Solução de problemas de integração do dispositivo Threat Grid com o FMC

Opções de download

  • PDF     (4.9 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (5.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.9 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:26 de abril de 2021
ID do documento:217064

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve em detalhes a integração do Thread Grid Appliance (TGA) com o Firepower Management Center (FMC).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • FMC de gerenciamento Firepower
    • Configuração básica do Threat Grid Appliance
    • Criar certificados de autoridade (AC)
    • Linux/Unix

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • FMC versão 6.6.1
    • Threat Grid 2.12.2
    • CentOS 8

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Problema

    Neste cenário de caso usado, você pode ver 2 problemas e dois códigos de erro.

    Cenário 1

     A integração falha com erros:

    Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60)

    Quando se trata desse problema, o problema está relacionado ao certificado que não é carregado no FMC como uma cadeia completa. Como o certificado assinado pela CA foi usado, toda a cadeia de certificados combinada em um único arquivo PEM precisa ser usada. Em outra palavra, você começa com CA raiz > Cert intermediário (se aplicável) > Clean Int. Consulte este artigo do guia oficial que descreve os requisitos e o procedimento.

    Se houver uma cadeia de assinatura de vários níveis de CAs, todos os certificados intermediários necessários e o certificado raiz devem estar contidos em um único arquivo carregado no FMC.

    Todos os certificados devem ser codificados por PEM.

    As novas linhas do arquivo devem ser UNIX, não DOS.

    Se o dispositivo Threat Grid apresentar um certificado autoassinado, carregue o certificado baixado desse aplicativo.

    Se o dispositivo Threat Grid apresentar um certificado assinado por CA, carregue o arquivo que contém a cadeia de assinatura do certificado.

    Cenário 2

    Erro de formato de certificado inválido

    Invalid Certificate format (must be PEM encoded) (code=0)

    Erro no formato do certificado, como mostrado na imagem.

    Este erro deve-se à formatação incorreta do certificado PEM combinado criado na máquina Windows que usa OpenSSL. É altamente recomendável usar uma máquina Linux para criar esse certificado.

    Integração

    Etapa 1. Configure o TGA, como mostrado nas imagens.

    Certificados CA assinados internamente para a interface Clean Admin

    Etapa 1. Gere a chave privada que é usada para admin e interface limpa.

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    Etapa 2. Gerar CSR.

    Interface limpa

    Etapa 1. Navegue até a criação do CSR e use a chave privada gerada.

    openssl req -new -key private-ec-key.pem -out MYCSR.csr

    Note: O nome CN deve ser digitado para CSR e deve corresponder ao nome de host da interface limpa definida em "Rede". Uma entrada DNS deve estar presente no servidor DNS que resolve o nome de host da interface limpa. ‌

    Interface do administrador

    Etapa1. Navegue até a criação do CSR e use a chave privada gerada.

    openssl req -new -key private-ec-key.pem -out MYCSR.csr

    Note: O nome CN deve ser inserido para CSR e deve corresponder ao "hostname" da "interface admin" definida em "Network". Uma entrada DNS deve estar presente no servidor DNS que resolve o nome de host da interface limpa. ‌

    Etapa 2. O CSR deve ser assinado pela CA. Faça o download do certificado no formato DER com o ramal CER.

    Etapa 3. Converta CER em PEM.

    openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

    Limpe a interface CSR e CER para PEM

    Interface administrativa CSR e CER para PEM

    Formato correto do certificado para o CVP

    Se você já recebeu certificados e eles estão no formato CER/CRT e podem ser lidos quando um editor de texto é usado, basta alterar o ramal para PEM.

    Se o certificado não puder ser lido, você precisará converter o formato DER em formato legível por PEM.

    openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

    PEM

    Exemplo de formato legível por PEM, como mostrado na imagem.

    DER

    Exemplo de formato legível por DER, como mostrado na imagem

    Diferença entre certificado criado no Windows vs Linux

    Uma simples comparação lado a lado de ambos os certificados ao lado um do outro você pode usar o plug-in Comparar no Notepad ++ anulou a diferença codificada na linha #68. À esquerda, você pode ver o certificado criado no Windows, à direita, você pode encontrar o certificado gerado na máquina Linux. O da esquerda tem uma devolução de carro que torna o certificado PEM inválido para o FMC. No entanto, não é possível diferenciar no editor de texto, exceto aquela linha no Bloco de Notas ++.

    Copie o certificado PEM recém-criado/convertido para as interfaces RootCA e CLEAN para sua máquina Linux e remova a devolução do carro do arquivo PEM.

    sed -i 's/\r//'

    Exemplo, sed -i 's/\r//' OPADMIN.pem.

    Verifique se a devolução do carro está presente.

    od -c

    Certificados que ainda têm retorno de carro apresentados, como mostrado na imagem.

    Certificado depois de executar isso em uma máquina Linux.

    Para o FMC, combine Root_CA e o certificado de ausência de transporte em uma máquina Linux, use o próximo comando.

    cat 
     
      
      
        >

    Exemplo, cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-transport.pem Root-CA.pem > combinar.pem.

    Ou você também pode abrir um novo editor de texto em sua máquina Linux e combinar ambos os certificados limpos com devolução de carro removidos em um arquivo e salvá-lo com a extensão .PEM. Você deve ter seu certificado CA na parte superior e o certificado Clean Interface na parte inferior.

    Este deve ser o seu certificado que você carregará posteriormente no seu FMC para integrar-se ao dispositivo TG.

    Carregamento de certificado para dispositivo TG e FMC

    Carregar certificado para uma interface limpa

    Navegue até Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate, como mostrado na imagem.

    Carregar certificado para uma interface admin

    Navegue até Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificate, como mostrado na imagem.

    Carregar certificado para o FMC

    Para carregar o certificado no FMC, navegue para AMP > Dynamic Analysis Connections > Add New Connection (AMP > Conexões de análise dinâmica > Adicionar nova conexão) e preencha as informações necessárias.

    Nome: Qualquer nome para identificar.

    Host: FQDN de interface limpa conforme definido quando o CSR para interface limpa é gerado

    Certificado: O certificado combinado de ROOT_CA e clear interface_no-transport.

    Depois que a Nova conexão for registrada, uma janela pop-up será exibida, clique no botão Sim.

    A página é redirecionada para a interface TG Clean e para o prompt de login, como mostrado nas imagens.

    Aceite o EULA.

    A integração bem-sucedida exibe um dispositivo ativo, como mostrado na imagem.

    Clique em Return, de volta à FMC com integração TG bem-sucedida, como mostrado na imagem.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Roman Valenta
      Cisco TAC Engineer
    • Nitin Shettigar
      Cisco Engineer
    • Edited by Yeraldin Sanchez
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos