Risolvere i problemi relativi agli errori dei certificati in FMC

Opzioni per il download

  • PDF     (1.1 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (817.6 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:11 luglio 2024
ID documento:215855

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come risolvere i problemi relativi all'errore di importazione CA (Certification Authority) nei dispositivi Firepower Threat Defense gestiti da FMC.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • PKI (Public Key Infrastructure)
    • Firepower Management Center (FMC)
    • Firepower Threat Defense (FTD)
    • OpenSSL

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software:

    • Mac OS x 10.14.6
    • CCP 6.4
    • OpenSSL

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Nota: nei dispositivi gestiti con FTD, il certificato CA è necessario prima della generazione della richiesta di firma del certificato (CSR).

    • Se il CSR viene generato in un server esterno (ad esempio Windows Server o OpenSSL), il metodo di registrazione manuale potrebbe non riuscire, in quanto FTD non supporta la registrazione manuale delle chiavi. Utilizzare un metodo diverso, ad esempio PKCS12.

    Problema

    In questo particolare scenario, il FMC visualizza una croce rossa nello stato del certificato CA (come mostrato nell'immagine), che indica che la registrazione del certificato non è riuscita a installare il certificato CA con il messaggio "Impossibile configurare il certificato CA". Questo errore si verifica in genere quando il certificato non è stato inserito correttamente nel pacchetto o il file PKCS12 non contiene il certificato dell'autorità di certificazione corretto, come mostrato nell'immagine.

    Schermo FMC

    Nota: nelle versioni più recenti di FMC, il problema è stato risolto in modo da corrispondere al comportamento ASA che crea un trust point aggiuntivo con la CA radice inclusa nella catena di trust del certificato con estensione pfx.

    Soluzione

    Passaggio 1. Individuare il certificato con estensione pfx

    Ottenere il certificato pfx registrato nell'interfaccia utente grafica di FMC, salvarlo e individuare il file nel terminale Mac (CLI).

    Individuare il certificato con estensione pfxsl

    Passaggio 2. Estrarre i certificati e la chiave dal file con estensione pfx

    Estrarre il certificato client (non i certificati CA) dal file pfx (è necessaria la passphrase utilizzata per generare il file con estensione pfx).

    openssl pkcs12 -in cert.pfx -clcerts -nokeys -out id.pem

    Esportazione identitàesportazione identità

    Estrarre i certificati CA (non i certificati client).

    openssl pkcs12 -in cert.pfx -cacerts -nokeys -out certs.pem
    Esportazione Cacerts esportazione cacerts

    Estrarre la chiave privata dal file pfx (è necessaria la stessa passphrase del passaggio 2).

    openssl pkcs12 -in cert.pfx -nocerts -out key.pem

    Esportazione chiaviesportazione chiave

    A questo punto esistono quattro file: cert.pfx (il bundle pfx originale), certs.pem (i certificati CA), id.pem (certificato client) e key.pem (la chiave privata).

    ls dopo l'esportazionels dopo l'esportazione

    Passaggio 3. Verificare i certificati in un editor di testo

    Verificare i certificati utilizzando un editor di testo, ad esempio nano certs.pem.

    Per questo particolare scenario, certs.pem conteneva solo la CA secondaria (CA emittente).

    A partire dal passaggio 5, in questo articolo viene illustrata la procedura per lo scenario in cui il file certs.pem contiene 2 certificati (una CA radice e una CA secondaria).

    Visualizzazione certificati visualizzazione certificati

    Passaggio 4. Verificare la chiave privata in un Blocco note

    Verificare il contenuto del file key.pem utilizzando un editor di testo (ad esempio: nano certs.pem).

    Verifica del contenuto del file key.perm

    Passaggio 5. Dividere i certificati CA

    Nel caso in cui il file certs.pem disponga di 2 certificati (1 CA radice e 1 CA secondaria), la CA radice deve essere rimossa dalla catena di certificati per poter importare il certificato in formato pfx nel FMC, lasciando solo la CA secondaria nella catena ai fini della convalida.

    Dividendo il file certs.pem in più file, il comando successivo rinomina i certificati come cacert-XX.

    split -p "-----BEGIN CERTIFICATE-----" certs.pem cacert-

    Dividils dopo la divisionesplitter dopo la divisione

    Aggiungere l'estensione .pem a questi nuovi file con il comando descritto di seguito.

    for i in cacert-*;do mv "$i" "$i.pem";done

    Rinomina scriptrinomina script

    Esaminare i due nuovi file e determinare quale contiene la CA radice e quale contiene la CA secondaria con i comandi descritti.

    Individuare innanzitutto l'autorità emittente del file id.pem, ovvero il certificato di identità.

    openssl x509 -in id.pem -issuer -noout

    Visualizzazione autorità emittentevisualizzazione emittente

    Trovare ora l'oggetto dei due file cacert- (certificati CA).

    openssl x509 -in cacert-aa.pem -subject -noout
    openssl x509 -in cacert-ab.pem -subject -noout

    Controllo oggettocontrollo soggetto

    Il file cacert che corrisponde all'oggetto con l'autorità emittente del file id.pem (come mostrato nelle immagini precedenti), è la CA secondaria utilizzata successivamente per creare il certificato PFX.

    Eliminare il file cacert senza oggetto corrispondente. In questo caso, il certificato era cacert-aa.pem.

    rm -f cacert-aa.pem

    Passaggio 6. Unire i certificati in un file PKCS12

    Unire il certificato della CA secondaria (in questo caso, il nome era cacert-ab.pem) con il certificato ID (id.pem) e la chiave privata (key.pem) in un nuovo file PFX. È necessario proteggere il file con una passphrase. Se necessario, modificare il nome del file cacert-ab.pem in modo che corrisponda al file.

    openssl pkcs12 -export -in id.pem -certfile cacert-ab.pem -inkey key.pem -out new-cert.pfx
    creazione pfxcreazione pfx

    Passaggio 7. Importare il file PKCS12 nel FMC

    Nel FMC, selezionare Periferica > Certificati e importare il certificato nel firewall desiderato, come mostrato nell'immagine.

    Iscrizione certificatoregistrazione certificato

    Inserire un nome per il nuovo certificato.

    IscrizioneIscrizione

    Aggiungere il nuovo certificato e attendere che il processo di registrazione distribuisca il nuovo certificato nell'FTD.

    nuovo certificatonuovo certificato

    Il nuovo certificato deve essere visibile senza una croce rossa nel campo CA.

    Verifica

    Per verificare che la configurazione funzioni correttamente, consultare questa sezione.

    In Windows, è possibile riscontrare un problema in cui il sistema operativo visualizza l'intera catena per il certificato anche se il file .pfx contiene solo il certificato ID, nel caso in cui abbia la catena SubCA, CA nel suo archivio.

    Per controllare l'elenco dei certificati in un file PFX, è possibile utilizzare strumenti quali certutil o openssl.

    certutil -dump cert.pfx

    Il certutil è un'utilità della riga di comando che fornisce l'elenco dei certificati in un file con estensione pfx. È necessario visualizzare l'intera catena con ID, SubCA, CA incluso (se presente).

    In alternativa, è possibile utilizzare un comando openssl, come mostrato nel comando seguente.

    openssl pkcs12 -info -in cert.pfx

    Per verificare lo stato del certificato insieme alle informazioni sull'ID e sulla CA, è possibile selezionare le icone e confermare l'importazione:

    Inserire un nome per il nuovo certificato

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    3.0
    11-Jul-2024
    Intestazioni selezionate, numero ridotto di parole del titolo e aggiornamenti della formattazione.
    2.0
    12-Jun-2023
    È stato introdotto un modo per suddividere i certificati in formato pem, verificare i dettagli del certificato x509 con i comandi openssl anziché con gli editor di testo. Aggiornamenti del formato.
    1.0
    24-Jul-2020
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Hugo Olguin
      Cisco TAC Manager

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti