Dépannage de l'intégration de Threat Grid Appliance avec FMC

Options de téléchargement

  • PDF     (4.9 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (5.1 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (2.9 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 avril 2021
ID du document:217064

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit en détail l'intégration de Thread Grid Appliance (TGA) avec Firepower Management Center (FMC).

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Firepower Management FMC
    • Configuration de base de l'appliance Threat Grid
    • Créer des certificats d'autorité (CA)
    • Linux/Unix

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • FMC version 6.6.1
    • Threat Grid 2.12.2
    • CentOS 8

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Problème

    Dans ce scénario utilisé, vous pouvez voir 2 problèmes et deux codes d'erreur.

    Scénario 1

     L'intégration échoue avec des erreurs :

    Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60)

    Lorsqu'il s'agit de ce problème, le problème est lié au certificat qui n'est pas téléchargé dans FMC en tant que chaîne complète. Puisque le certificat signé par l'autorité de certification a été utilisé, il faut utiliser l'ensemble de la chaîne de certificats regroupée en un seul fichier PEM. Dans un autre mot, vous commencez par CA racine > Cert intermédiaire (le cas échéant) > Clean Int. Veuillez consulter cet article du guide officiel qui décrit les exigences et la procédure.

    S'il existe une chaîne de signature à plusieurs niveaux d'autorités de certification, tous les certificats intermédiaires requis et le certificat racine doivent être contenus dans un fichier unique qui est téléchargé vers le FMC.

    Tous les certificats doivent être codés par PEM.

    Les nouvelles lignes du fichier doivent être UNIX et non DOS.

    Si l'appliance Threat Grid présente un certificat auto-signé, téléchargez le certificat que vous avez téléchargé à partir de cet appareil.

    Si l'appliance Threat Grid présente un certificat signé par l'autorité de certification, téléchargez le fichier qui contient la chaîne de signature du certificat.

    Scénario 2

    Erreur de format de certificat non valide

    Invalid Certificate format (must be PEM encoded) (code=0)

    Erreur de format de certificat, comme illustré dans l'image.

    Cette erreur est due à la mauvaise mise en forme du certificat PEM combiné créé sur l'ordinateur Windows qui utilise OpenSSL. Il est fortement recommandé d'utiliser une machine Linux pour créer ce certificat.

    Intégration

    Étape 1. Configurez le TGA, comme indiqué dans les images.

    Certificats signés par l'autorité de certification interne pour l'interface Clean Admin

    Étape 1. Générez la clé privée qui est utilisée à la fois pour l'administration et pour l'interface propre.

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    Étape 2. Générer CSR.

    Nettoyer l'interface

    Étape 1. Accédez à la création CSR et utilisez la clé privée générée.

    openssl req -new -key private-ec-key.pem -out MYCSR.csr

    Note: Le nom CN doit être entré pour CSR et doit correspondre au nom d'hôte de l'interface Clean défini sous « Réseau ». Une entrée DNS doit être présente sur le serveur DNS qui résout le nom d'hôte de l'interface Clean. ‌

    Interface Admin

    Étape 1. Accédez à la création CSR et utilisez la clé privée générée.

    openssl req -new -key private-ec-key.pem -out MYCSR.csr

    Note: Le nom CN doit être entré pour CSR et doit correspondre au nom d’hôte de l’interface d’administration définie sous Réseau. Une entrée DNS doit être présente sur le serveur DNS qui résout le nom d'hôte de l'interface propre. ‌

    Étape 2. CSR doit être signé par CA. Téléchargez le certificat au format DER avec l'extension CER.

    Étape 3. Convertir CER en PEM.

    openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

    Nettoyer l'interface CSR et CER vers PEM

    Interface administrateur CSR et CER vers PEM

    Format approprié du certificat pour FMC

    Si vous avez déjà reçu des certificats et qu'ils sont au format CER/CRT et lisibles lorsqu'un éditeur de texte est utilisé, vous pouvez simplement changer l'extension en PEM.

    Si le certificat n'est pas lisible, vous devez convertir le format DER en format PEM lisible.

    openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

    PEM

    Exemple de format PEM lisible, comme illustré dans l'image.

    SOUS

    Exemple de format DER lisible, comme illustré dans l'image

    Différence entre le certificat créé sous Windows et le certificat créé sous Linux

    Une simple comparaison côte à côte des deux certificats à côté de l'autre vous pouvez utiliser le plug-in Comparer dans le Bloc-notes ++ a révélé la différence encodée dans la ligne #68. Sur la gauche, vous pouvez voir le certificat créé dans Windows, sur la droite vous pouvez trouver le certificat généré sur la machine Linux. Celui de gauche a un retour chariot qui rend ce PEM certificat non valide pour FMC. Cependant, vous ne pouvez pas faire la différence dans l'éditeur de texte sauf pour cette ligne du Bloc-notes ++.

    Copiez le certificat PEM nouvellement créé/converti pour l'interface RootCA et CLEAN sur votre machine Linux et supprimez le retour chariot du fichier PEM.

    sed -i 's/\r//'

    Exemple, sed -i 's/\r//' OPADMIN.pem.

    Vérifiez si le retour chariot est présent.

    od -c

    Certificats dont le retour chariot est toujours présenté, comme l'illustre l'image.

    Certificat après avoir exécuté cela via une machine Linux.

    Pour FMC combiner Root_CA et le certificat no-chariot sur une machine Linux, utilisez la commande suivante.

    cat 
     
      
      
        >

    Par exemple, cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-chariot.pem Root-CA.pem > combine.pem.

    Vous pouvez également ouvrir un nouvel éditeur de texte dans votre machine Linux et combiner les deux certificats Clean avec retour chariot supprimé dans un fichier et l'enregistrer avec l'extension .PEM. Vous devez avoir votre certificat CA en haut et le certificat Clean Interface en bas.

    Il doit s'agir du certificat que vous téléchargez ultérieurement sur votre FMC pour l'intégrer à l'appareil TG.

    Chargement de certificat sur l'appliance TG et FMC

    Télécharger le certificat pour une interface propre

    Naviguez jusqu'à Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate, comme indiqué dans l'image.

    Télécharger le certificat pour une interface d'administration

    Accédez à Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificate, comme indiqué dans l'image.

    Télécharger le certificat vers FMC

    Afin de télécharger le certificat sur le FMC, accédez à AMP > Connexions d'analyse dynamique > Ajouter une nouvelle connexion, puis renseignez les informations requises.

    Name : Tout nom à identifier.

    Hôte : Nom de domaine complet (FQDN) de l'interface propre tel que défini lors de la génération du CSR pour l'interface propre

    Certificat: Certificat combiné de ROOT_CA et interface_no-chariot propre.

    Une fois la nouvelle connexion enregistrée, une fenêtre contextuelle s'affiche, cliquez sur le bouton Oui.

    La page est redirigée vers l'interface TG Clean et l'invite de connexion, comme illustré dans les images.

    Acceptez le CLUF.

    L'intégration réussie affiche un périphérique actif, comme l'illustre l'image.

    Cliquez sur Retour, revenez à FMC avec intégration TG réussie, comme illustré dans l'image.

    Informations connexes

    TAC Authored

    Contribution d’experts de Cisco

    • Roman Valenta
      Cisco TAC Engineer
    • Nitin Shettigar
      Cisco Engineer
    • Edited by Yeraldin Sanchez
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits