新規FTDデバイスをFMC登録時に、messages ファイルにて以下エラーログが出力され、FTDデバイス登録が不可となるケースがあります。

Apr 1 23:52:01 prdpfiresight01 SF-IMS[25618]: [21172] sftunneld:sf_ssl [ERROR] -Error with certificate at depth: 0
Apr 1 23:52:01 prdpfiresight01 SF-IMS[25618]: [21172] sftunneld:sf_ssl [ERROR] issuer = /title=InternalCA/CN=xxxxxxxx/OU=Intrusion Management System/O=Cisco Systems, Inc
Apr 1 23:52:01 prdpfiresight01 SF-IMS[25618]: [21172] sftunneld:sf_ssl [ERROR] subject = /CN=localhost/OU=Intrusion Management System/O=Cisco Systems, Inc/title=xxxxxxxx/generationQualifier=sftunnel
Apr 1 23:52:01 prdpfiresight01 SF-IMS[25618]: [21172] sftunneld:sf_ssl [ERROR] err 10:certificate has expired

  
当ログが出力時、FTDデバイス側の時刻が大きく間違っている可能性があります。例えば、以下はFTDの時刻情報となり、10年以上前の時刻であることがわかります。

> show time
UTC - Sun Jan 1 07:38:33 UTC 2012
Localtime - Sun Jan 01   02:38:34 EST 2012

FTDとFMCの時刻の乖離が大きいと、FTDとFMC間のデバイス登録時の証明書エラーにつながります。

解決策は以下3点です。

1. FTDデバイスの時刻情報を正しく設定してから、FTD～FMC間のデバイス登録を行う

2. （上記１で復旧しない場合）Cisco TACに FTDデバイスの証明書の再作成の支援依頼
  - 証明書の再作成はCLIで実施が必要なため、通常、復旧に時間を要します
  - 既存FTDデバイスを動作させたまま、FMC～FTD間の接続を復旧させたい場合に検討

3. （上記１で復旧しない場合）FTDデバイスをリイメージし、正しい時刻を設定した後に、  FMC/FTDのデバイスの再登録を行う
   - リイメージにより古い証明書やファイルシステムや削除され、正しい時刻の証明書の再作成ができます 
   - 通常 リイメージは1時間程度で可能ですので、新規FTDデバイスで素早く復旧させたい場合にお勧め

FTDデバイスのリイメージ手順は以下動画などを参考にしてください。
https://www.youtube.com/watch?v=wUxp7i3Tuh8