Threat GridアプライアンスとFMCの統合のトラブルシューティング
内容
はじめに
このドキュメントでは、Thread Grid Appliance(TGA)とFirepower Management Center(FMC)の統合について詳しく説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Firepower管理FMC
- Threat Gridアプライアンスの基本設定
- 認証局(CA)の作成
- Linux/Unix
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- FMCバージョン6.6.1
- Threat Grid 2.12.2
- CentOS 8
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
問題
この使用例では、2つの問題と2つのエラーコードを確認できます。
シナリオ 1
統合が失敗し、次のエラーが表示されます。
Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60) この問題は、チェーン全体としてFMCにアップロードされていない証明書に関連しています。CA署名付き証明書が使用されているため、1つの単一のPEMファイルに結合された証明書チェーン全体を使用する必要があります。別の言葉では、Root CA > Intermediate Cert (該当する場合) > Clean Intで始まります。要件と手順については、公式ガイドのこの記事を参照してください。
CAのマルチレベル署名チェーンがある場合、必要なすべての中間証明書とルート証明書は、FMCにアップロードされる1つのファイルに含まれている必要があります。
すべての証明書はPEMでエンコードする必要があります。
ファイルの改行はDOSではなくUNIXでなければなりません。
Threat Gridアプライアンスが自己署名証明書を提示する場合は、そのアプライアンスからダウンロードした証明書をアップロードします。
Threat GridアプライアンスがCA署名付き証明書を提示する場合、証明書署名チェーンを含むファイルをアップロードします。
シナリオ 2
Invalid Certificate formatエラー
Invalid Certificate format (must be PEM encoded) (code=0) 図に示すように、証明書のフォーマットエラー。
このエラーは、OpenSSLを使用するWindowsマシンで作成された結合PEM証明書の形式が正しくないことが原因です。この証明書を作成するには、Linuxマシンを使用することを強く推奨します。
統合
ステップ 1:図に示すように、TGAを設定します。
Clean Adminインターフェイス用の内部CA署名付き証明書
ステップ 1:adminインターフェイスとcleanインターフェイスの両方に使用する秘密キーを生成します。
openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem ステップ 2:CSR の生成.
クリーンインターフェイス
ステップ 1:CSRの作成に移動し、生成された秘密キーを使用します。
openssl req -new -key private-ec-key.pem -out MYCSR.csr 
管理インターフェイス
手順 1:CSRの作成に移動し、生成された秘密キーを使用します。
openssl req -new -key private-ec-key.pem -out MYCSR.csr 
ステップ 2:CSRはCAによって署名される必要があります。CER拡張を使用して、DER形式の証明書をダウンロードします。
ステップ 3:CERをPEMに変換します。
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem PEMへのクリーンインターフェイスCSRおよびCER
管理インターフェイスCSRおよびCERからPEM
FMC用の証明書の適切な形式
すでに証明書が提供されていて、テキストエディタの使用時にCER/CRT形式で読み取り可能な場合は、単に拡張子をPEMに変更するだけです。
証明書が読み取り可能でない場合、DER形式をPEM読み取り可能な形式に変換する必要があります。
openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem PEM
図に示すPEM読み取り可能な形式の例。
DER
図に示すDER読み取り可能フォーマットの例
Windowsで作成された証明書とLinuxで作成された証明書の違い
両方の証明書を並べて比較する簡単な方法は、メモ帳の比較プラグインを使用して、行#68のエンコードされた違いを消去す++ことです。左側にはWindowsで作成された証明書が表示され、右側にはLinuxマシンで生成された証明書が表示されます。左側の方にはキャリッジリターンがあるため、証明書PEMはFMCに対して無効です。ただし、テキストエディタでは、メモ帳の++の1行を除いて、違いを見分けることはできません。
RootCAおよびCLEANインターフェイス用に新しく作成または変換したPEM証明書をLinuxマシンにコピーし、PEMファイルからキャリッジリターンを削除します。
sed -i 's/\r//' <file.crt> 例:sed -i 's/\r//' OPADMIN.pem
キャリッジリターンが存在するかどうかを確認します。
od -c <file.crt> 図に示すように、キャリッジリターンを含む証明書が表示されます。
Linuxマシンで実行した後の証明書です。
FMCでは、Root_CAとLinuxマシン上の非キャリッジ証明書を組み合わせて、次のコマンドを使用します。
cat <root_ca_file.pem> <clean-int-no-carriage.pem> > <combined_root-ca_clean.pem> 例:cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-carriage.pem Root-CA.pem > combine.pem
あるいは、Linuxマシンで新しいテキストエディタを開き、キャリッジリターンが削除されたクリーン証明書を1つのファイルに結合して、.PEM拡張子を付けて保存することもできます。上にCA証明書、下にクリーンインターフェイス証明書が必要です。
これは、後でTGアプライアンスと統合するためにFMCにアップロードする証明書でなければなりません。
TGアプライアンスおよびFMCへの証明書のアップロード
クリーンインターフェイスの証明書のアップロード
図に示すように、Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificateの順に移動します。
管理インターフェイスの証明書のアップロード
図に示すように、Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificateの順に移動します。
FMCへの証明書のアップロード
証明書をFMCにアップロードするには、AMP >動的分析接続>新しい接続の追加に移動し、必要な情報を入力します。
名前:識別する任意の名前。
Host:クリーンインターフェイスのCSR生成時に定義されたクリーンインターフェイスFQDN
Certificate:ROOT_CAとclean interface_no-carriageの組み合わせ証明書。
新規接続が登録されると、ポップアップが表示され、Yesボタンをクリックします。
図に示すように、ページはTG Cleanインターフェイスとログインプロンプトにリダイレクトされます。
EULAに同意します。
図に示すように、正常に統合されると、アクティブなデバイスが表示されます。
図に示すように、Return, back to FMC with successful TG integrationをクリックします。
フィードバック