  3. Back up the existing certificate:

    On Security Management Server:

    [Expert@HostName]# cp $CPDIR/conf/sic_cert.p12{,_BACKUP}

    On Multi-Domain Security Management Server:

    [Expert@HostName]# mdsenv<br>[Expert@HostName]#&nbsp;cp $CPDIR/conf/sic_cert.p12{,_BACKUP}

  4. Revoke the current SIC server certificate:

    [Expert@HostName]#&nbsp;cpca_client revoke_cert -n "CN=cp_mgmt"

    Note: In Management HA, the CN should be same as that present in HKLM_registry. In case the management server was acting as a secondary in the past, the CN would be of the format <strong>CN=cp_mgmt_&lt;OBJECT_NAME&gt;</strong>.

    Note: In some scenarios, a code which runs periodically deletes the expired certificates from the CA database ($FWDIR/conf/InternalCA.db). The certificate will need to only be created.

    To check the CN in registry:
    [Expert@HostName]# grep MySICname $CPDIR/registry/HKLM_registry.data

    On Security Management Server:

    [Expert@HostName]# cpca_client revoke_cert -n "CN=cp_mgmt"

    Note: In some scenarios, a code which runs periodically deletes the expired certificates from the CA database ($FWDIR/conf/InternalCA.db). The certificate will need to only be created.

    On Multi-Domain Management Server:

    [Expert@HostName]# mdsenv
    [Expert@HostName]# cpca_client revoke_cert -n "CN=&lt;MySICname&gt;"

  5. Create the new SIC server certificate:

    On Security Management Server:

    [Expert@HostName]# cpca_client create_cert -n "CN=cp_mgmt" -f $CPDIR/conf/sic_cert.p12

    On Multi-Domain Security Management Server:

    [Expert@HostName]# mdsenv<br>[Expert@HostName]#&nbsp;cpca_client create_cert -n "CN=cp_mgmt" -f $CPDIR/conf/sic_cert.p12

    Note    : The certificate name is not a recommendation, it must be sic_cert.p12

  6. Restart Check Point services:

    On Security Management Server:

    [Expert@HostName]# cpstop
    [Expert@HostName]# cpstart

    On Multi-Domain Security Management Server:

    [Expert@HostName]# mdsstop<br>[Expert@HostName]# mdsstart

    Note    : This step is necessary to update the cache of processes running with the new SIC certificate details. On Multi-Domain Management Server, a full mdsstop is required. It is not enough to just restart the MDS level services with "mdsstop -m".

  7. Connect to the Security Management Server / Multi-Domain Management Server with SmartConsole.


Important: In case you lose VPN connectivity (IPsec / SSL) and access to the Security Gateway's Gaia Portal, renew the VPN certificate also in the Security Gateway object properties > "IPSec VPN" page.
 
  • Like
Реакции: UEF
Добрый день.
Всем большое спасибо за поддержку. Ситуация следующая:
1. Произвел генерацию сертификатов на обоих шлюзах, работающих в кластере (подключился по SSH, генерацию производил при помощи команды cpconfig (5) и т.д.).
2. В смартконсоле инициализировал сертификаты на каждом шлюзе.
3. После применения политики, связь сервера управления со шлюзами пропала (отсутствует пинг). Сетевой траффик проходит в обход сервера, через транспортный сегмент корпоративной сети для checkpoint, интернет и все сервисы корпоративной сети работают (могу ошибаться но раньше маршрутизация проходила через сервер управления).

П.с. есть предположение перезагрузить сервер управления, или воспользоваться командой cpstart (на сколько она применима к серверу управления...)

Спасибо за внимание.
 
egor540 сказал(а):
Добрый день.
Всем большое спасибо за поддержку. Ситуация следующая:
1. Произвел генерацию сертификатов на обоих шлюзах, работающих в кластере (подключился по SSH, генерацию производил при помощи команды cpconfig (5) и т.д.).
2. В смартконсоле инициализировал сертификаты на каждом шлюзе.
3. После применения политики, связь сервера управления со шлюзами пропала (отсутствует пинг). Сетевой траффик проходит в обход сервера, через транспортный сегмент корпоративной сети для checkpoint, интернет и все сервисы корпоративной сети работают (могу ошибаться но раньше маршрутизация проходила через сервер управления).

П.с. есть предположение перезагрузить сервер управления, или воспользоваться командой cpstart (на сколько она применима к серверу управления...)

Спасибо за внимание.
Нажмите, чтобы раскрыть...
Так заработало или нет в итоге ? На сервере управления в чекпойнтах только БД вроде, которую потом раскатывают на GW..
 
Статус
Закрыто для дальнейших ответов.
Назад
Верх