أستكشاف أخطاء تكامل جهاز شبكة التهديد وإصلاحها مع FMC

خيارات التنزيل

  • PDF     (5.1 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (5.1 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (2.9 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٦ أبريل ٢٠٢١
معرّف المستند:217064

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند بالتفصيل دمج جهاز شبكة مؤشرات الترابط (TGA) مع مركز إدارة FirePOWER (FMC).

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • إدارة FMC Firepower
    • التكوين الأساسي لجهاز شبكة التهديدات
    • إنشاء شهادات مرجع مصدق (CA)
    • Linux/Unix

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • FMC الإصدار 6.6.1
    • شبكة التهديدات 2.12.2
    • CentOS 8

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    المشكلة

    في سيناريو الحالة المستخدمة هذا، يمكنك أن ترى 2 إصدار ورمزين للخطأ.

    السيناريو 1

     فشل التكامل مع وجود أخطاء:

    Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60)

    عندما يتعلق الأمر بهذه المشكلة، فإن المشكلة تتعلق بالشهادة التي لا يتم تحميلها إلى FMC كسلسلة كاملة. منذ إستخدام الشهادة الموقعة على المرجع المصدق، يجب إستخدام سلسلة الشهادات بأكملها في ملف PEM واحد. في كلمة أخرى تبدأ ب CA الجذر > شهادة وسيطة (إن أمكن) > مسح دقيق. يرجى الرجوع إلى هذه المادة من الدليل الرسمي الذي يصف المتطلبات والإجراءات.

    إذا كانت هناك سلسلة توقيع متعددة المستويات من CAs، فإن كل الشهادات الوسيطة المطلوبة، والشهادة الجذر يجب أن تكون موجودة في ملف واحد يتم تحميله إلى FMC.

    يجب أن تكون كافة الشهادات مرمزة بتشفير PEM.

    يجب أن تكون الأسطر الجديدة للملف هي UNIX، وليس DOS.

    إذا قدم جهاز شبكة التهديدات شهادة موقعة ذاتيا، قم بتحميل الشهادة التي قمت بتنزيلها من ذلك الجهاز.

    إذا كان جهاز شبكة التهديد يمثل شهادة موقعة من CA، قم بتحميل الملف الذي يحتوي على سلسلة توقيع الشهادة.

    السيناريو 2

    خطأ في تنسيق الشهادة غير صالح

    Invalid Certificate format (must be PEM encoded) (code=0)

    خطأ في تنسيق الشهادة، كما هو موضح في الصورة.

    يرجع سبب هذا الخطأ إلى التنسيق الخاطئ لشهادة PEM المشتركة التي تم إنشاؤها على جهاز Windows الذي يستخدم OpenSSL. يوصى بشدة باستخدام جهاز Linux لإنشاء هذه الشهادة.

    إندماج

    الخطوة 1. قم بتكوين TGA، كما هو موضح في الصور.

    شهادات داخلية موقعة من CA لواجهة إدارة نظيفة

    الخطوة 1. قم بإنشاء المفتاح الخاص الذي يتم إستخدامه لكل من واجهة المسؤول والواجهة النظيفة.

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    الخطوة 2. إنشاء CSR.

    واجهة نظيفة

    الخطوة 1. انتقل إلى إنشاء CSR واستخدم المفتاح الخاص الذي تم إنشاؤه.

    openssl req -new -key private-ec-key.pem -out MYCSR.csr

    ملاحظة: يجب إدخال اسم CN ل CSR ويجب أن يطابق اسم المضيف للواجهة النظيفة المعرفة ضمن "الشبكة". يجب أن يكون إدخال DNS موجودا على خادم DNS الذي يقوم بحل اسم مضيف واجهة Clean. أفقن

    واجهة المسؤول

    الخطوة 1. انتقل إلى إنشاء CSR واستخدم المفتاح الخاص الذي تم إنشاؤه.

    openssl req -new -key private-ec-key.pem -out MYCSR.csr

    ملاحظة: يجب إدخال اسم CN ل CSR ويجب أن يطابق "اسم المضيف" ل "واجهة الإدارة" المعرفة ضمن "الشبكة". يجب أن يكون إدخال DNS موجودا على خادم DNS الذي يقوم بحل اسم مضيف الواجهة النظيفة. أفقن

    الخطوة 2. سيتم توقيع CSR من قبل CA. تنزيل الشهادة بتنسيق DER باستخدام ملحق CER.

    الخطوة 3. تحويل CER إلى PEM.

    openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

    مسح الواجهة CSR و CER إلى PEM

    CSR لواجهة الإدارة و CER إلى PEM

    التنسيق المناسب للشهادة ل FMC

    إذا قمت بالفعل بتوفير شهادات وكانت بتنسيق CER/CRT ويمكن قراءتها عند إستخدام محرر نصوص، يمكنك ببساطة تغيير الملحق إلى PEM.

    إذا كانت الشهادة غير قابلة للقراءة، تحتاج إلى تحويل تنسيق DER إلى تنسيق PEM مقروء.

    openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

    بيم

    مثال على تنسيق PEM القابل للقراءة، كما هو موضح في الصورة.

    در

    مثال على تنسيق DER القابل للقراءة، كما هو موضح في الصورة

    الفرق بين الشهادة التي تم إنشاؤها في Windows مقابل Linux

    توجد مقارنة بسيطة جنبا إلى جنب بين كلا الشهادات بجانب بعضها البعض يمكنك إستخدام الوظيفة الإضافية مقارنة في Notepad ++ لتشويه الفرق الذي تم ترميزه في السطر رقم 68. على اليسار، يمكنك رؤية الشهادة المنشأة في Windows، على اليمين يمكنك العثور على الشهادة المنشأة على جهاز لينوكس. التي على اليسار بها علامة إعادة تحويل مما يجعل شهادة PEM غير صالحة ل FMC. ومع ذلك، لا يمكنك تحديد الفرق في محرر النصوص باستثناء سطر واحد في Notepad ++.

    انسخ شهادة PEM التي تم إنشاؤها/تحويلها حديثا ل RootCA والواجهة النظيفة إلى جهاز Linux الخاص بك وأزل إرجاع النقل من ملف PEM.

    sed -i 's/\r//'

    مثال، sed -i's/\r/' opadmin.pem.

    تحقق مما إذا كانت عملية إعادة النقل موجودة.

    od -c

    تم تقديم الشهادات التي ما زالت تحتوي على إعادة نقل، كما هو موضح في الصورة.

    شهادة بعد أن تقوم بتشغيل ذلك من خلال جهاز لينوكس.

    بالنسبة إلى FMC، فإن دمج root_ca والشهادة no-carriage on a linux machine يستخدمان الأمر التالي.

    cat 
     
      
      
        >

    على سبيل المثال، cat clean-interface_csr_ca-signed_der_cer_pem_no-carriage.pem root-ca.pem > combm.pem.

    أو يمكنك أيضا فتح محرر نصوص جديد في جهاز Linux ودمج كل من الشهادات النظيفة مع إعادة رجوع في ملف واحد وحفظه بامتداد.pem. يجب أن يكون لديك شهادة المرجع المصدق في الأعلى وشهادة Clean Interface في الأسفل.

    يجب أن تكون هذه هي شهادتك التي قمت بتحميلها لاحقا إلى FMC للتكامل مع جهاز TG.

    تحميل الشهادة إلى جهاز TG و FMC

    تحميل شهادة لواجهة نظيفة

    انتقل إلى التكوين > SSL > Pandem - الإجراءات تقوم بتحميل شهادة جديدة > إضافة شهادة، كما هو موضح في الصورة.

    تحميل شهادة لواجهة مسؤول

    انتقل إلى التكوين > SSL > OPADMIN - الإجراءات تقوم بتحميل شهادة جديدة > إضافة شهادة، كما هو موضح في الصورة.

    تحميل الشهادة إلى FMC

    لتحميل الشهادة إلى FMC، انتقل إلى AMP > Dynamic Analysis Connections (إتصالات التحليل الديناميكية) > إضافة اتصال جديد، ثم املأ المعلومات المطلوبة.

    الاسم: أي اسم للتعريف به.

    المضيف: Clean-interface FQDN كما هو محدد عند إنشاء CSR للواجهة النظيفة

    الشهادة: الشهادة المجمعة ل ROOT_CA و Clean interface_no-transport.

    بمجرد تسجيل التوصيل الجديد، يتم عرض إطار منبثق، انقر على زر نعم.

    يتم إعادة توجيه الصفحة إلى واجهة TG Clean ومطالبة تسجيل الدخول، كما هو موضح في الصور.

    اقبل الإولا.

    يؤدي التكامل الناجح إلى عرض جهاز نشط، كما هو موضح في الصورة.

    انقر فوق رجوع، رجوع إلى FMC مع دمج TG الناجح، كما هو موضح في الصورة.

    معلومات ذات صلة

    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Roman Valenta
      مهندس TAC من Cisco
    • Nitin Shettigar
      مهندس Cisco
    • Edited by Yeraldin Sanchez
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات