Risoluzione dei problemi relativi all'integrazione di Secure Malware Analytics Appliance con FMC

Introduzione

In questo documento viene descritta in dettaglio l'integrazione di Secure Malware Analytics con Firepower Management Center (FMC).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• FMC di Firepower Management
• Configurazione di base di Secure Malware Appliance
• Crea certificati di autorità (CA)
• Linux/Unix

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• FMC versione 6.6.1
• Threat Grid 2.12.2
• CentOS 8

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Problema

In questo scenario di utilizzo, è possibile visualizzare 2 problemi e due codici di errore.

Scenario 1

 L'integrazione non riesce con errori:

Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60) 

Quando si tratta di questo problema, il problema è relativo al certificato che non viene caricato in FMC come catena completa. Poiché è stato utilizzato il certificato firmato dalla CA, è necessario utilizzare l'intera catena di certificati combinata in un singolo file PEM. In un'altra parola si inizia con CA radice > Certificato intermedio (se applicabile) > Pulisci int. Fare riferimento a questo articolo dalla guida ufficiale che descrive i requisiti e la procedura.

Se è presente una catena di firme a più livelli di CA, tutti i certificati intermedi richiesti e il certificato radice devono essere contenuti in un unico file caricato nel CCP.

- Tutti i certificati devono essere codificati PEM.

- Le nuove righe del file devono essere UNIX, non DOS.

Attenzione: Se il certificato autofirmato dell'accessorio Secure Malware è stato rigenerato, verificare di aver riconfigurato l'accessorio poiché il certificato aggiornato verrà inviato durante l'handshake SSL.

Scenario 2

Errore nel formato del certificato non valido

Invalid Certificate format (must be PEM encoded) (code=0) 

Errore nel formato del certificato, come illustrato nell'immagine.

Questo errore è dovuto alla formattazione errata del certificato PEM combinato creato nel computer Windows che utilizza OpenSSL. Si consiglia di utilizzare un computer Linux per creare questo certificato.

Integrazione

Passaggio 1. Configurare la TGA, come mostrato nelle immagini.

Certificati interni firmati dall'autorità di certificazione per l'interfaccia Clean Admin

Passaggio 1. Generare la chiave privata utilizzata per l'interfaccia admin e clean.

openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem 

Passaggio 2. Generare CSR.

Interfaccia pulita

Passaggio 1. Passare alla creazione di CSR e utilizzare la chiave privata generata.

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

Nota: Il nome CN deve essere immesso per CSR e deve corrispondere al nome host dell'interfaccia pulita definita in "Rete". Sul server DNS deve essere presente una voce DNS che risolve il nome host dell'interfaccia pulita. ‌

Interfaccia di amministrazione

Passaggio 1. Passare alla creazione di CSR e utilizzare la chiave privata generata.

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

Nota: Il nome della NC deve essere immesso per CSR e deve corrispondere al "nome host" dell’"interfaccia di amministrazione" definita in "Rete". Sul server DNS deve essere presente una voce DNS che risolve il nome host dell'interfaccia pulita. ‌

Passaggio 2. La RSI deve essere firmata dall'autorità di certificazione. Scaricare il certificato in formato DER con estensione CER.

Passaggio 3. Convertire CER in PEM.

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

Interfaccia pulita CSR e CER per PEM

Interfaccia di amministrazione CSR e CER per PEM

Formato corretto del certificato per CCP

Se sono già stati forniti certificati in formato CER/CRT e sono leggibili quando si utilizza un editor di testo, è sufficiente modificare l'estensione in PEM.

Se il certificato non è leggibile, è necessario convertire il formato DER in formato leggibile PEM.

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

PEM

Esempio di formato leggibile PEM, come illustrato nell'immagine.

DER

Esempio di formato leggibile DER, come mostrato nell'immagine

Differenza tra i certificati creati in Windows e Linux

Per un semplice confronto affiancato di entrambi i certificati, è possibile utilizzare il plug-in Compare in Blocco note ++. La differenza codificata nella riga 68 è stata superata. A sinistra è possibile visualizzare il certificato creato in Windows, mentre a destra è possibile trovare il certificato generato nel computer Linux. Quello a sinistra presenta un ritorno a capo che rende il certificato PEM non valido per FMC. Tuttavia, non è possibile individuare la differenza nell'editor di testo, ad eccezione di quella riga in Blocco note ++.

Copiare il certificato PEM appena creato/convertito per l'interfaccia RootCA e CLEAN sul computer Linux e rimuovere il ritorno a capo dal file PEM.

sed -i 's/\r//'  

Ad esempio, utilizzare -i 's/\r//' OPADMIN.pem.

Verificare se il ritorno a capo è presente.

od -c  

Sono ancora presentati i certificati con ritorno a capo, come illustrato nell'immagine.

Certificato dopo l'esecuzione tramite un computer Linux.

Per FMC combinare Root_CA e il certificato di non trasporto su un computer Linux utilizzare il comando successivo.

cat   >  

Ad esempio, cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-transport.pem Root-CA.pem > configure.pem.

In alternativa, è possibile aprire un nuovo editor di testo nel computer Linux e combinare entrambi i certificati Pulisci con ritorno a capo rimosso in un unico file e salvarlo con l'estensione PEM. È necessario che il certificato CA sia in primo piano e il certificato Interfaccia pulita in basso.

Deve trattarsi del certificato che verrà successivamente caricato nel FMC per l'integrazione con l'accessorio TG.

Caricamento certificato su appliance Secure Malware Analytics e FMC

Carica certificato per interfaccia pulita

Passare a Configurazione > SSL > PANDEM - Azioni Carica nuovo certificato > Aggiungi certificato, come mostrato nell'immagine.

Carica certificato per interfaccia di amministrazione

Passare a Configurazione > SSL > OPADMIN - Azioni Carica nuovo certificato > Aggiungi certificato, come mostrato nell'immagine.

Carica certificato in FMC

Per caricare il certificato nel FMC, selezionare AMP > Connessioni ad analisi dinamica > Aggiungi nuova connessione, quindi immettere le informazioni richieste.

Nome: Qualsiasi nome da identificare.

Host: FQDN interfaccia pulita definito quando viene generato il CSR per l'interfaccia pulita

Certificato: Il certificato combinato di ROOT_CA e clean interface_no-transport.

Una volta registrata la Nuova connessione, viene visualizzato un popup, fare clic sul pulsante Sì.

La pagina viene reindirizzata all'interfaccia Secure Malware Analytics Clean e al prompt di accesso, come mostrato nelle immagini.

Accettare il Contratto.

Se l'integrazione riesce, viene visualizzato un dispositivo attivo, come mostrato nell'immagine.

Fare clic su Torna, torna a FMC con l'integrazione Secure Malware Analytics riuscita, come mostrato nell'immagine.

Informazioni correlate

• Guida alla configurazione di Firepower Management Center, versione 6.6
• Documentazione e supporto tecnico – Cisco Systems