与FMC集成的Threat Grid设备故障排除

简介

本文档详细介绍与Firepower管理中心(FMC)的线程网格设备(TGA)集成。

先决条件

要求

Cisco 建议您了解以下主题：

• Firepower管理FMC
• Threat Grid设备基本配置
• 创建授权证书(CA)
• Linux/Unix

使用的组件

本文档中的信息基于以下软件和硬件版本：

• FMC版本6.6.1
• Threat Grid 2.12.2
• CentOS 8

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

问题

在此使用的案例场景中，您可以看到2个问题和2个错误代码。

场景 1

 集成失败，但出现错误：

Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60) 

在此问题中，问题与未作为完整链上传到FMC的证书有关。由于使用了CA签名的证书，因此需要将整个证书链合并到一个PEM文件中。换句话说，您以根CA >中间证书（如果适用）> Clean Int开头。请参阅官方指南中介绍要求和程序的本文。

如果存在多级CA签名链，则所有必需的中间证书和根证书必须包含在上传到FMC的单个文件中。

所有证书都必须采用PEM编码。

文件的新行必须是UNIX，而不是DOS。

如果Threat Grid设备提供自签名证书，请上传您从该设备下载的证书。

如果Threat Grid设备提供CA签名的证书，请上传包含证书签名链的文件。

场景 2

证书格式错误无效

Invalid Certificate format (must be PEM encoded) (code=0) 

证书格式错误，如图所示。

此错误是由于在使用OpenSSL的Windows计算机上创建的组合PEM证书的格式错误所致。强烈建议使用Linux计算机创建此证书。

集成

步骤1.配置TGA，如图所示。

 

Clean Admin接口的内部CA签名证书

步骤1.生成用于管理界面和干净界面的私钥。

openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem 

步骤2.生成CSR。

干净的接口

步骤1.导航至CSR创建并使用生成的私钥。

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

注意：必须为CSR输入CN名称，并且必须与“Network”下定义的Clean接口的主机名匹配。DNS服务器上必须存在DNS条目，该条目解析了Clean接口主机名。‌

管理界面

步骤1.导航至CSR创建并使用生成的私钥。

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

注意：必须为CSR输入CN名称，并且必须与“Network”下定义的“admin interface”的“hostname”匹配。DNS服务器上必须存在DNS条目，该条目解析了干净的接口主机名。‌

步骤2. CSR由CA签署。以DER格式下载证书，其中包含CER扩展名。

步骤3.将CER转换为PEM。

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

CSR和CER到PEM的干净接口

管理接口CSR和CER到PEM

FMC证书的正确格式

如果您已经获得证书，并且证书为CER/CRT格式，并且使用文本编辑器时可读，您只需将扩展更改为PEM。

如果证书不可读，您需要将DER格式转换为PEM可读格式。

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

PEM

PEM可读格式示例，如图所示。

DER

DER可读格式示例，如图所示

在Windows中创建的证书与在Linux中创建的证书之间的差异

您可以在记事本++中使用Compare 插件对两个证书进行简单的并排比较，#68行中的编码区别被删除。在左侧，您可以看到在Windows中创建的证书，在右侧，您可以找到在Linux计算机上生成的证书。左侧的回车符返回，使该证书PEM对FMC无效。但是，除记事本++中的一行外，无法区分文本编辑器中的区别。

将新创建/转换的RootCA和CLEAN接口的PEM证书复制到Linux计算机，并从PEM文件中删除回车。

sed -i 's/\r//' 
     
      
     

示例, sed -i 's/\r//' OPADMIN.pem。

验证回车是否存在。

od -c 
     
      
     

仍显示回车的证书，如图所示。

在通过Linux计算机运行证书之后。

对于FMC，在Linux计算机上将Root_CA和无回车证书组合使用下一个命令。

cat 
     
      
      
        > 
        
        
       
     

示例, cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-carriage.pem Root-CA.pem > combine.pem。

或者，您也可以在Linux计算机中打开新的文本编辑器，将Clean证书和回车合并到一个文件中，并使用.PEM扩展名保存。您的CA证书必须位于顶部，而Clean Interface证书位于底部。

这必须是您稍后上传到FMC的证书，以便与TG设备集成。

证书上传到TG设备和FMC

上传安全接口的证书

导航至Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate，如图所示。

上传管理员接口的证书

导航至Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificate，如图所示。

将证书上传到FMC

要将证书上传到FMC，请导航至AMP > Dynamic Analysis Connections > Add New Connection，然后填写所需信息。

名称：任何要标识的名称。

主机：生成clean-interface的CSR时定义的clean-interface FQDN

证书:ROOT_CA和clean interface_no-carriage的组合证书。

注册新连接后，将显示弹出窗口，单击“是”按钮。

页面重定向到TG Clean界面和登录提示，如图所示。

接受EULA。

如图所示，成功集成可显示活动设备。

单击Return(返回)，返回TG集成成功的FMC，如图所示。

相关信息

• Firepower管理中心配置指南，版本6.6
• 技术支持和文档 - Cisco Systems