FMC와의 Threat Grid Appliance 통합 문제 해결
목차
소개
이 문서에서는 FMC(Firepower Management Center)와의 TGA(Thread Grid Appliance) 통합에 대해 자세히 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Firepower 관리 FMC
- Threat Grid Appliance 기본 컨피그레이션
- CA(Certificates of Authority) 생성
- Linux/Unix
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- FMC 버전 6.6.1
- Threat Grid 2.12.2
- CentOS 8
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.
문제
이 활용 사례 시나리오에서는 2개의 문제와 2개의 오류 코드를 확인할 수 있습니다.
시나리오 1
통합에서 오류가 발생했습니다.
Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60) 이 문제와 관련하여 이 문제는 FMC에 전체 체인으로 업로드되지 않은 인증서와 관련이 있습니다.CA 서명 인증서가 사용되었으므로 전체 인증서 체인을 단일 PEM 파일로 결합해야 합니다.또 다른 단어에서 Root CA > Intermediate Cert(해당되는 경우) > Clean Int로 시작합니다.요건 및 절차를 설명하는 공식 가이드에서 이 문서를 참조하십시오.
CA의 다중 레벨 서명 체인이 있는 경우 모든 필수 중간 인증서 및 루트 인증서는 FMC에 업로드되는 단일 파일에 포함되어야 합니다.
모든 인증서는 PEM으로 인코딩되어야 합니다.
파일의 새 줄은 DOS가 아니라 UNIX여야 합니다.
Threat Grid 어플라이언스가 자체 서명 인증서를 나타내는 경우 해당 어플라이언스에서 다운로드한 인증서를 업로드합니다.
Threat Grid 어플라이언스가 CA 서명 인증서를 표시하는 경우 인증서 서명 체인이 포함된 파일을 업로드합니다.
시나리오 2
잘못된 인증서 형식 오류
Invalid Certificate format (must be PEM encoded) (code=0) 이미지에 표시된 것처럼 인증서 형식 오류입니다.
이 오류는 OpenSSL을 사용하는 Windows 컴퓨터에서 생성된 결합된 PEM 인증서의 형식이 잘못되었기 때문입니다.이 인증서를 만들려면 Linux 시스템을 사용하는 것이 좋습니다.
통합
1단계. 이미지에 표시된 대로 TGA를 구성합니다.
정상 관리 인터페이스를 위한 내부 CA 서명 인증서
1단계. admin 및 clean 인터페이스에 모두 사용되는 개인 키를 생성합니다.
openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem 2단계. CSR을 생성합니다.
클린 인터페이스
1단계. CSR 생성으로 이동하여 생성된 개인 키를 사용합니다.
openssl req -new -key private-ec-key.pem -out MYCSR.csr 
관리 인터페이스
1단계. CSR 생성으로 이동하여 생성된 개인 키를 사용합니다.
openssl req -new -key private-ec-key.pem -out MYCSR.csr 
2단계. CSR은 CA에서 서명합니다.CER 확장명을 사용하여 DER 형식으로 인증서를 다운로드합니다.
3단계. CER를 PEM으로 변환합니다.
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 인터페이스 CSR 및 CER에서 PEM으로 정상
관리자 인터페이스 CSR 및 CER-PEM
FMC용 인증서의 올바른 형식
인증서와 함께 제공된 인증서가 CER/CRT 형식이고 텍스트 편집기를 사용할 때 읽을 수 있는 경우 확장명을 PEM으로 변경하면 됩니다.
인증서를 읽을 수 없는 경우 DER 형식을 PEM 읽기 가능 형식으로 변환해야 합니다.
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem PEM
이미지에 표시된 대로 PEM 읽기 가능 형식의 예
DER
이미지에 표시된 대로 DER 읽기 가능 형식의 예
Windows에서 생성한 인증서와 Linux의 차이점
Notepad의 Compare 플러그인 ++를 사용하면 줄 #68에서 인코딩된 차이를 사용할 수 있습니다. 왼쪽에서 Windows에서 만든 인증서를 볼 수 있으며, 오른쪽에는 Linux 컴퓨터에서 생성된 인증서를 찾을 수 있습니다.왼쪽에 있는 캐리지 리턴(carriage return)이 있으므로 해당 인증서 PEM이 FMC에 적합하지 않습니다.그러나 메모장 ++의 한 줄을 제외하고 텍스트 편집기의 차이점은 알 수 없습니다.
RootCA 및 CLEAN 인터페이스에 대해 새로 생성/변환된 PEM 인증서를 Linux 시스템에 복사하고 PEM 파일에서 캐리지 리턴을 제거합니다.
sed -i 's/\r//'
예: sed -i 's/\r//' OPADMIN.pem.
캐리지 리턴이 있는지 확인합니다.
od -c
이미지에 표시된 대로 여전히 캐리지 리턴이 표시된 인증서.
Linux 시스템을 통해 실행한 인증서
FMC에서 Root_CA와 Linux 시스템의 no-carriage 인증서를 결합하려면 다음 명령을 사용합니다.
cat
>
예: cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-carriage.pem Root-CA.pem > combine.pem.
또는 Linux 시스템에서 새 텍스트 편집기를 열고 캐리지 리턴이 제거된 Clean 인증서와 캐리지 리턴을 하나의 파일로 결합하고 .PEM 확장명을 사용하여 저장할 수도 있습니다.CA 인증서가 맨 위에 있고 Clean Interface 인증서는 맨 아래에 있어야 합니다.
이 인증서는 나중에 TG 어플라이언스와 통합하기 위해 FMC에 업로드하는 인증서여야 합니다.
TG 어플라이언스 및 FMC에 인증서 업로드
정상 인터페이스에 대한 인증서 업로드
이미지에 표시된 대로 Configuration(구성) > SSL > PANDEM - Actions(작업) Upload New Certificate(새 인증서 업로드) > Add Certificate(인증서 추가)로 이동합니다.
관리자 인터페이스에 대한 인증서 업로드
이미지에 표시된 대로 Configuration(구성) > SSL > OPADMIN - Actions(작업) Upload New Certificate(새 인증서 업로드) > Add Certificate(인증서 추가)로 이동합니다.
FMC에 인증서 업로드
FMC에 인증서를 업로드하려면 AMP > Dynamic Analysis Connections > Add New Connection으로 이동한 다음 필요한 정보를 입력합니다.
이름:식별할 이름
호스트:정상 인터페이스에 대한 CSR이 생성될 때 정의된 정상 인터페이스 FQDN
인증서:ROOT_CA 및 clean interface_no-carriage의 통합 인증서
New Connection(새 연결)이 등록되면 팝업 창이 나타나면 Yes(예) 버튼을 클릭합니다.
이 페이지는 이미지에 표시된 대로 TG Clean 인터페이스 및 로그인 프롬프트로 리디렉션됩니다.
EULA를 수락합니다.
성공적인 통합은 이미지에 표시된 대로 활성 디바이스를 표시합니다.
이미지에 표시된 대로 Return(돌아가기)을 클릭하고 TG 통합이 성공한 FMC로 돌아갑니다.
피드백