FMCとのThreat Gridアプライアンス統合のトラブルシューティング
内容
概要
このドキュメントでは、Firepower Management Center(FMC)とのスレッドグリッドアプライアンス(TGA)統合について詳しく説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Firepower Management FMC
- Threat Gridアプライアンスの基本設定
- 認証局(CA)の作成
- Linux/Unix
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- FMCバージョン6.6.1
- Threat Grid 2.12.2
- CentOS 8
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
問題
この使用例では、2つの問題と2つのエラーコードを確認できます。
シナリオ 1
次のエラーで統合が失敗します。
Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60) この問題が発生すると、問題は完全なチェーンとしてFMCにアップロードされていない証明書に関連しています。CA署名付き証明書が使用されているため、1つのPEMファイルに結合された証明書チェーン全体を使用する必要があります。別の言葉では、[Root CA] > [Intermediate Cert (if applicable)] > [Clean Int]から始めます。要件と手順については、公式ガイドのこの記事を参照してください。
CAのマルチレベル署名チェーンがある場合、必要なすべての中間証明書とルート証明書は、FMCにアップロードされる1つのファイルに含まれている必要があります。
すべての証明書はPEMエンコードされている必要があります。
ファイルの新しい行は、DOSではなくUNIXでなければなりません。
Threat Gridアプライアンスが自己署名証明書を提示する場合は、そのアプライアンスからダウンロードした証明書をアップロードします。
Threat GridアプライアンスがCA署名付き証明書を提示する場合は、証明書署名チェーンを含むファイルをアップロードします。
シナリオ 2
無効な証明書形式エラー
Invalid Certificate format (must be PEM encoded) (code=0) 図に示すように、証明書形式エラー。
このエラーは、OpenSSLを使用するWindowsマシンで作成された結合PEM証明書の形式が正しくないことが原因です。この証明書を作成するには、Linuxマシンを使用することを強く推奨します。
統合
ステップ1:図に示すようにTGAを設定します。
Clean Adminインターフェイスの内部CA署名付き証明書
ステップ1:管理インターフェイスとクリーンインターフェイスの両方に使用される秘密キーを生成します。
openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem ステップ2:CSRを生成します。
クリーンなインターフェイス
ステップ1:CSRの作成に移動し、生成された秘密キーを使用します。
openssl req -new -key private-ec-key.pem -out MYCSR.csr 
管理インターフェイス
ステップ1:CSRの作成に移動し、生成された秘密キーを使用します。
openssl req -new -key private-ec-key.pem -out MYCSR.csr 
ステップ2:CSRはCAによって署名されます。CER拡張子を持つDER形式の証明書をダウンロードします。
ステップ3:CERをPEMに変換します。
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem インターフェイスCSRおよびCERをPEMにクリーン
管理インターフェイスCSRおよびCERからPEM
FMCの証明書の適切な形式
証明書がすでに提供されており、CER/CRT形式でテキストエディタを使用するときに読み取り可能な場合は、単に拡張子をPEMに変更するだけです。
証明書が読み取り可能でない場合は、DER形式をPEM読み取り可能な形式に変換する必要があります。
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem PEM
図に示すように、PEM読み取り可能な形式の例。
DER
図に示すように、DER読み取り可能な形式の例
Windowsで作成された証明書とLinuxで作成された証明書の違い
両方の証明書を横に並べて比較する簡単な方法で、メモ帳++のCompareプラグインを使用すると、エンコードされた違いを#68行で表すことができます。左側のWindowsで作成された証明書は、Linuxマシンで生成されます。左側のキャリッジリターンにより、証明書PEMがFMCに対して無効になります。ただし、メモ帳++では、テキストエディタの違いを示す行は1行です。
RootCAおよびCLEANインターフェイス用に新しく作成/変換されたPEM証明書をLinuxマシンにコピーし、PEMファイルからキャリッジリターンを削除します。
sed -i 's/\r//'
sed -i 's/\r/' OPADMIN.pemの例。
キャリッジリターンが存在するかどうかを確認します。
od -c
図に示すように、キャリッジリターンが表示されている証明書。
Linuxマシンを使用して証明書を実行した後の証明書。
FMCでは、Root_CAとLinuxマシン上のキャリッジなしの証明書を組み合わせて、次のコマンドを使用します。
cat
>
例:cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-carriage.pem Root-CA.pem > combine.pem
または、Linuxマシンで新しいテキストエディタを開き、Clean証明書とキャリッジリターンの両方を1つのファイルに結合し、それを.PEM拡張子で保存することもできます。CA証明書を上に、クリーンインターフェイス証明書を下に配置する必要があります。
これは、TGアプライアンスと統合するために後でFMCにアップロードする証明書である必要があります。
TGアプライアンスおよびFMCへの証明書のアップロード
クリーンインターフェイスの証明書のアップロード
図に示すように、[Configuration] > [SSL] > [PANDEM - Actions] [Upload New Certificate] > [Add Certificate]に移動します。
管理インターフェイスの証明書のアップロード
図に示すように、[Configuration] > [SSL] > [OPADMIN - Actions] [Upload New Certificate] > [Add Certificate]に移動します。
FMCへの証明書のアップロード
証明書をFMCにアップロードするには、[AMP] > [Dynamic Analysis Connections] > [Add New Connection]に移動し、必要な情報を入力します。
[Name]:識別する任意の名前。
Host:クリーンインターフェイスのCSRが生成される際に定義されるClean-interface FQDN
証明書:ROOT_CAとclean interface_no-carriageの組み合わせ証明書。
新しい接続が登録されると、ポップアップが表示され、[はい]ボタンをクリックします。
図に示すように、ページがTG Cleanインターフェイスおよびログインプロンプトにリダイレクトされます。
EULAに同意します。
正常に統合されると、図に示すように、アクティブなデバイスが表示されます。
図に示すように、[Return]をクリックして、TG統合が正常に完了した状態でFMCに戻ります。
フィードバック