Dépannage de l'intégration de Secure Malware Analytics Appliance avec FMC

Introduction

Ce document décrit en détail l'intégration de Secure Malware Analytics avec Firepower Management Center (FMC).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Gestion Firepower FMC
• Configuration de base de Secure Malware Appliance
• Créer des certificats d'autorité (CA)
• Linux/Unix

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• FMC version 6.6.1
• Threat Grid 2.12.2
• CentOS 8

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Problème

Dans ce scénario d'utilisation, vous pouvez voir 2 problèmes et deux codes d'erreur.

Scénario 1

 L'intégration échoue avec des erreurs :

Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60) 

Quand il s'agit de ce problème, le problème est lié au certificat qui n'est pas téléchargé dans FMC en tant que chaîne complète. Étant donné que le certificat signé par l'autorité de certification a été utilisé, l'ensemble de la chaîne de certificats combinée en un seul fichier PEM doit être utilisé. En d'autres termes, vous commencez par Autorité de certification racine > Certificat intermédiaire (le cas échéant) > Clean Int. Reportez-vous à cet article du guide officiel qui décrit les exigences et la procédure.

S’il existe une chaîne de signature à plusieurs niveaux d’autorités de certification, tous les certificats intermédiaires requis et le certificat racine doivent être contenus dans un fichier unique qui est téléchargé vers le FMC.

- Tous les certificats doivent être codés en PEM.

- Les nouvelles lignes du fichier doivent être UNIX et non DOS.

Mise en garde : Si vous avez régénéré le certificat auto-signé de l'appliance Secure Malware, assurez-vous que vous avez reconfiguré l'appliance de sorte qu'elle n'envoie le certificat mis à jour qu'après la connexion SSL.

Scénario 2

Erreur de format de certificat non valide

Invalid Certificate format (must be PEM encoded) (code=0) 

Erreur de format de certificat, comme indiqué dans l'image.

Cette erreur est due au mauvais formatage du certificat PEM combiné créé sur l'ordinateur Windows qui utilise OpenSSL. Il est fortement recommandé d'utiliser une machine Linux pour créer ce certificat.

Intégration

Étape 1. Configurez la TGA, comme indiqué dans les images.

Certificats internes signés par l'autorité de certification pour l'interface Clean Admin

Étape 1 : génération de la clé privée utilisée pour l’interface d’administration et pour l’interface propre

openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem 

Étape 2. Génération de CSR

Nettoyer l'interface

Étape 1. Accédez à la création CSR et utilisez la clé privée générée.

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

Remarque : Le nom CN doit être entré pour CSR et doit correspondre au nom d'hôte de l'interface Clean définie sous « Network ». Une entrée DNS doit être présente sur le serveur DNS qui résout le nom d'hôte de l'interface Clean. ‌

Interface Admin

Étape 1. Accédez à la création CSR et utilisez la clé privée générée.

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

Remarque : Le nom CN doit être saisi pour CSR et doit correspondre au « nom d'hôte » de l'« interface d'administration » défini sous « Réseau ». Une entrée DNS doit être présente sur le serveur DNS qui résout le nom d'hôte de l'interface propre. ‌

Étape 2. Le CSR doit être signé par l’AC. Téléchargez le certificat au format DER avec l'extension CER.

Étape 3. Convertissez CER en PEM.

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

Nettoyer l'interface CSR et CER vers PEM

Interface d'administration CSR et CER vers PEM

Format approprié du certificat pour FMC

Si vous avez déjà reçu des certificats et qu'ils sont au format CER/CRT et lisibles lorsqu'un éditeur de texte est utilisé, vous pouvez simplement changer l'extension en PEM.

Si le certificat n'est pas lisible, vous devez convertir le format DER en format PEM lisible.

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

PEM

Exemple de format lisible par PEM, comme illustré dans l'image.

DER

Exemple de format lisible par DER, comme illustré dans l'image

Différence entre les certificats créés sous Windows et sous Linux

Une simple comparaison côte à côte des deux certificats l'un à côté de l'autre, vous pouvez utiliser le plug-in Compare dans Notepad ++ a masqué la différence encodée dans la ligne #68. Sur la gauche, vous pouvez voir le certificat créé dans Windows, sur la droite, vous pouvez trouver le certificat généré sur la machine Linux. Celui de gauche a un retour chariot qui rend ce certificat PEM non valide pour FMC. Cependant, vous ne pouvez pas faire la différence dans l'éditeur de texte, à l'exception de cette ligne dans le Bloc-notes ++.

Copiez le certificat PEM nouvellement créé/converti pour l'interface RootCA et CLEAN sur votre machine Linux et supprimez le retour chariot du fichier PEM.

sed -i 's/\r//'  

Exemple, sed -i 's/\r//' OPADMIN.pem.

Vérifiez si le retour chariot est présent.

od -c  

Les certificats qui ont encore un retour chariot sont présentés, comme le montre l'image.

Certificat après avoir exécuté cela sur une machine Linux.

Pour FMC, combinez Root_CA et le certificat no-carry sur une machine Linux à l'aide de la commande suivante.

cat   >  

Par exemple, cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-carry.pem Root-CA.pem > combine.pem.

Ou vous pouvez également ouvrir un nouvel éditeur de texte dans votre machine Linux et combiner les deux certificats Clean avec retour chariot supprimé dans un fichier et l'enregistrer avec l'extension .PEM. Vous devez avoir votre certificat CA en haut et le certificat Clean Interface en bas.

Il doit s'agir de votre certificat que vous téléchargez ultérieurement sur votre FMC pour l'intégrer à l'appliance TG.

Téléchargement de certificat vers l'appliance Secure Malware Analytics et FMC

Télécharger le certificat pour une interface propre

Accédez à Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate, comme indiqué dans l'image.

Télécharger le certificat pour une interface d'administration

Accédez à Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificate, comme indiqué dans l'image.

Télécharger le certificat vers FMC

Afin de télécharger le certificat sur le FMC, accédez à AMP > Dynamic Analysis Connections > Add New Connection, puis remplissez les informations requises.

Name : Tout nom à identifier.

Hôte : Clean-interface FQDN tel que défini lors de la génération du CSR pour clean-interface

Certificat: Le certificat combiné de ROOT_CA et de clean interface_no-transport.

Une fois la nouvelle connexion enregistrée, une fenêtre contextuelle s'affiche, cliquez sur le bouton Yes (Oui).

La page redirige vers l'interface Secure Malware Analytics Clean et l'invite de connexion, comme indiqué dans les images.

Acceptez le CLUF.

Une intégration réussie affiche un périphérique actif, comme illustré dans l'image.

Cliquez sur Retour, revenez à FMC avec une intégration Secure Malware Analytics réussie, comme illustré dans l'image.

Informations connexes

• Guide de configuration de Firepower Management Center, version 6.6
• Assistance et documentation techniques - Cisco Systems