Solucionar errores de certificados en FMC

Opciones de descarga

  • PDF     (1.1 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (816.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:11 de julio de 2024
ID del documento:215855

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo resolver problemas y corregir el error de importación de la autoridad certificadora (CA) en los dispositivos Firepower Threat Defence administrados por FMC.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Public Key Infrastructure (PKI)
    • Centro de administración Firepower (FMC)
    • Firepower Threat Defense (FTD)
    • OpenSSL

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • MacOS x 10.14.6
    • CSP 6.4
    • OpenSSL

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

    Antecedentes

    Nota: en los dispositivos gestionados mediante FTD, se requiere el certificado de CA antes de generar la solicitud de firma de certificado (CSR).

    • Si el CSR se genera en un servidor externo (como Windows Server u OpenSSL), el método de inscripción manual tiene la intención de fallar, ya que FTD no admite la inscripción manual de claves. Se debe utilizar un método diferente, como PKCS12.

    Problema

    En este escenario en particular, el FMC muestra una cruz roja en el estado del certificado de la CA (como se muestra en la imagen), que indica que la inscripción del certificado no pudo instalar el certificado de la CA con el mensaje: "Fail to configure CA certificate" (Error al configurar el certificado de la CA). Este error se observa comúnmente cuando el certificado no se ha empaquetado correctamente o el archivo PKCS12 no contiene el certificado de emisor correcto como se muestra en la imagen.

    Pantalla FMC

    Nota: en las versiones más recientes de FMC, este problema se ha solucionado para que coincida con el comportamiento de ASA que crea un punto de confianza adicional con la CA raíz incluida en la cadena de confianza del certificado .pfx.

    Solución

    Paso 1. Localice el certificado .pfx

    Obtenga el certificado pfx que estaba inscrito en la GUI de FMC, guárdelo y localice el archivo en la Terminal Mac (CLI).

    Localice el certificado .pfxls

    Paso 2. Extraiga los certificados y la clave del archivo .pfx

    Extraiga el certificado de cliente (no los certificados de CA) del archivo pfx (se requiere la frase de contraseña que se utilizó para generar el archivo .pfx).

    openssl pkcs12 -in cert.pfx -clcerts -nokeys -out id.pem

    Exportación de identidadexportación de identidad

    Extraiga los certificados de CA (no los certificados de cliente).

    openssl pkcs12 -in cert.pfx -cacerts -nokeys -out certs.pem
    Exportación de cacerts exportación de cacerts

    Extraiga la clave privada del archivo pfx (se requiere la misma frase de contraseña del paso 2).

    openssl pkcs12 -in cert.pfx -nocerts -out key.pem

    Exportación de clavesexportación de claves

    Ahora existen cuatro archivos: cert.pfx (el paquete pfx original), certs.pem (los certificados de CA), id.pem (certificado de cliente) y key.pem (la clave privada).

    ls después de la exportaciónls después de exportar

    Paso 3. Verificar los certificados en un editor de texto

    Verifique los certificados con el uso de un editor de texto (por ejemplo: nano certs.pem).

    Para este escenario en particular, certs.pem sólo contenía la CA secundaria (CA emisora).

    Comenzando en el paso 5, este artículo trata el procedimiento para el escenario donde el archivo certs.pem contiene 2 certificados (una CA raíz y una CA secundaria).

    Vista de certificados vista de certificados

    Paso 4. Comprobar la clave privada en un Bloc de notas

    Verifique el contenido del archivo key.pem con el uso de un editor de texto (por ejemplo: nano certs.pem).

    Comprobar el contenido del archivo key.perm

    Paso 5. Dividir los certificados de CA

    En el caso de que el archivo certs.pem tenga 2 certificados (1 CA raíz y 1 CA secundaria), la CA raíz debe eliminarse de la cadena de confianza para poder importar el certificado con formato pfx en el FMC, dejando solo la CA secundaria en la cadena para fines de validación.

    Divida el certs.pem en varios archivos, el siguiente comando renombra los certs como cacert-XX.

    split -p "-----BEGIN CERTIFICATE-----" certs.pem cacert-

    Dividirls después de dividirsplitls después de split

    Agregue la extensión .pem a estos nuevos archivos con el comando que se describe a continuación.

    for i in cacert-*;do mv "$i" "$i.pem";done

    Cambiar nombre de scriptcambiar nombre de script

    Revise los dos archivos nuevos y determine cuál contiene la CA raíz y cuál contiene la CA secundaria con los comandos descritos.

    Primero, busque el emisor del archivo id.pem (que es el certificado de identidad).

    openssl x509 -in id.pem -issuer -noout

    Vista del emisorvista del emisor

    Ahora, busque el asunto de los dos archivos cacert- (certificados de CA).

    openssl x509 -in cacert-aa.pem -subject -noout
    openssl x509 -in cacert-ab.pem -subject -noout

    Comprobación del asuntocomprobación del asunto

    El archivo cacert que coincide con el Asunto con el Emisor del archivo id.pem (como se muestra en las imágenes anteriores) es la CA secundaria que se utiliza más adelante para crear el certificado PFX.

    Elimine el archivo cacert que no tenga el Asunto coincidente. En este caso, ese certificado era cacert-aa.pem.

    rm -f cacert-aa.pem

    Paso 6. Fusionar los certificados en un archivo PKCS12

    Combine el certificado de la CA secundaria (en este caso, el nombre era cacert-ab.pem) junto con el certificado de ID (id.pem) y la clave privada (key.pem) en un nuevo archivo pfx. Debe proteger este archivo con una frase de contraseña. Si es necesario, cambie el nombre del archivo cacert-ab.pem para que coincida con el suyo.

    openssl pkcs12 -export -in id.pem -certfile cacert-ab.pem -inkey key.pem -out new-cert.pfx
    pfx-creationpfx-creation

    Paso 7. Importe el archivo PKCS12 en el FMC

    En el FMC, navegue hasta Device > Certificates e importe el certificado al firewall deseado como se muestra en la imagen.

    Inscripción de certificadosinscripción de certificados

    Inserte un nombre para el nuevo certificado.

    InscripciónInscripción

    Agregue el nuevo certificado y espere al proceso de inscripción para implementar el nuevo certificado en el FTD.

    de nueva certificaciónde nueva certificación

    El nuevo certificado debe estar visible sin una cruz roja en el campo CA.

    Verificación

    Use esta sección para confirmar que su configuración funciona correctamente.

    En Windows, puede encontrar un problema en el que el sistema operativo muestre la cadena completa del certificado, aunque el archivo .pfx sólo contenga el certificado de ID, en el caso de que tenga la cadena subCA, CA en su almacén.

    Para verificar la lista de certificados en un archivo .pfx, se pueden utilizar herramientas como certutil o openssl.

    certutil -dump cert.pfx

    El certutil es una utilidad de línea de comandos que proporciona la lista de certificados de un archivo .pfx. Debe ver toda la cadena con ID, SubCA, CA incluido (si lo hubiera).

    Alternativamente, puede utilizar un comando openssl, como se muestra en el siguiente comando.

    openssl pkcs12 -info -in cert.pfx

    Para verificar el estado del certificado junto con la información de CA e ID, puede seleccionar los iconos y confirmar que se importó correctamente:

    Insertar un nombre para el nuevo certificado

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    11-Jul-2024
    Encabezados marcados, recuento de palabras de título reducido y actualizaciones de formato.
    2.0
    12-Jun-2023
    Se introdujo una forma de dividir los certificados con formato pem, comprobar los detalles del certificado x509 con comandos openssl en lugar de editores de texto. Actualizaciones de formato.
    1.0
    24-Jul-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Hugo Olguin
      Cisco TAC Manager

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos