In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Integration der Thread Grid Appliance (TGA) mit FirePOWER Management Center (FMC) ausführlich beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
In diesem Fallszenario werden zwei Probleme und zwei Fehlercodes angezeigt.
Fehler bei der Integration:
Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60)
Wenn es um dieses Problem geht, betrifft das Problem das Zertifikat, das nicht als vollständige Kette in das FMC hochgeladen wird. Da das Zertifikat mit CA-Vorzeichen verwendet wurde, muss die gesamte Zertifikatskette, die zu einer einzigen PEM-Datei zusammengefasst wurde, verwendet werden. In einem anderen Wort beginnen Sie mit Root CA > Intermediate Cert (falls zutreffend) > Clean Int. Bitte lesen Sie diesen Artikel aus dem offiziellen Leitfaden, der die Anforderungen und Verfahren beschreibt.
Wenn es eine mehrstufige Signierungskette von CAs gibt, müssen alle erforderlichen Zwischenzertifikate und das Stammzertifikat in einer einzigen Datei enthalten sein, die in das FMC hochgeladen wird.
Alle Zertifikate müssen PEM-kodiert sein.
Die neuen Zeilen der Datei müssen UNIX und nicht DOS sein.
Wenn die Threat Grid-Appliance ein selbstsigniertes Zertifikat vorlegt, laden Sie das von dieser Appliance heruntergeladene Zertifikat hoch.
Wenn die Threat Grid-Appliance ein Zertifikat mit CA-Vorzeichen vorlegt, laden Sie die Datei hoch, die die Zertifikatsignierungskette enthält.
Ungültiger Fehler beim Zertifikatsformat
Invalid Certificate format (must be PEM encoded) (code=0)
Fehler beim Zertifikatsformat, wie im Bild gezeigt.
Dieser Fehler ist auf die falsche Formatierung des kombinierten PEM-Zertifikats zurückzuführen, das auf dem Windows-Computer mit OpenSSL erstellt wurde. Es wird dringend empfohlen, ein Linux-System zum Erstellen dieses Zertifikats zu verwenden.
Schritt 1: Konfigurieren Sie die TGA, wie in den Bildern gezeigt.
Schritt 1: Generieren Sie den privaten Schlüssel, der sowohl für die Admin- als auch für die CleanInterface verwendet wird.
openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem
Schritt 2: CSR erstellen
Schritt 1: Navigieren Sie zur CSR-Erstellung, und verwenden Sie den generierten privaten Schlüssel.
openssl req -new -key private-ec-key.pem -out MYCSR.csr
Hinweis: Der CN-Name muss für CSR eingegeben werden und mit dem Hostnamen der unter "Netzwerk" definierten sauberen Schnittstelle übereinstimmen. Auf dem DNS-Server muss ein DNS-Eintrag vorhanden sein, der den Hostnamen der sauberen Schnittstelle auflöst.
Schritt 1: Navigieren Sie zur CSR-Erstellung, und verwenden Sie den generierten privaten Schlüssel.
openssl req -new -key private-ec-key.pem -out MYCSR.csr
Hinweis: Der CN-Name muss für CSR eingegeben werden und mit dem "Hostnamen" der "Admin-Schnittstelle" übereinstimmen, die unter "Netzwerk" definiert ist. Auf dem DNS-Server muss ein DNS-Eintrag vorhanden sein, der den Hostnamen der sauberen Schnittstelle auflöst.
Schritt 2: CSR ist von CA zu unterzeichnen. Laden Sie das Zertifikat im DER-Format mit der CER-Erweiterung herunter.
Schritt 3: Konvertieren von CER in PEM
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem
Wenn Sie bereits Zertifikate erhalten haben und diese im CER/CRT-Format vorliegen und bei Verwendung eines Texteditors lesbar sind, können Sie einfach die Erweiterung in PEM ändern.
Wenn das Zertifikat nicht lesbar ist, müssen Sie das DER-Format in ein PEM-lesbares Format umwandeln.
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem
Beispiel für ein PEM-lesbares Format, wie im Bild gezeigt.
Beispiel für ein vom DER lesbares Format, wie im Bild gezeigt
Ein einfacher paralleler Vergleich beider Zertifikate nebeneinander kann mit dem Compare-Plugin in Notepad ++ verwendet werden, um den kodierten Unterschied in Zeile 68 zu korrigieren. Auf der linken Seite sehen Sie das in Windows erstellte Zertifikat. Auf der rechten Seite sehen Sie das auf dem Linux-Computer generierte Zertifikat. Das linke Gerät verfügt über einen Wagenrücklauf, wodurch das PEM-Zertifikat für FMC ungültig wird. Sie können jedoch im Texteditor nur einen Unterschied feststellen, wenn Sie ihn in Notepad ++ verwenden.
Kopieren Sie das neu erstellte/konvertierte PEM-Zertifikat für die RootCA- und CLEAN-Schnittstelle auf Ihren Linux-Rechner und entfernen Sie den Wagenrücklauf aus der PEM-Datei.
sed -i 's/\r//'
Beispiel: sed -i 's/\r/' OPADMIN.pem.
Überprüfen Sie, ob der Wagenrücklauf vorhanden ist.
od -c
Es werden Zertifikate angezeigt, bei denen noch eine Wagenrückgabe vorhanden ist, wie im Bild gezeigt.
Zertifikat, nachdem Sie das über einen Linux-Computer ausgeführt haben.
Für FMC kombinieren Root_CA und das No-Wagging-Zertifikat auf einem Linux-Rechner den nächsten Befehl.
cat
>
Beispiel: cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-car.pem Root-CA.pem > combin.pem.
Sie können auch einen neuen Text-Editor in Ihrem Linux-Rechner öffnen und beide Clean-Zertifikate mit dem Wagenrücklauf in einer Datei kombinieren und mit der Erweiterung .PEM speichern. Sie müssen Ihr CA-Zertifikat oben und das Clean Interface-Zertifikat unten haben.
Dies muss Ihr Zertifikat sein, das Sie später auf das FMC hochladen, um die TG-Appliance zu integrieren.
Navigieren Sie zu Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate, wie im Bild gezeigt.
Navigieren Sie zu Konfiguration > SSL > OPADMIN - Aktionen Neues Zertifikat hochladen > Zertifikat hinzufügen, wie im Bild gezeigt.
Um das Zertifikat in das FMC hochzuladen, navigieren Sie zu AMP > Dynamic Analysis Connections > Add New Connection, und geben Sie dann die erforderlichen Informationen ein.
Name: Jeder zu identifizierende Name.
Host: FQDN mit sauberer Schnittstelle, wie definiert, wenn der CSR für eine saubere Schnittstelle generiert wird
Zertifikat: Das kombinierte Zertifikat von ROOT_CA und clean interface_no-transport.
Nach der Registrierung der neuen Verbindung wird ein Popup-Fenster angezeigt. Klicken Sie auf die Schaltfläche Yes (Ja).
Die Seite wird zur TG-Bereinigungsschnittstelle und zur Anmeldeaufforderung umgeleitet, wie in den Bildern gezeigt.
Akzeptieren Sie die EULA.
Bei erfolgreicher Integration wird ein aktives Gerät angezeigt, wie im Bild gezeigt.
Klicken Sie auf Return (Zurück), zurück zu FMC mit erfolgreicher TG-Integration, wie im Bild gezeigt.