Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Identificação e solução de problemas de erro de certificado "Importação de certificado de identidade necessária" no FMC

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:29 de Julho de 2020
ID do documento:215856

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como solucionar problemas e corrigir o erro "Identity certificate import required" em dispositivos Firepower Threat Defense (FTD) gerenciados pelo Firepower Management Center (FMC).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Public Key Infrastructure (PKI)
    • FMC
    • FTD
    • OpenSSL

    Componentes Utilizados

    As informações usadas no documento são baseadas nas seguintes versões de software:

    • MacOS x 10.14.6
    • FMC 6.4
    • OpenSSL

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Informações de Apoio

    Note: Em dispositivos FTD, o certificado da autoridade de certificação (CA) é necessário antes de a solicitação de assinatura de certificado (CSR) ser gerada.

    • Se o CSR for gerado em um servidor externo (como Windows Server ou OpenSSL), o método de inscrição manual deve falhar, pois o FTD não suporta a inscrição manual de chaves. Um método diferente deve ser usado, como PKCS12.

    Problema

    Um certificado é importado no FMC e um erro é recebido, indicando que um certificado de identidade é necessário para prosseguir com a inscrição do certificado.

    Cenário 1

    • A inscrição manual está selecionada
    • O CSR é gerado externamente (Windows Server, OpenSSL, etc.) e você não tem (ou conhece) as informações da chave privada
    • Um certificado CA anterior é usado para preencher as informações do certificado CA, mas não se sabe se este certificado é responsável pelo sinal de certificado

    Cenário 2

    • A inscrição manual está selecionada
    • O CSR é gerado externamente (Windows Server, OpenSSL)
    • Você tem o arquivo de certificado da CA que assina nosso CSR

    Para ambos os procedimentos, o certificado é carregado e uma indicação de progresso é exibida como mostrado na imagem.

    Após alguns segundos, o FMC ainda declara que um certificado de ID é necessário:

    O erro anterior indica que o certificado CA não corresponde às informações do emissor no certificado de ID ou que a chave privada não corresponde à gerada por padrão no FTD.

    Solução

    Para que esta inscrição de certificado funcione, você deve ter as chaves correspondentes para o certificado de ID. Com o uso do OpenSSL, um arquivo PKCS12 é gerado.

    Etapa 1. Gerar um CSR (opcional)

    Você pode obter um CSR junto com sua chave privada com o uso de uma ferramenta de terceiros chamada gerador CSR (csrgenerator.com).

    Depois que as informações do certificado forem preenchidas corretamente, selecione a opção para Gerar CSR.

    Isso fornece a CSR + chave privada para enviarmos a uma autoridade de certificação:

    Etapa 2. Assine o CSR

    O CSR precisa ser assinado por uma CA de terceiros (GoDaddy, DigiCert), uma vez assinado o CSR, é fornecido um arquivo zip, que contém, entre outras coisas:

    • Certificado de identidade
    • Pacote CA (certificado intermediário + certificado raiz)

    Etapa 3. Verificar e separar os certificados

    Verifique e separe os arquivos com o uso de um editor de texto (por exemplo, bloco de notas). Crie os arquivos com nomes facilmente identificáveis para a chave privada (key.pem), certificado de identidade (ID.pem), certificado CA (CA.pem).

    Para o caso em que o arquivo do pacote CA tem mais de 2 certificados (1 CA raiz, 1 sub CA), a CA raiz precisa ser removida, o emissor do certificado de ID é a sub CA, portanto, não é relevante ter a CA raiz neste cenário.

    Conteúdo do arquivo chamado CA.pem:

    Conteúdo do arquivo chamado key.pem:

    Conteúdo do arquivo chamado ID.pem:

    Etapa 4. Mesclar os certificados em um PKCS12

    Mesclar o certificado CA com o certificado de ID e a chave privada em um arquivo .pfx. Você deve proteger esse arquivo com uma senha.

    openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx

    Etapa 5. Importar o certificado PKCS12 no FMC

    No FMC, navegue até Device > Certificates e importe o certificado para o firewall desejado:


    Verificar

    Para verificar o status do certificado juntamente com as informações CA e ID, você pode selecionar os ícones e confirmar se eles foram importados com êxito:

    Selecione o ícone ID:

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Hugo Olguin
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos