Introduction
Este documento descreve como solucionar problemas e corrigir o erro "Identity certificate import required" em dispositivos Firepower Threat Defense (FTD) gerenciados pelo Firepower Management Center (FMC).
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Public Key Infrastructure (PKI)
- FMC
- FTD
- OpenSSL
Componentes Utilizados
As informações usadas no documento são baseadas nas seguintes versões de software:
- MacOS x 10.14.6
- FMC 6.4
- OpenSSL
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Informações de Apoio
Note: Em dispositivos FTD, o certificado da autoridade de certificação (CA) é necessário antes de a solicitação de assinatura de certificado (CSR) ser gerada.
- Se o CSR for gerado em um servidor externo (como Windows Server ou OpenSSL), o método de inscrição manual deve falhar, pois o FTD não suporta a inscrição manual de chaves. Um método diferente deve ser usado, como PKCS12.
Problema
Um certificado é importado no FMC e um erro é recebido, indicando que um certificado de identidade é necessário para prosseguir com a inscrição do certificado.
Cenário 1
- A inscrição manual está selecionada
- O CSR é gerado externamente (Windows Server, OpenSSL, etc.) e você não tem (ou conhece) as informações da chave privada
- Um certificado CA anterior é usado para preencher as informações do certificado CA, mas não se sabe se este certificado é responsável pelo sinal de certificado
Cenário 2
- A inscrição manual está selecionada
- O CSR é gerado externamente (Windows Server, OpenSSL)
- Você tem o arquivo de certificado da CA que assina nosso CSR
Para ambos os procedimentos, o certificado é carregado e uma indicação de progresso é exibida como mostrado na imagem.

Após alguns segundos, o FMC ainda declara que um certificado de ID é necessário:

O erro anterior indica que o certificado CA não corresponde às informações do emissor no certificado de ID ou que a chave privada não corresponde à gerada por padrão no FTD.
Solução
Para que esta inscrição de certificado funcione, você deve ter as chaves correspondentes para o certificado de ID. Com o uso do OpenSSL, um arquivo PKCS12 é gerado.
Etapa 1. Gerar um CSR (opcional)
Você pode obter um CSR junto com sua chave privada com o uso de uma ferramenta de terceiros chamada gerador CSR (csrgenerator.com).
Depois que as informações do certificado forem preenchidas corretamente, selecione a opção para Gerar CSR.

Isso fornece a CSR + chave privada para enviarmos a uma autoridade de certificação:

Etapa 2. Assine o CSR
O CSR precisa ser assinado por uma CA de terceiros (GoDaddy, DigiCert), uma vez assinado o CSR, é fornecido um arquivo zip, que contém, entre outras coisas:
- Certificado de identidade
- Pacote CA (certificado intermediário + certificado raiz)
Etapa 3. Verificar e separar os certificados
Verifique e separe os arquivos com o uso de um editor de texto (por exemplo, bloco de notas). Crie os arquivos com nomes facilmente identificáveis para a chave privada (key.pem), certificado de identidade (ID.pem), certificado CA (CA.pem).
Para o caso em que o arquivo do pacote CA tem mais de 2 certificados (1 CA raiz, 1 sub CA), a CA raiz precisa ser removida, o emissor do certificado de ID é a sub CA, portanto, não é relevante ter a CA raiz neste cenário.
Conteúdo do arquivo chamado CA.pem:

Conteúdo do arquivo chamado key.pem:

Conteúdo do arquivo chamado ID.pem:

Etapa 4. Mesclar os certificados em um PKCS12
Mesclar o certificado CA com o certificado de ID e a chave privada em um arquivo .pfx. Você deve proteger esse arquivo com uma senha.
openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx

Etapa 5. Importar o certificado PKCS12 no FMC
No FMC, navegue até Device > Certificates e importe o certificado para o firewall desejado:

Verificar
Para verificar o status do certificado juntamente com as informações CA e ID, você pode selecionar os ícones e confirmar se eles foram importados com êxito:

Selecione o ícone ID:
