Probleemoplossing Certificaatfout "CA-certificaat" niet configureren; op FMC

Downloadopties

  • PDF     (1.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (822.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 juni 2023
Document-id:215855

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u problemen kunt oplossen en de importfout van de certificaatinstantie (CA) kunt verhelpen op Firepower Threat Defence devices die door FMC worden beheerd.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Public Key Infrastructure (PKI)
    • Firepower Management Center (FMC)
    • Firepower Threat Defense (FTD)
    • OpenSSL

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • MacOS x 10.14.6
    • VCC 6.4
    • OpenSSL

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Achtergrondinformatie

    Opmerking: op FTD-apparaten is het CA-certificaat nodig voordat het Certificate Signing Verzoek (CSR) wordt gegenereerd.

    • Als de CSR wordt gegenereerd in een externe server (zoals Windows Server of OpenSSL), is de handmatige inschrijvingsmethode bedoeld te mislukken, aangezien FTD handmatige toeteninschrijving niet ondersteunt. Er moet een andere methode worden gebruikt, zoals PKCS12.

    Probleem

    In dit specifieke scenario toont het VCC een rood kruis in de CA-certificaatstatus (zoals weergegeven in de afbeelding), waarin staat dat de inschrijving van het certificaat het CA-certificaat niet heeft geïnstalleerd. Deze fout wordt vaak gezien wanneer het certificaat niet goed is verpakt of het PKCS12-bestand niet het juiste emittentencertificaat bevat zoals in de afbeelding.

    FMC Display

    Opmerking: In nieuwere FMC versies is dit probleem aangepakt om het ASA gedrag dat een extra trustpoint creëert met de wortel CA opgenomen in de vertrouwensketen van de .pfx cert.

    Oplossing

    Stap 1. Zoek het .pfx certificaat

    Ontvang het pfx-certificaat dat in de FMC GUI was ingeschreven, sla het op en zoek het bestand in de Mac Terminal (CLI).

    Locate the .pfx Certificatels

    Stap 2. De certificaten en de sleutel uit het .pfx bestand halen

    Haal het clientcertificaat (niet CA-certificaten) uit het pfx-bestand (het wachtwoord dat is gebruikt om het .pfx-bestand te genereren is vereist).

    openssl pkcs12 -in cert.pfx -clcerts -nokeys -out id.pem

    Identity Exportidentiteits-export

    Haal de CA-certificaten uit (geen client-certificaten).

    openssl pkcs12 -in cert.pfx -cacerts -nokeys -out certs.pem
    Cacerts Exportcacerts exporteren

    Haal de privé-toets uit het pfx-bestand (hetzelfde wachtwoord is vereist in stap 2).

    openssl pkcs12 -in cert.pfx -nocerts -out key.pem

    Key Exportbelangrijk exportproduct

    Er bestaan nu vier bestanden: cert.pfx (de oorspronkelijke pfx-bundel), certs.pem (de CA-certificaten), id.pem (clientcertificaat) en key.pem (de privé-sleutel).

    ls after ExportLS na uitvoer

    Stap 3. Controleer de certificaten in een Teksteditor

    Controleer de certificaten met behulp van een teksteditor (bijvoorbeeld nano certs.pem).

    Voor dit specifieke scenario bevatte certs.pem alleen de sub-CA (uitvaardigende CA).

    Vanaf stap 5, dit artikel richt zich op de procedure voor het scenario waar het bestand certs.pem 2 certificaten bevat (een root CA en een sub CA).

    Certs Viewcerts view

    Stap 4. Verifieer de privé-sleutel in een Kladblok

    Controleer de inhoud van het key.pem-bestand met behulp van een teksteditor (bijvoorbeeld nano certs.pem).

    Verify Contents of key.perm File

    Stap 5. De CA Certs splitsen

    Indien het certs.pem-bestand 2 certificaten heeft (1 root CA en 1 sub CA), moet de root CA uit de vertrouwensketen worden verwijderd om het door de pfx opgemaakte certificaat in het VCC te kunnen importeren, waarbij alleen de sub-CA in de keten voor valideringsdoeleinden overblijft.

    Splitst de certs.pem in meerdere bestanden, de volgende opdracht geeft de certs een nieuwe naam als cacert-XX.

    split -p "-----BEGIN CERTIFICATE-----" certs.pem cacert-

    Splitsplijtenls after Splitls na splitsing

    Voeg de extensie .pem toe aan deze nieuwe bestanden met de opdracht die hieronder wordt beschreven.

    for i in cacert-*;do mv "$i" "$i.pem";done

    Rename Scriptscript hernoemen

    Bekijk de twee nieuwe bestanden en bepaal welke de root CA bevat en welke de sub CA bevat met de beschreven opdrachten.

    Zoek eerst de uitgever van het id.pem-bestand (het identiteitsbewijs).

    openssl x509 -in id.pem -issuer -noout

    Issuer Viewemittentenweergave

    Nu, vind het onderwerp van de twee cacert- bestanden (CA-certificaten).

    openssl x509 -in cacert-aa.pem -subject -noout
    openssl x509 -in cacert-ab.pem -subject -noout

    Subject Checkproefonderwerpregel

    Het cacert-bestand dat het onderwerp aanpast met de uitgever van het id.pem-bestand (zoals getoond in de vorige afbeeldingen), is de sub-CA die later wordt gebruikt om de PFX-cert te maken.

    Verwijdert het cacert-bestand zonder het bijbehorende onderwerp. In dit geval was dat cert cacert-aa.pem.

    rm -f cacert-aa.pem

    Stap 6. De certificaten samenvoegen in een PKCS12-bestand

    Voeg het sub CA certificaat (in dit geval was de naam cacert-ab.pem) samen met het ID certificaat (id.pem) en privé sleutel (key.pem) in een nieuw pfx bestand. U moet dit bestand met een wachtwoord beveiligen. Indien nodig wijzigt u de bestandsnaam cacert-ab.pem in overeenstemming met uw bestand.

    openssl pkcs12 -export -in id.pem -certfile cacert-ab.pem -inkey key.pem -out new-cert.pfx
    pfx-creationPDF-bestanden maken

    Stap 7. Het PKCS12-bestand in het VCC importeren

    Navigeer in het VCC naar Apparaat > Certificaten en voer het certificaat in naar de gewenste firewall zoals aangegeven in de afbeelding.

    Cert Enrollmentinschrijving voor cert

    Typ een naam voor de nieuwe cert.

    EnrollmentInschrijving

    Voeg het nieuwe certificaat toe en wacht op het inschrijvingsproces om de nieuwe cert te implementeren in het FTD.

    new-certnieuwkomer

    Het nieuwe certificaat moet zichtbaar zijn zonder een rood kruis in het veld CA.

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    In Windows, kunt u een probleem tegenkomen waar het OS de gehele keten voor het certificaat toont alhoewel het .pfx bestand alleen het ID-certificaat bevat, in het geval dat het de subCA, CA-keten in zijn winkel heeft.

    Om de lijst van de certificaten in een .pfx bestand te controleren, kunnen tools zoals certutil of openssl worden gebruikt.

    certutil -dump cert.pfx

    De certutil is een opdrachtregel hulpprogramma dat de lijst van certificaten in een .pfx bestand biedt. U moet de hele keten met ID, SubCA, CA (indien aanwezig) zien.

    U kunt ook een openssl-opdracht gebruiken, zoals in de opdracht hieronder wordt getoond.

    openssl pkcs12 -info -in cert.pfx

    Om de certificaatstatus en de CA- en ID-informatie te controleren, kunt u de pictogrammen selecteren en bevestigen dat de invoer is geslaagd:

    Insert a Name for the New Cert

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    12-Jun-2023
    Introduceerde een manier om de pem-geformatteerde certs te splitsen, de details van de x509 cert te verifiëren met openssl-opdrachten in plaats van tekstredacteuren. Indeling updates.
    1.0
    24-Jul-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Hugo Olguin
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco