FMC와의 Secure Malware Analytics Appliance 통합 문제 해결

다운로드 옵션

PDF (5.1 MB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (5.1 MB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (3.1 MB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2021년 4월 26일

문서 ID:217064

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 FMC(Firepower Management Center)와의 Secure Malware Analytics 통합에 대해 자세히 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

Firepower 관리 FMC
Secure Malware Appliance 기본 컨피그레이션
CA(Certificates of Authority) 생성
Linux/Unix

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

FMC 버전 6.6.1
Threat Grid 2.12.2
CentOS 8

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

문제

이 활용 사례 시나리오에서는 2개의 문제와 2개의 오류 코드를 볼 수 있습니다.

시나리오 1

통합이 실패하고 오류가 발생합니다.

Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60)

이 문제는 완전한 체인으로서 FMC에 업로드되지 않은 인증서와 관련이 있습니다. CA 서명 인증서가 사용되었으므로 단일 PEM 파일로 결합된 전체 인증서 체인을 사용해야 합니다. 다른 단어에서 Root CA(루트 CA) > Intermediate Cert(해당되는 경우) > Clean Int로 시작합니다. 요구 사항과 절차를 설명하는 공식 가이드에서 이 문서를 참조하시기 바랍니다.

CA의 다중 레벨 서명 체인이 있는 경우 모든 필수 중간 인증서 및 루트 인증서가 FMC에 업로드되는 단일 파일에 포함되어야 합니다.

- 모든 인증서는 PEM으로 인코딩되어야 합니다.

- 파일의 새 줄은 DOS가 아니라 UNIX여야 합니다.

- Threat Grid 어플라이언스에서 자체 서명 인증서를 제시하는 경우, 해당 어플라이언스에서 다운로드한 인증서를 업로드합니다.

- Threat Grid 어플라이언스에서 CA 서명 인증서를 제시하는 경우 인증서 서명 체인이 포함된 파일을 업로드합니다.

주의: Secure Malware Appliance 자체 서명 인증서를 다시 생성한 경우, SSL 핸드셰이크 중에 Secure Malware Appliance가 업데이트된 인증서를 보낸 후에만 어플라이언스를 다시 구성해야 합니다.

시나리오 2

유효하지 않은 인증서 형식 오류

Invalid Certificate format (must be PEM encoded) (code=0)

이미지에 표시된 인증서 형식 오류입니다.

alt-tag-for-image

이 오류는 OpenSSL을 사용하는 Windows 컴퓨터에서 만든 통합 PEM 인증서의 형식이 잘못되었기 때문입니다. Linux 시스템을 사용하여 이 인증서를 만드는 것이 좋습니다.

통합

1단계. 그림과 같이 TGA를 구성합니다.

alt-tag-for-image

Clean Admin 인터페이스용 내부 CA 서명 인증서

1단계. admin 및 clean 인터페이스에 모두 사용되는 개인 키를 생성합니다.

openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

2단계. CSR 생성

깨끗한 인터페이스

1단계. CSR 생성으로 이동하고 생성된 개인 키를 사용합니다.

openssl req -new -key private-ec-key.pem -out MYCSR.csr

참고: CSR에 대해 CN 이름을 입력해야 하며 'Network'(네트워크) 아래에 정의된 Clean(정상) 인터페이스의 호스트 이름과 일치해야 합니다. DNS 항목은 Clean 인터페이스 호스트 이름을 확인하는 DNS 서버에 있어야 합니다. ‌

alt-tag-for-image

관리 인터페이스

1단계. CSR 생성으로 이동하고 생성된 개인 키를 사용합니다.

openssl req -new -key private-ec-key.pem -out MYCSR.csr

참고: CSR에 대한 CN 이름을 입력해야 하며 'Network'(네트워크) 아래에 정의된 'admin interface'(관리자 인터페이스)의 'hostname'(호스트 이름)과 일치해야 합니다. 정상 인터페이스 호스트 이름을 확인하는 DNS 서버에 DNS 항목이 있어야 합니다. ‌

alt-tag-for-image

2단계. CSR은 CA에서 서명합니다. CER 내선 번호가 있는 DER 형식의 인증서를 다운로드합니다.

3단계. CER을 PEM으로 변환합니다.

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

CSR 및 CER에서 PEM으로 정상 인터페이스

alt-tag-for-image

관리 인터페이스 CSR 및 CER - PEM

alt-tag-for-image

FMC용 인증서의 올바른 형식

이미 인증서를 제공받았으며 CER/CRT 형식이고 텍스트 편집기를 사용할 때 읽을 수 있는 경우 간단하게 확장을 PEM으로 변경할 수 있습니다.

인증서를 읽을 수 없는 경우 DER 형식을 PEM 읽을 수 있는 형식으로 변환해야 합니다.

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

PEM

이미지에 표시된 PEM 읽기 가능 형식의 예.

alt-tag-for-image

데르

이미지에 표시된 대로 DER 읽기 가능한 형식의 예

alt-tag-for-image

Windows와 Linux에서 만든 인증서의 차이점

두 인증서를 나란히 비교하는 간단한 방법은 메모장에서 비교 플러그인을 사용하여 라인 #68에서 인코딩된 차이를 ++ 수 있습니다. 왼쪽에는 Windows에서 만든 인증서가 표시되고 오른쪽에는 Linux 시스템에서 생성된 인증서가 표시됩니다. 왼쪽에 있는 인증서는 캐리지 리턴이 있으므로 FMC에 대해 해당 인증서 PEM이 유효하지 않습니다. 그러나 메모장의 한 줄 외에는 텍스트 편집기에서 차이를 구별할 수 ++.

alt-tag-for-image