排除证书错误故障"；无法在FMC上配置CA证书"

下载选项

PDF (1.2 MB)
在各种设备上使用 Adobe Reader 查看
ePub (814.8 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.0 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2023 年 6 月 12 日

文档 ID:215855

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何对由FMC管理的Firepower威胁防御设备上的证书颁发机构(CA)导入错误进行故障排除和修复。

先决条件

要求

Cisco 建议您了解以下主题：

公用密钥基础结构 (PKI)
Firepower Management Center (FMC)
Firepower Threat Defense (FTD)
OpenSSL

使用的组件

本文档中的信息基于以下软件版本：

MacOS x 10.14.6
FMC 6.4
OpenSSL

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

注意：在FTD设备上，在生成证书签名请求(CSR)之前需要CA证书。

如果CSR在外部服务器（例如Windows Server或OpenSSL）中生成，则手动注册方法将失败，因为FTD不支持手动密钥注册。必须使用其他方法，例如PKCS12。

问题

在此特定场景中，FMC在CA证书状态（如图所示）中显示一个红十字，表示证书注册无法安装CA证书。如果证书未正确打包，或PKCS12文件不包含正确的颁发者证书（如图所示），则通常会出现此错误。

FMC Display

注意：在较新的FMC版本中，已解决此问题以匹配ASA行为，该行为会创建另一个信任点，其根CA包含在.pfx证书的信任链中。

解决方案

步骤1:找到.pfx证书

获取在FMC GUI中注册的pfx证书保存，然后在Mac终端(CLI)中查找该文件。

Locate the .pfx Certificate ls

第二步：从.pfx文件中提取证书和密钥

从pfx文件提取客户端证书（非CA证书）（需要用于生成.pfx文件的密码）。

openssl pkcs12 -in cert.pfx -clcerts -nokeys -out id.pem

Identity Export 身份导出

提取CA证书（而不是客户端证书）。

openssl pkcs12 -in cert.pfx -cacerts -nokeys -out certs.pem

缓存导出

从pfx文件中提取私钥（需要步骤2中的相同口令）。

openssl pkcs12 -in cert.pfx -nocerts -out key.pem

Key Export 密钥导出

现在存在四个文件：cert.pfx（原始pfx捆绑包）、certs.pem（CA证书）、id.pem（客户端证书）和key.pem（私钥）。

ls after Export 导出后的ls

第三步：在文本编辑器中验证证书

使用文本编辑器（例如nano certs.pem）验证证书。

对于此特定场景，certs.pem仅包含子CA（颁发CA）。

从步骤5开始，本文描述文件certs.pem包含2个证书（一个根CA和一个子CA）的方案的过程。

证书视图

第四步：验证记事本中的私钥

使用文本编辑器（例如nano certs.pem）验证key.pem文件的内容。

Verify Contents of key.perm File

第五步：拆分CA证书

对于certs.pem文件具有2个证书（1个根CA和1个子CA）的情况，需要从信任链中删除根CA才能在FMC中导入pfx格式的证书，同时仅将子CA保留在链中以用于验证。

将certs.pem拆分为多个文件，下一个命令将证书重命名为cacert-XX。

split -p "-----BEGIN CERTIFICATE-----" certs.pem cacert-

Split 拆分 ls after Split 拆分后的ls

使用下面描述的命令将.pem扩展名添加到这些新文件。

for i in cacert-*;do mv "$i" "$i.pem";done

Rename Script 重命名脚本

检查这两个新文件，并使用所述的命令确定哪个文件包含根CA，哪个文件包含子CA。

首先，查找id.pem文件（即身份证书）的颁发者。

openssl x509 -in id.pem -issuer -noout

Issuer View 颁发者视图

现在，找到两个cacert-files（CA证书）的主题。

openssl x509 -in cacert-aa.pem -subject -noout
openssl x509 -in cacert-ab.pem -subject -noout

Subject Check 主题检查

将Subject与id.pem文件的颁发者（如前面的图像所示）匹配的cacert文件是随后用于创建PFX证书的子CA。

删除没有匹配主题的cacert文件。在本例中，该证书是cacert-aa.pem。

rm -f cacert-aa.pem

第六步：合并PKCS12文件中的证书

在新的pfx文件中合并子CA证书（在本例中，名称为cacert-ab.pem）以及ID证书(id.pem)和私钥(key.pem)。您必须使用密码保护此文件。如果需要，请更改cacert-ab.pem文件名以匹配您的文件。

openssl pkcs12 -export -in id.pem -certfile cacert-ab.pem -inkey key.pem -out new-cert.pfx

pfx-creation

步骤 7.在FMC中导入PKCS12文件

在FMC中，导航到Device > Certificates，并将证书导入所需的防火墙，如图所示。

Cert Enrollment 证书注册

插入新证书的名称。

Enrollment 注册

添加新证书，然后等待注册过程将新证书部署到FTD。

new-cert

新证书必须可见，在CA字段中不能有红十字。

验证

使用本部分可确认配置能否正常运行。

在Windows中，您可能会遇到以下问题：即使.pfx文件仅包含ID证书，操作系统仍会显示证书的整个链（如果其存储中包含subCA， CA链）。

要检查.pfx文件中的证书列表，可以使用certutil或openssl等工具。

certutil -dump cert.pfx

certutil是一个命令行实用程序，它提供.pfx文件中的证书列表。您必须看到包含ID、SubCA、CA（如果有）的整个链。

或者，您可以使用openssl命令，如下面的命令所示。

openssl pkcs12 -info -in cert.pfx

要验证证书状态以及CA和ID信息，您可以选择图标并确认已成功导入：

Insert a Name for the New Cert

修订历史记录

版本	发布日期	备注
2.0	12-Jun-2023	介绍一种拆分pem格式证书的方法，使用openssl命令而不是文本编辑器验证x509证书的详细信息。格式更新。
1.0	24-Jul-2020	初始版本

由思科工程师提供

雨果·奥尔金
思科TAC工程师

此文档是否有帮助?

反馈

联系我们

提交支持案例
(需要思科服务合同)