安全惡意軟體分析裝置與FMC整合的故障排除

簡介

本檔案將詳細介紹安全惡意軟件分析與Firepower管理中心(FMC)的整合。

必要條件

需求

思科建議您瞭解以下主題：

• Firepower管理FMC
• 安全惡意軟體裝置基本配置
• 建立授權憑證(CA)
• Linux/Unix

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• FMC版本6.6.1
• Threat Grid 2.12.2
• CentOS 8

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

問題

在此用例場景中，您可以看到2個問題和兩個錯誤代碼。

案例 1

 整合失敗，但有錯誤：

Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60) 

在此問題方面，問題與未以完整鏈結形式上傳到FMC的憑證相關。由於使用了CA簽名的證書，因此需要使用合併到單個PEM檔案中的整個證書鏈。換句話說，您應該從Root CA > Intermediate Cert（如果適用） > Clean Int開始。請參考官方指南中介紹要求和程式的文章。

如果CA有多個簽名鏈，則所有必需的中間證書和根證書必須包含在上傳到FMC的單個檔案中。

— 所有證書都必須採用PEM編碼。

— 檔案的新行必須是UNIX而不是DOS。

注意：如果重新生成了安全惡意軟體裝置自簽名證書，請確保僅在安全惡意軟體裝置在SSL握手期間傳送更新的證書之後才重新配置裝置。

案例 2

無效的證書格式錯誤

Invalid Certificate format (must be PEM encoded) (code=0) 

憑證格式錯誤，如下圖所示。

此錯誤是由於在使用OpenSSL的Windows機器上建立的組合PEM憑證的格式錯誤所造成。強烈建議使用Linux電腦建立此證書。

整合

步驟1.配置TGA，如下圖所示。

用於Clean Admin介面的內部CA簽名證書

步驟1.生成用於管理介面和乾淨介面的私鑰。

openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem 

步驟2.產生CSR。

清潔介面

步驟1.導航到CSR建立並使用生成的私鑰。

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

附註：必須為CSR輸入CN名稱，並且必須與在「Network」下定義的清理介面的主機名匹配。DNS伺服器上必須存在DNS條目，該條目將解析Clean介面主機名。‌

管理員介面

步驟1。導覽至CSR建立並使用產生的私密金鑰。

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

附註：必須為CSR輸入CN名稱，並且必須與「Network」下定義的「admin interface」的「hostname」匹配。DNS伺服器上必須存在DNS條目，該條目將解析乾淨的介面主機名。‌

步驟2.由CA簽署CSR。下載帶有CER擴展的DER格式的證書。

步驟3.將CER轉換為PEM。

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

清除將CSR和CER介面到PEM

管理介面CSR和CER到PEM

FMC證書的正確格式

如果您已經獲得證書，並且證書採用CER/CRT格式，在使用文本編輯器時是可讀的，則只需將副檔名更改為PEM即可。

如果證書不可讀，您需要將DER格式轉換為PEM可讀格式。

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

PEM

PEM可讀格式示例，如圖所示。

DER

DER可讀格式示例，如圖所示

在Windows和Linux中建立的證書之間的差異

您可以在記事本++中使用Compare外掛來將兩個證書並排進行簡單比較，並詳細描述行#68中的編碼差異。在左側，您可以看到在Windows中建立的證書，在右側，您可以看到在Linux電腦上生成的證書。左側的憑證有回車符，因此該憑證PEM對FMC無效。但是，除了記事本頁面中的那一行之外，您無法區分文本編輯器中的++同。

將新建立/轉換的RootCA和CLEAN介面的PEM證書複製到Linux電腦，並從PEM檔案中刪除回車。

sed -i 's/\r//'  

例如sed -i 's/\r/' OPADMIN.pem。

驗證回車是否存在。

od -c  

仍顯示有回車符的憑證，如圖所示。

通過Linux電腦運行證書之後。

對於FMC，在Linux電腦上結合Root_CA和無回車證書，請使用下一個命令。

cat   >  

例如，cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-carriage.pem Root-CA.pem > combine.pem。

或者，也可以在Linux電腦中開啟一個新的文本編輯器，將刪除回車的Clean證書合併到一個檔案中，然後使用.PEM副檔名儲存該檔案。您必須將CA證書放在頂部，將Clean Interface證書放在底部。

該證書必須是您稍後上傳到FMC以與TG裝置整合的證書。

證書上傳到安全惡意軟件分析裝置和FMC

上傳乾淨介面的證書

導覽至Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate，如下圖所示。

上傳管理員介面的證書

導覽至Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificate，如下圖所示。

將證書上傳到FMC

若要將憑證上傳到FMC，請導覽至AMP > Dynamic Analysis Connections > Add New Connection，然後填寫所需的資訊。

名稱:要標識的任何名稱。

主機：清潔介面FQDN，在生成清潔介面的CSR時定義

證書：ROOT_CA和clean interface_no-carriage的組合證書。

註冊新連線後，將顯示一個彈出視窗，按一下Yes按鈕。

頁面重定向至Secure Malware Analytics Clean介面和登入提示，如下圖所示。

接受EULA。

成功整合將顯示活動裝置，如下圖所示。

按一下「Return」，返回FMC，成功整合Secure Malware Analytics，如下圖所示。

相關資訊

• Firepower管理中心配置指南6.6版
• 技術支援與文件 - Cisco Systems