简介
本文档详细介绍与Firepower管理中心(FMC)的线程网格设备(TGA)集成。
先决条件
要求
Cisco 建议您了解以下主题:
- Firepower管理FMC
- Threat Grid设备基本配置
- 创建授权证书(CA)
- Linux/Unix
使用的组件
本文档中的信息基于以下软件和硬件版本:
- FMC版本6.6.1
- Threat Grid 2.12.2
- CentOS 8
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
问题
在此使用的案例场景中,您可以看到2个问题和2个错误代码。
场景 1
集成失败,但出现错误:
Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60)
在此问题中,问题与未作为完整链上传到FMC的证书有关。由于使用了CA签名的证书,因此需要将整个证书链合并到一个PEM文件中。换句话说,您以根CA >中间证书(如果适用)> Clean Int开头。请参阅官方指南中介绍要求和程序的本文。
如果存在多级CA签名链,则所有必需的中间证书和根证书必须包含在上传到FMC的单个文件中。
所有证书都必须采用PEM编码。
文件的新行必须是UNIX,而不是DOS。
如果Threat Grid设备提供自签名证书,请上传您从该设备下载的证书。
如果Threat Grid设备提供CA签名的证书,请上传包含证书签名链的文件。
场景 2
证书格式错误无效
Invalid Certificate format (must be PEM encoded) (code=0)
证书格式错误,如图所示。
此错误是由于在使用OpenSSL的Windows计算机上创建的组合PEM证书的格式错误所致。强烈建议使用Linux计算机创建此证书。
集成
步骤1.配置TGA,如图所示。
Clean Admin接口的内部CA签名证书
步骤1.生成用于管理界面和干净界面的私钥。
openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem
步骤2.生成CSR。
干净的接口
步骤1.导航至CSR创建并使用生成的私钥。
openssl req -new -key private-ec-key.pem -out MYCSR.csr
注意:必须为CSR输入CN名称,并且必须与“Network”下定义的Clean接口的主机名匹配。DNS服务器上必须存在DNS条目,该条目解析了Clean接口主机名。
管理界面
步骤1.导航至CSR创建并使用生成的私钥。
openssl req -new -key private-ec-key.pem -out MYCSR.csr
注意:必须为CSR输入CN名称,并且必须与“Network”下定义的“admin interface”的“hostname”匹配。DNS服务器上必须存在DNS条目,该条目解析了干净的接口主机名。
步骤2. CSR由CA签署。以DER格式下载证书,其中包含CER扩展名。
步骤3.将CER转换为PEM。
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem
CSR和CER到PEM的干净接口
管理接口CSR和CER到PEM
FMC证书的正确格式
如果您已经获得证书,并且证书为CER/CRT格式,并且使用文本编辑器时可读,您只需将扩展更改为PEM。
如果证书不可读,您需要将DER格式转换为PEM可读格式。
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem
PEM
PEM可读格式示例,如图所示。
DER
DER可读格式示例,如图所示
在Windows中创建的证书与在Linux中创建的证书之间的差异
您可以在记事本++中使用Compare 插件对两个证书进行简单的并排比较,#68行中的编码区别被删除。在左侧,您可以看到在Windows中创建的证书,在右侧,您可以找到在Linux计算机上生成的证书。左侧的回车符返回,使该证书PEM对FMC无效。但是,除记事本++中的一行外,无法区分文本编辑器中的区别。
将新创建/转换的RootCA和CLEAN接口的PEM证书复制到Linux计算机,并从PEM文件中删除回车。
sed -i 's/\r//'
示例, sed -i 's/\r//' OPADMIN.pem。
验证回车是否存在。
od -c
仍显示回车的证书,如图所示。
在通过Linux计算机运行证书之后。
对于FMC,在Linux计算机上将Root_CA和无回车证书组合使用下一个命令。
cat
>
示例, cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-carriage.pem Root-CA.pem > combine.pem。
或者,您也可以在Linux计算机中打开新的文本编辑器,将Clean证书和回车合并到一个文件中,并使用.PEM扩展名保存。您的CA证书必须位于顶部,而Clean Interface证书位于底部。
这必须是您稍后上传到FMC的证书,以便与TG设备集成。
证书上传到TG设备和FMC
上传安全接口的证书
导航至Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate,如图所示。
上传管理员接口的证书
导航至Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificate,如图所示。
将证书上传到FMC
要将证书上传到FMC,请导航至AMP > Dynamic Analysis Connections > Add New Connection,然后填写所需信息。
名称:任何要标识的名称。
主机:生成clean-interface的CSR时定义的clean-interface FQDN
证书:ROOT_CA和clean interface_no-carriage的组合证书。
注册新连接后,将显示弹出窗口,单击“是”按钮。
页面重定向到TG Clean界面和登录提示,如图所示。
接受EULA。
如图所示,成功集成可显示活动设备。
单击Return(返回),返回TG集成成功的FMC,如图所示。
相关信息