Ao gerar um CSR (Certificate Signing Request) em uma ferramenta como o OpenSSL, são criados dois arquivos: O próprio CSR, que contém as informações da entidade solicitante e é enviado para a Autoridade Certificadora (CA) para emissão do certificado. E a chave Privada, que permanece em posse do solicitante e nunca deve ser compartilhada. Após a CA emitir o certificado digital (contendo a chave pública assinada), é necessário combiná-lo com a chave privada correspondente, criando um arquivo PKCS#12 (.pfx ou .12) para sua instalação no servidor ou equipamento que fará uso do certificado. Além disso, para garantir a correta validação da cadeia de certificação, é recomendável incluir o arquivo de cadeia de certificados (CA Bundle), que contém os certificados da CA raiz e das CAs intermediárias responsáveis pela assinatura do certificado final. Passo a passo usando OpenSSL Verifique se tem os arquivos necessários: private.key → Chave privada criada na geração do CSR. certificate.crt → Certificado assinado pela autoridade certificadora com base no CSR. ca_bundle.crt → Cadeia de certificação da CA (opcional). Comando para gerar o PKCS#12 (.pfx ou .p12): openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile ca_bundle.crt -export → Cria um arquivo de saída PKCS#12. -out certificate.pfx → Nome do arquivo final. -inkey private.key → Chave privada associada ao certificado. -in certificate.crt → Certificado assinado. -certfile ca_bundle.crt → Certificados CA raiz e intermediários (se houver). Você será solicitado a definir uma senha para proteger o arquivo .pfx. Observações: Se a sua CA forneceu um único arquivo .crt, normalmente não há necessidade de um ca_bundle.crt, mas algumas aplicações exigem a cadeia de certificação completa. O arquivo .pfx pode ser usado para importar o certificado em servidores, navegadores, equipamentos de rede e sistemas Windows. As extensões dos arquivos de entrada podem ser outras, até mesmo .txt. Até a próxima.
Como Alterar o Endereço IP no Cisco FXOS
Alterar o endereço IP de gerenciamento no Cisco Firepower eXtensible Operating System (FXOS) é uma etapa importante para garantir a conectividade adequada do dispositivo. Neste guia, explicamos como realizar essa configuração de maneira segura. Passo 1: Conectar ao Console Para evitar a perda de conexão, recomendamos conectar-se ao console do dispositivo. Caso precise de instruções, consulte a documentação sobre como acessar o console do FXOS. Passo 2: Desativar o Servidor DHCP Antes de alterar o endereço IP, é necessário desativar o servidor DHCP: firepower-2140#scope system firepower-2140 /system # scope services firepower-2140 /system/services #disable dhcp-server firepower-2140 /system/services #commit-buffer Caso deseje reativá-lo após a mudança de IP, você pode configurar o novo range DHCP. Também é possível habilitar e desabilitar o servidor DHCP no Firepower Chassis Manager em Platform Settings > DHCP. Passo 3: Configurar o novo IP Agora, configure um novo endereço IP de gerenciamento IPv4 e, opcionalmente, o gateway padrão. 1. Definir o escopo do fabric-interconnect a firepower-2140 /system #scope fabric-interconnect 2. Verificar o Endereço IP Atual firepower-2140 /fabric-interconnect #show Fabric Interconnect: ID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway Prefix Operability —- ————— ————— ————— —————- —————- —— ———– A 192.168.45.45 0.0.0.0 0.0.0.0 :: :: 64 Operable 3. Configurar um Novo Endereço IP e Gateway (Opcional) firepower-2140 /fabric-interconnect #set out-of-band static ip 10.10.10.5 netmask 255.255.255.0 gw 10.10.10.1 firepower-2140 /fabric-interconnect #show Fabric Interconnect: ID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway Prefix Operability —- ————— ————— ————— —————- —————- —— ———– A 10.10.10.5 255.255.255.0 10.10.10.1 :: :: 64 Operable Se desejar manter o gateway atual, omita o parâmetro gw. Da mesma forma, para manter o IP existente enquanto altera apenas o gateway, omita os parâmetros ip e netmask. Nota: Para definir o gateway nas interfaces de dados do ASA, configure gw 0.0.0.0. Esta é a configuração padrão. Considerações Finais Alterar o endereço IP de gerenciamento no Cisco FXOS é um processo simples, mas requer atenção para evitar a perda de conectividade. Sempre valide as configurações antes de aplicar as mudanças definitivas e utilize o console para minimizar riscos. Mais detalhes deste processo neste link. Até a próxima.
Upgrade ASA em appliance Firepower (Platform Mode)
O ASA OS já está um tanto ultrapassado, mas ainda temos muitos firewalls rodando este software, inclusive em appliances mais recentes (Firepower ou Firewall – sim os novos hardwares Cisco chamam Firewall). Quando temos o ASA OS instalado em um hardware Firepower/Firewall, ele pode ser estar no modo Appliance ou Platform. No modo appliance (padrão a partir da versão 9.14) o ASA OS tem acesso direto ao hardware, e neste caso o processo de upgrade é exatamente igual era nos hardware anteriores (ASA). Basta copiar o novo software para o disco e mudar a linha de boot. Já no modo platform temos o FXOS gerenciando o hardware, e o ASA OS instalado sobre o FXOS. Neste modo o processo de upgrade é feito via FXOS. Passos para Atualização ASA usando FXOS CLI (standalone) 1. Conecte-se ao FXOS CLI via porta de console ou SSH. 2. Redefina a imagem do ASDM para garantir compatibilidade com a nova versão. O ASDM já vem no pacote de instalação do ASA. firepower-2140# connect asa Attaching to Diagnostic CLI … Press ‘Ctrl+a then d’ to detach. Type help or ‘?’ for a list of available commands. ciscoasa>enable ciscoasa#conf t ciscoasa(config#)asdm image disk0:/asdm.bin ciscoasa(config#)end ciscoasa#write memory ciscoasa# connect fxos (ou Ctrl+a, d) 3. Baixe a nova imagem para o chassi usando FTP, SCP, SFTP ou TFTP: firepower-2140 /fabric-interconnect # scope firmware firepower-2140 /firmware # download image tftp://172.16.1.10/cisco-asa-fp2k.9.20.3.13.SPA 4. Monitore o download: firepower-2140 /firmware # show download-task Download task: File Name Protocol Server Port Userid State ——— ——– ————— ———- ————— —– cisco-asa-fp2k.9.16.4.39.SPA Tftp 172.16.1.16 0 Downloaded cisco-asa-fp2k.9.20.3.13.SPA Tftp 172.16.1.10 0 Downloading % Download-task cisco-asa-fp2k.9.20.3.13.SPA : transferring 275264 KB 5. Quando o download terminar verifique a nova versão disponível: firepower-2140 /firmware # show package Name Package-Vers ——————————————— ———— cisco-asa-fp2k.9.16.4.39.SPA 9.16.4.39 cisco-asa-fp2k.9.20.3.13.SPA 9.20.3.13 cisco-ftd-fp2k.6.2.1-341.SPA 6.2.1-341 6. Instale o novo pacote e reinicie o sistema: firepower-2140 /firmware #scope auto-install firepower-2140 /firmware/auto-install # install security-pack version 9.20.3.13 The system is currently installed with security software package 9.16.4.39, which has: – The platform version: 2.10.1.1609 – The CSP (asa) version: 9.16.4.39 If you proceed with the upgrade 9.20.3.13, it will do the following: – upgrade to the new platform version 2.14.2.115 – upgrade to the CSP asa version 9.20.3.13 During the upgrade, the system will be reboot Do you want to proceed ? (yes/no):yes This operation upgrades firmware and software on Security Platform Components Here is the checklist of things that are recommended before starting Auto-Install (1) Review current critical/major faults (2) Initiate a configuration backup Do you want to proceed? (yes/no):yes Triggered the install of software package version 9.20.3.13 Install started. This will take several minutes. For monitoring the upgrade progress, please enter ‘show’ or ‘show detail’ command. 7. Aguarde o reboot do chassi e a inicialização do ASA, que pode levar de 5 a 10 minutos. É possível usar o comando “show” para acompanhar o processo. firepower-2140 /firmware/auto-install # show Firmware Auto-Install: Package-Vers Oper State Upgrade State ———— —————————- ————- 9.20.3.13 Scheduled Ready firepower-2140 /firmware/auto-install # show detail Firmware Auto-Install: Package-Vers: 9.20.3.13 Oper State: Scheduled Installation Time: 2025-02-24T10:57:59.692 Upgrade State: Ready Upgrade Status: Validation Software Pack Status: Firmware Upgrade Status: Current Task: firepower-2140 /firmware/auto-install # Para ASA rodando em HA, depois de validar o ASDM na unidade ativa, comece o upgrade pela unidade que está em standby. Após finalizar, torne a unidade standby ativa, e então atualize a outra caixa. Para mais detalhes do processo, bem como outras recomendações, acesse este link. Até a próxima.
Como criar o CSR e adicionar um Certificado ao FTD (VPN RA)
A configuração adequada de certificados no Cisco Firewall Threat Defense (FTD) é crucial para assegurar o bom funcionamento da VPN Remote Access, por exemplo. Este post mostra o processo de geração de uma Solicitação de Assinatura de Certificado (CSR) e a adição do certificado emitido por uma Autoridade Certificadora (CA) externa. Criando o CSR 1) Acesse o FMC e navegue até Devices > Certificates e clique em Add para adicionar um novo certificado. 2) Escolha o dispositivo ao qual o certificado será associado e clique no ícone de + para iniciar o processo de inscrição do certificado. 3) Informações da CA: Tipo de Inscrição: Selecione Manual. Certificado da CA: Cole o certificado da CA que será utilizado para assinar o CSR. Uso de Validação: Marque as opções IPsec Client e SSL Client. Ignorar Verificação da Flag CA: Selecione Skip Check for CA flag in basic constraints of the CA Certificate para evitar problemas de validação. 4) Informe os parâmetros do Certificado: Nome Comum (CN): Insira o fqdn usado para acessar a VPN Remote Access (ex. vpn.meudominio.com.br). Unidade Organizacional (OU), Organização (O), Localidade (L), Estado (ST) e País (C): Preencha conforme as especificações da sua organização. 5) Configure a Chave (ou deixe default): Tipo de Chave: Selecione RSA. Nome da Chave: Defina um nome exclusivo para a chave. Tamanho da Chave: Recomenda-se um tamanho mínimo de 2048 bits. Após preencher todas as informações, clique em Save. Gerar e Obter o Certificado Assinado 1) Após salvar, clique em ID e confirme a geração do CSR. 2) Copie o CSR gerado e envie-o para a Autoridade Certificadora (CA). 3) Submeta o CSR para a CA assinar (gerar o certificado). Faço o download em Base 64 encoded. Importar o Certificado Assinado 1) No FMC, retorne à seção de certificados, selecione o CSR correspondente e importe o certificado assinado fornecido pela CA. 2) Após a importação, clique em Deploy para aplicar as alterações ao dispositivo FTD. Para obter mais detalhes (e outras opções de enroll), consulte a documentação oficial da Cisco: Configure Secure Client Certificate Authentication on FTD Managed by FMC. Este guia fornece uma visão geral do processo de criação e implementação de certificados no FTD gerenciado pelo FMC. Para instruções mais detalhadas e opções avançadas, recomenda-se consultar a documentação oficial da Cisco ou buscar assistência de profissionais certificados. Se tiver dúvidas ou precisar de suporte adicional, não hesite em entrar em contato conosco ou deixar um comentário abaixo. Até a próxima.
Route-Map no Cisco FMC e Comunidade BGP
A configuração de route-maps no Cisco FMC (Firewall Management Center) permite controlar e modificar atributos BGP, como a comunidade BGP. No entanto, há uma particularidade: o FMC não aceita a notação padrão ASN:VALUE (ex: 65000:200). Em vez disso, exige um único número inteiro dentro do intervalo 1-4694967295. Neste post, vamos entender como marcar comunidades BGP no FMC e como converter a notação ASN:VALUE para o formato aceito. O que é uma comunidade BGP? Atributos de comunidade BGP são usados para agrupar rotas e aplicar políticas específicas em diferentes ASNs (Autonomous System Numbers). Algumas comunidades bem conhecidas incluem: no-export (65535:65281) → Não exporta a rota para AS vizinhos no-advertise (65535:65282) → Não anuncia a rota para ninguém local-as (65535:65283) → Mantém a rota dentro do próprio ASN Além dessas, podemos criar comunidades personalizadas para controlar a propagação de rotas. Criando um route-map para marcar comunidades no FMC No Cisco FMC, ao configurar um route-map, seguimos os seguintes passos: Acesse Objects > Route map Crie ou edite um route-map Na seção “Set Clause”, selecione BGP Clause > Community Informe o número da comunidade no campo obrigatório Atenção: O FMC não aceita o formato ASN:VALUE (ex: 65000:200). Em vez disso, é necessário converter esse valor para um número inteiro de 32 bits. Convertendo ASN:VALUE para o formato aceito no FMC O Cisco FMC armazena comunidades BGP como um número de 32 bits. A conversão é feita da seguinte maneira: (ASN × 65536) + VALUE = Número Inteiro Exemplo de Conversão: 65000:200 (65000 × 65536) + 200 = 4259840000 + 200 = 4259840200 No Cisco FMC, você deve inserir 4259840200 em vez de 65000:200. E para confirmar, podemos usar o comando show run route-map na CLI. Mudando a notação Se quiser ver na CLI a informação no formato ASN:Community, use o flexconfig e aplique o comando bgp-community new-format. Quando for configurar comunidades BGP no Cisco FMC usando route-map, lembre-se deste detalhe e converta corretamente a notação ASN:VALUE para um número inteiro de 32 bits antes de aplicá-la. Isso evita erros e garante que as políticas de roteamento funcionem conforme esperado. Até a próxima.
Seja um Cisco Insider Champion 2025
Você é apaixonado por tecnologia e deseja estar na vanguarda das inovações da Cisco? Então o programa Cisco Insider Champion 2025 é a oportunidade perfeita para você! Como membro do programa, você terá acesso a benefícios exclusivos que irão potencializar sua carreira e ampliar sua rede de contatos, incluindo: Acesso antecipado a novos produtos e soluções da Cisco. Conexões com os “rock stars” da engenharia da Cisco. Oportunidade de expandir sua rede de entusiastas de tecnologia. Desenvolvimento de habilidades em blogging e podcasting por meio do Creators Club e do Cisco Champion Radio. Participação em testes beta, grupos de foco e discussões em espaços Webex Teams para fornecer feedback direto sobre produtos e soluções da Cisco. Experiências exclusivas durante o Cisco Live. Como participar? As inscrições estão abertas, por este formulário, até o dia 28 de fevereiro de 2025. As seleções serão comunicadas em abril. Não perca essa chance de se tornar um verdadeiro insider da Cisco e influenciar o futuro da tecnologia! Siga @CiscoChampion no X para receber atualizações e novidades sobre o programa. Até a próxima.
