Fehlerbehebung bei Integration der Threat Grid-Appliance mit FMC

Einführung

In diesem Dokument wird die Integration der Thread Grid Appliance (TGA) mit FirePOWER Management Center (FMC) ausführlich beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• FirePOWER Management FMC
• Threat Grid Appliance - Grundkonfiguration
• Zertifizierungsstellen erstellen
• Linux/Unix

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• FMC Version 6.6.1
• Threat Grid 2.12.2
• CentOS 8

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Problem

In diesem Fallszenario werden zwei Probleme und zwei Fehlercodes angezeigt.

Szenario 1

 Fehler bei der Integration:

Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60) 

Wenn es um dieses Problem geht, betrifft das Problem das Zertifikat, das nicht als vollständige Kette in das FMC hochgeladen wird. Da das Zertifikat mit CA-Vorzeichen verwendet wurde, muss die gesamte Zertifikatskette, die zu einer einzigen PEM-Datei zusammengefasst wurde, verwendet werden. In einem anderen Wort beginnen Sie mit Root CA > Intermediate Cert (falls zutreffend) > Clean Int. Bitte lesen Sie diesen Artikel aus dem offiziellen Leitfaden, der die Anforderungen und Verfahren beschreibt.

Wenn es eine mehrstufige Signierungskette von CAs gibt, müssen alle erforderlichen Zwischenzertifikate und das Stammzertifikat in einer einzigen Datei enthalten sein, die in das FMC hochgeladen wird.

Alle Zertifikate müssen PEM-kodiert sein.

Die neuen Zeilen der Datei müssen UNIX und nicht DOS sein.

Wenn die Threat Grid-Appliance ein selbstsigniertes Zertifikat vorlegt, laden Sie das von dieser Appliance heruntergeladene Zertifikat hoch.

Wenn die Threat Grid-Appliance ein Zertifikat mit CA-Vorzeichen vorlegt, laden Sie die Datei hoch, die die Zertifikatsignierungskette enthält.

Szenario 2

Ungültiger Fehler beim Zertifikatsformat

Invalid Certificate format (must be PEM encoded) (code=0) 

Fehler beim Zertifikatsformat, wie im Bild gezeigt.

Dieser Fehler ist auf die falsche Formatierung des kombinierten PEM-Zertifikats zurückzuführen, das auf dem Windows-Computer mit OpenSSL erstellt wurde. Es wird dringend empfohlen, ein Linux-System zum Erstellen dieses Zertifikats zu verwenden.

Integration

Schritt 1: Konfigurieren Sie die TGA, wie in den Bildern gezeigt.

 

Von internen CA signierte Zertifikate für eine saubere Administratorschnittstelle

Schritt 1: Generieren Sie den privaten Schlüssel, der sowohl für die Admin- als auch für die CleanInterface verwendet wird.

openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem 

Schritt 2: CSR erstellen

Saubere Benutzeroberfläche

Schritt 1: Navigieren Sie zur CSR-Erstellung, und verwenden Sie den generierten privaten Schlüssel.

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

Hinweis: Der CN-Name muss für CSR eingegeben werden und mit dem Hostnamen der unter "Netzwerk" definierten sauberen Schnittstelle übereinstimmen. Auf dem DNS-Server muss ein DNS-Eintrag vorhanden sein, der den Hostnamen der sauberen Schnittstelle auflöst. ‌

Admin-Schnittstelle

Schritt 1: Navigieren Sie zur CSR-Erstellung, und verwenden Sie den generierten privaten Schlüssel.

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

Hinweis: Der CN-Name muss für CSR eingegeben werden und mit dem "Hostnamen" der "Admin-Schnittstelle" übereinstimmen, die unter "Netzwerk" definiert ist. Auf dem DNS-Server muss ein DNS-Eintrag vorhanden sein, der den Hostnamen der sauberen Schnittstelle auflöst. ‌

Schritt 2: CSR ist von CA zu unterzeichnen. Laden Sie das Zertifikat im DER-Format mit der CER-Erweiterung herunter.

Schritt 3: Konvertieren von CER in PEM

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

Saubere Schnittstelle CSR und CER zu PEM

Admin-Schnittstelle CSR und CER zu PEM

Richtiges Format der Bescheinigung für FMC

Wenn Sie bereits Zertifikate erhalten haben und diese im CER/CRT-Format vorliegen und bei Verwendung eines Texteditors lesbar sind, können Sie einfach die Erweiterung in PEM ändern.

Wenn das Zertifikat nicht lesbar ist, müssen Sie das DER-Format in ein PEM-lesbares Format umwandeln.

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

PEM

Beispiel für ein PEM-lesbares Format, wie im Bild gezeigt.

ERSTELLEN

Beispiel für ein vom DER lesbares Format, wie im Bild gezeigt

Unterschied zwischen in Windows und Linux erstelltem Zertifikat

Ein einfacher paralleler Vergleich beider Zertifikate nebeneinander kann mit dem Compare-Plugin in Notepad ++ verwendet werden, um den kodierten Unterschied in Zeile 68 zu korrigieren. Auf der linken Seite sehen Sie das in Windows erstellte Zertifikat. Auf der rechten Seite sehen Sie das auf dem Linux-Computer generierte Zertifikat. Das linke Gerät verfügt über einen Wagenrücklauf, wodurch das PEM-Zertifikat für FMC ungültig wird. Sie können jedoch im Texteditor nur einen Unterschied feststellen, wenn Sie ihn in Notepad ++ verwenden.

Kopieren Sie das neu erstellte/konvertierte PEM-Zertifikat für die RootCA- und CLEAN-Schnittstelle auf Ihren Linux-Rechner und entfernen Sie den Wagenrücklauf aus der PEM-Datei.

sed -i 's/\r//' 
     
      
     

Beispiel: sed -i 's/\r/' OPADMIN.pem.

Überprüfen Sie, ob der Wagenrücklauf vorhanden ist.

od -c 
     
      
     

Es werden Zertifikate angezeigt, bei denen noch eine Wagenrückgabe vorhanden ist, wie im Bild gezeigt.

Zertifikat, nachdem Sie das über einen Linux-Computer ausgeführt haben.

Für FMC kombinieren Root_CA und das No-Wagging-Zertifikat auf einem Linux-Rechner den nächsten Befehl.

cat 
     
      
      
        > 
        
        
       
     

Beispiel: cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-car.pem Root-CA.pem > combin.pem.

Sie können auch einen neuen Text-Editor in Ihrem Linux-Rechner öffnen und beide Clean-Zertifikate mit dem Wagenrücklauf in einer Datei kombinieren und mit der Erweiterung .PEM speichern. Sie müssen Ihr CA-Zertifikat oben und das Clean Interface-Zertifikat unten haben.

Dies muss Ihr Zertifikat sein, das Sie später auf das FMC hochladen, um die TG-Appliance zu integrieren.

Hochladen von Zertifikaten auf TG-Appliance und FMC

Zertifikat für eine saubere Schnittstelle hochladen

Navigieren Sie zu Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate, wie im Bild gezeigt.

Zertifikat für eine Admin-Schnittstelle hochladen

Navigieren Sie zu Konfiguration > SSL > OPADMIN - Aktionen Neues Zertifikat hochladen > Zertifikat hinzufügen, wie im Bild gezeigt.

Zertifikat in FMC hochladen

Um das Zertifikat in das FMC hochzuladen, navigieren Sie zu AMP > Dynamic Analysis Connections > Add New Connection, und geben Sie dann die erforderlichen Informationen ein.

Name: Jeder zu identifizierende Name.

Host: FQDN mit sauberer Schnittstelle, wie definiert, wenn der CSR für eine saubere Schnittstelle generiert wird

Zertifikat: Das kombinierte Zertifikat von ROOT_CA und clean interface_no-transport.

Nach der Registrierung der neuen Verbindung wird ein Popup-Fenster angezeigt. Klicken Sie auf die Schaltfläche Yes (Ja).

Die Seite wird zur TG-Bereinigungsschnittstelle und zur Anmeldeaufforderung umgeleitet, wie in den Bildern gezeigt.

Akzeptieren Sie die EULA.

Bei erfolgreicher Integration wird ein aktives Gerät angezeigt, wie im Bild gezeigt.

Klicken Sie auf Return (Zurück), zurück zu FMC mit erfolgreicher TG-Integration, wie im Bild gezeigt.

Zugehörige Informationen

• Konfigurationsleitfaden für Firepower Management Center, Version 6.6
• Technischer Support und Dokumentation für Cisco Systeme