Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit en détail l'intégration de Thread Grid Appliance (TGA) avec Firepower Management Center (FMC).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Dans ce scénario utilisé, vous pouvez voir 2 problèmes et deux codes d'erreur.
L'intégration échoue avec des erreurs :
Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60)
Lorsqu'il s'agit de ce problème, le problème est lié au certificat qui n'est pas téléchargé dans FMC en tant que chaîne complète. Puisque le certificat signé par l'autorité de certification a été utilisé, il faut utiliser l'ensemble de la chaîne de certificats regroupée en un seul fichier PEM. Dans un autre mot, vous commencez par CA racine > Cert intermédiaire (le cas échéant) > Clean Int. Veuillez consulter cet article du guide officiel qui décrit les exigences et la procédure.
S'il existe une chaîne de signature à plusieurs niveaux d'autorités de certification, tous les certificats intermédiaires requis et le certificat racine doivent être contenus dans un fichier unique qui est téléchargé vers le FMC.
Tous les certificats doivent être codés par PEM.
Les nouvelles lignes du fichier doivent être UNIX et non DOS.
Si l'appliance Threat Grid présente un certificat auto-signé, téléchargez le certificat que vous avez téléchargé à partir de cet appareil.
Si l'appliance Threat Grid présente un certificat signé par l'autorité de certification, téléchargez le fichier qui contient la chaîne de signature du certificat.
Erreur de format de certificat non valide
Invalid Certificate format (must be PEM encoded) (code=0)
Erreur de format de certificat, comme illustré dans l'image.
Cette erreur est due à la mauvaise mise en forme du certificat PEM combiné créé sur l'ordinateur Windows qui utilise OpenSSL. Il est fortement recommandé d'utiliser une machine Linux pour créer ce certificat.
Étape 1. Configurez le TGA, comme indiqué dans les images.
Étape 1. Générez la clé privée qui est utilisée à la fois pour l'administration et pour l'interface propre.
openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem
Étape 2. Générer CSR.
Étape 1. Accédez à la création CSR et utilisez la clé privée générée.
openssl req -new -key private-ec-key.pem -out MYCSR.csr
Note: Le nom CN doit être entré pour CSR et doit correspondre au nom d'hôte de l'interface Clean défini sous « Réseau ». Une entrée DNS doit être présente sur le serveur DNS qui résout le nom d'hôte de l'interface Clean.
Étape 1. Accédez à la création CSR et utilisez la clé privée générée.
openssl req -new -key private-ec-key.pem -out MYCSR.csr
Note: Le nom CN doit être entré pour CSR et doit correspondre au nom d’hôte de l’interface d’administration définie sous Réseau. Une entrée DNS doit être présente sur le serveur DNS qui résout le nom d'hôte de l'interface propre.
Étape 2. CSR doit être signé par CA. Téléchargez le certificat au format DER avec l'extension CER.
Étape 3. Convertir CER en PEM.
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem
Si vous avez déjà reçu des certificats et qu'ils sont au format CER/CRT et lisibles lorsqu'un éditeur de texte est utilisé, vous pouvez simplement changer l'extension en PEM.
Si le certificat n'est pas lisible, vous devez convertir le format DER en format PEM lisible.
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem
Exemple de format PEM lisible, comme illustré dans l'image.
Exemple de format DER lisible, comme illustré dans l'image
Une simple comparaison côte à côte des deux certificats à côté de l'autre vous pouvez utiliser le plug-in Comparer dans le Bloc-notes ++ a révélé la différence encodée dans la ligne #68. Sur la gauche, vous pouvez voir le certificat créé dans Windows, sur la droite vous pouvez trouver le certificat généré sur la machine Linux. Celui de gauche a un retour chariot qui rend ce PEM certificat non valide pour FMC. Cependant, vous ne pouvez pas faire la différence dans l'éditeur de texte sauf pour cette ligne du Bloc-notes ++.
Copiez le certificat PEM nouvellement créé/converti pour l'interface RootCA et CLEAN sur votre machine Linux et supprimez le retour chariot du fichier PEM.
sed -i 's/\r//'
Exemple, sed -i 's/\r//' OPADMIN.pem.
Vérifiez si le retour chariot est présent.
od -c
Certificats dont le retour chariot est toujours présenté, comme l'illustre l'image.
Certificat après avoir exécuté cela via une machine Linux.
Pour FMC combiner Root_CA et le certificat no-chariot sur une machine Linux, utilisez la commande suivante.
cat
>
Par exemple, cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-chariot.pem Root-CA.pem > combine.pem.
Vous pouvez également ouvrir un nouvel éditeur de texte dans votre machine Linux et combiner les deux certificats Clean avec retour chariot supprimé dans un fichier et l'enregistrer avec l'extension .PEM. Vous devez avoir votre certificat CA en haut et le certificat Clean Interface en bas.
Il doit s'agir du certificat que vous téléchargez ultérieurement sur votre FMC pour l'intégrer à l'appareil TG.
Naviguez jusqu'à Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate, comme indiqué dans l'image.
Accédez à Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificate, comme indiqué dans l'image.
Afin de télécharger le certificat sur le FMC, accédez à AMP > Connexions d'analyse dynamique > Ajouter une nouvelle connexion, puis renseignez les informations requises.
Name : Tout nom à identifier.
Hôte : Nom de domaine complet (FQDN) de l'interface propre tel que défini lors de la génération du CSR pour l'interface propre
Certificat: Certificat combiné de ROOT_CA et interface_no-chariot propre.
Une fois la nouvelle connexion enregistrée, une fenêtre contextuelle s'affiche, cliquez sur le bouton Oui.
La page est redirigée vers l'interface TG Clean et l'invite de connexion, comme illustré dans les images.
Acceptez le CLUF.
L'intégration réussie affiche un périphérique actif, comme l'illustre l'image.
Cliquez sur Retour, revenez à FMC avec intégration TG réussie, comme illustré dans l'image.