簡介
本文檔詳細介紹執行緒網格裝置(TGA)與Firepower管理中心(FMC)的整合。
必要條件
需求
思科建議您瞭解以下主題:
- Firepower管理FMC
- Threat Grid裝置基本配置
- 建立授權憑證(CA)
- Linux/Unix
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- FMC版本6.6.1
- Threat Grid 2.12.2
- CentOS 8
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
問題
在此用例場景中,您可以看到2個問題和兩個錯誤代碼。
案例 1
整合失敗,但有錯誤:
Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60)
在此問題方面,問題與未以完整鏈結形式上傳到FMC的憑證相關。由於使用了CA簽名的證書,因此需要使用合併到單個PEM檔案中的整個證書鏈。換句話說,您應該從Root CA > Intermediate Cert(如果適用) > Clean Int開始。請參考官方指南中介紹要求和程式的文章。
如果CA有多個簽名鏈,則所有必需的中間證書和根證書必須包含在上傳到FMC的單個檔案中。
所有證書都必須採用PEM編碼。
檔案的新行必須是UNIX,而不是DOS。
如果Threat Grid裝置提供自簽名證書,請上傳您從該裝置下載的證書。
如果Threat Grid裝置顯示CA簽名的證書,請上傳包含證書簽名鏈的檔案。
案例 2
無效的證書格式錯誤
Invalid Certificate format (must be PEM encoded) (code=0)
憑證格式錯誤,如下圖所示。
此錯誤是由於在使用OpenSSL的Windows機器上建立的組合PEM憑證的格式錯誤所致。強烈建議使用Linux電腦建立此證書。
整合
步驟1.配置TGA,如下圖所示。
用於Clean Admin介面的內部CA簽名證書
步驟1.生成用於管理介面和乾淨介面的私鑰。
openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem
步驟2.產生CSR。
清潔介面
步驟1.導航到CSR建立並使用生成的私鑰。
openssl req -new -key private-ec-key.pem -out MYCSR.csr
附註:必須為CSR輸入CN名稱,並且必須與在「Network」下定義的清理介面的主機名匹配。DNS伺服器上必須存在DNS條目,該條目將解析Clean介面主機名。
管理員介面
步驟1。導覽至CSR建立並使用產生的私密金鑰。
openssl req -new -key private-ec-key.pem -out MYCSR.csr
附註:必須為CSR輸入CN名稱,並且必須與「Network」下定義的「admin interface」的「hostname」匹配。DNS伺服器上必須存在DNS條目,該條目將解析乾淨介面主機名。
步驟2.由CA簽署CSR。下載帶有CER擴展的DER格式的證書。
步驟3.將CER轉換為PEM。
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem
清除將CSR和CER連線到PEM的介面
管理介面CSR和CER到PEM
FMC證書的正確格式
如果您已經獲得證書,並且證書採用CER/CRT格式,在使用文本編輯器時是可讀的,則只需將副檔名更改為PEM即可。
如果證書不可讀,您需要將DER格式轉換為PEM可讀格式。
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem
PEM
PEM可讀格式示例,如圖所示。
DER
DER可讀格式示例,如圖所示
在Windows和Linux中建立的證書之間的差異
您可以在記事本++中使用Compare外掛來將兩個證書並排進行簡單比較,並詳細描述行#68中的編碼差異。在左側,您可以看到在Windows中建立的證書,在右側,您可以看到在Linux電腦上生成的證書。左側的憑證有回車符,因此該憑證PEM對FMC無效。但是,除了記事本頁面中的那一行之外,您無法區分文本編輯器中的++同。
將新建立/轉換的RootCA和CLEAN介面的PEM證書複製到Linux電腦,並從PEM檔案中刪除回車。
sed -i 's/\r//'
例如sed -i 's/\r/' OPADMIN.pem。
驗證是否存在回車。
od -c
仍顯示有回車符的憑證,如圖所示。
通過Linux電腦運行證書之後。
對於FMC,在Linux電腦上結合Root_CA和無回車證書,請使用下一個命令。
cat
>
例如,cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-carriage.pem Root-CA.pem > combine.pem。
或者,也可以在Linux電腦中開啟一個新的文本編輯器,將刪除回車的Clean證書合併到一個檔案中,然後使用.PEM副檔名儲存該檔案。您必須將CA證書放在頂部,將Clean Interface證書放在底部。
該證書必須是您稍後上傳到FMC以與TG裝置整合的證書。
證書上傳到TG裝置和FMC
上傳乾淨介面的證書
導覽至Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate,如下圖所示。
上傳管理員介面的證書
導覽至Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificate,如下圖所示。
將證書上傳到FMC
若要將憑證上傳到FMC,請導覽至AMP > Dynamic Analysis Connections > Add New Connection,然後填寫所需的資訊。
名稱:要標識的任何名稱。
主機:清潔介面FQDN,在生成清潔介面的CSR時定義
證書:ROOT_CA和clean interface_no-carriage的組合證書。
註冊新連線後,將顯示一個彈出視窗,按一下Yes按鈕。
頁面重定向至TG Clean介面和登入提示,如圖所示。
接受EULA。
成功整合將顯示活動裝置,如下圖所示。
按一下「Return」,返回FMC,成功整合TG,如下圖所示。
相關資訊