Resolución de problemas de integración de Secure Malware Analytics Appliance con FMC

Introducción

Este documento describe en detalle la integración de Secure Malware Analytics con Firepower Management Center (FMC).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Administración de Firepower FMC
• Configuración básica de Secure Malware Appliance
• Crear certificados de autoridad (CA)
• Linux/Unix

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• FMC versión 6.6.1
• Threat Grid 2.12.2
• CentOS 8

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Problema

En este escenario de caso usado, puede ver 2 problemas y dos códigos de error.

Escenario 1

 La integración falla con errores:

Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60) 

Cuando se trata de este problema, el problema está relacionado con el certificado que no se carga en FMC como una cadena completa. Dado que se utilizó el certificado firmado por la CA, se debe utilizar toda la cadena de certificados combinada en un único archivo PEM. En otras palabras, comience con CA raíz > Cert. intermedio (si corresponde) > Int. limpio. Consulte este artículo de la guía oficial que describe los requisitos y el procedimiento.

Si existe una cadena de firmas multinivel de CA, todos los certificados intermedios requeridos y el certificado raíz deben estar contenidos en un único archivo que se carga en el FMC.

- Todos los certificados deben estar codificados con PEM.

- Las líneas nuevas del archivo deben ser UNIX, no DOS.

Precaución: Si ha vuelto a generar el certificado autofirmado del dispositivo de malware seguro, asegúrese de que ha vuelto a configurar el dispositivo porque solo después de que el dispositivo de malware seguro envíe el certificado actualizado durante el intercambio de señales SSL.

Escenario 2

Error de formato de certificado no válido

Invalid Certificate format (must be PEM encoded) (code=0) 

Error de formato del certificado, como se muestra en la imagen.

Este error se debe al formato incorrecto del certificado PEM combinado creado en el equipo Windows que utiliza OpenSSL. Se recomienda utilizar una máquina Linux para crear este certificado.

Integración

Paso 1. Configure el TGA, como se muestra en las imágenes.

Certificados firmados por CA internos para la interfaz Clean Admin

Paso 1. Genere la clave privada que se utiliza tanto para la interfaz de administración como para la interfaz limpia.

openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem 

Paso 2. Generar CSR.

Limpiar interfaz

Paso 1. Acceda a la creación de CSR y utilice la clave privada generada.

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

Nota: El nombre CN debe introducirse para CSR y debe coincidir con el nombre de host de la interfaz limpia definida en "Red". Debe haber una entrada DNS en el servidor DNS que resuelva el nombre de host de la interfaz limpia. ‌

Interfaz de administración

Paso 1. Vaya a la creación de CSR y utilice la clave privada generada.

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

Nota: El nombre CN debe introducirse para CSR y debe coincidir con el "nombre de host" de la "interfaz de administración" definida en "Red". Debe haber una entrada DNS en el servidor DNS que resuelva el nombre de host de la interfaz limpia. ‌

Paso 2. La CSR debe estar firmada por la CA. Descargue el certificado en formato DER con la extensión CER.

Paso 3. Convierta CER en PEM.

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

Interfaz limpia CSR y CER a PEM

Interfaz de administración CSR y CER a PEM

Formato adecuado del certificado para CSP

Si ya tiene certificados y están en formato CER/CRT y son legibles cuando se utiliza un editor de texto, simplemente puede cambiar la extensión a PEM.

Si el certificado no es legible, debe convertir el formato DER al formato legible por PEM.

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

PEM

Ejemplo de formato legible por PEM, como se muestra en la imagen.

DER

Ejemplo de formato legible DER, como se muestra en la imagen

Diferencia entre el certificado creado en Windows y Linux

Una simple comparación de lado a lado de ambos certificados uno al lado del otro puede utilizar el complemento Compare en Notepad ++ deniled la diferencia codificada en la línea #68. A la izquierda, puede ver el certificado creado en Windows, a la derecha puede encontrar el certificado generado en la máquina Linux. El de la izquierda tiene retorno de carro que hace que el PEM de certificado no sea válido para FMC. Sin embargo, no se puede diferenciar en el editor de texto excepto por esa línea en el Bloc de notas ++.

Copie el certificado PEM recién creado/convertido para la interfaz CLEAN y RootCA en su máquina Linux y quite el retorno de carro del archivo PEM.

sed -i 's/\r//'  

Ejemplo, sed -i 's/\r//' OPADMIN.pem.

Compruebe si el retorno de carro está presente.

od -c  

Certificados que aún tienen retorno de carro presentado, como se muestra en la imagen.

Certificado después de ejecutarlo a través de una máquina Linux.

Para FMC combine Root_CA y el certificado sin carro en una máquina Linux utilice el siguiente comando.

cat   >  

Ejemplo: cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-carrier.pem Root-CA.pem > combine.pem.

O también puede abrir un nuevo editor de texto en su máquina Linux y combinar ambos certificados Clean con retorno de carro eliminado en un archivo y guardarlo con la extensión .PEM. Debe tener el certificado de CA en la parte superior y el certificado de Clean Interface en la parte inferior.

Debe ser el certificado que cargue más tarde en el FMC para integrarlo con el dispositivo TG.

Carga de certificados en el dispositivo Secure Malware Analytics y FMC

Cargar certificado para una interfaz limpia

Vaya a Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate, como se muestra en la imagen.

Cargar certificado para una interfaz de administración

Navegue hasta Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificate, como se muestra en la imagen.

Cargar certificado en FMC

Para cargar el certificado en el FMC, navegue hasta AMP > Conexiones de análisis dinámico > Agregar nueva conexión y, a continuación, rellene la información necesaria.

Nombre: Cualquier nombre para identificar.

Host: FQDN de interfaz limpia como se define cuando se genera el CSR para interfaz limpia

Certificado: El certificado combinado de ROOT_CA y clean interface_no-carrier.

Una vez registrada la nueva conexión, se muestra una ventana emergente, haga clic en el botón Yes (Sí).

La página redirige a la interfaz Secure Malware Analytics Clean y al mensaje de inicio de sesión, como se muestra en las imágenes.

Acepte el CLUF.

La integración correcta muestra un dispositivo activo, como se muestra en la imagen.

Haga clic en Return, de nuevo en FMC con la integración exitosa de Secure Malware Analytics, como se muestra en la imagen.

Información Relacionada

• Guía De Configuración De Firepower Management Center, Versión 6.6
• Soporte Técnico y Documentación - Cisco Systems