Probleemoplossing voor integratie van Threat Grid-applicatie met FMC

Downloadopties

  • PDF     (5.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (5.8 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.9 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:26 april 2021
Document-id:217064

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft in detail de integratie van Thread Grid Appliance (TGA) met Firepower Management Center (FMC).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Firepower Management FMC
    • Basisconfiguratie van Threat Grid-applicatie
    • Certificaten van bevoegdheid aanmaken (CA)
    • Linux/Unix

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • FMC versie 6.6.1
    • Threat Grid 2.12.2
    • CentOS 8

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Probleem

    In dit gebruikte geval scenario, kunt u 2 problemen en twee foutcodes zien.

    Scenario 1

     De integratie mislukt met fouten:

    Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60)

    Bij dit probleem gaat het om het certificaat dat niet als complete keten in het VCC is geüpload. Aangezien het CA-ondertekende certificaat is gebruikt, moet de gehele certificaatketen in één PEM-bestand worden gecombineerd. In een ander woord start u met Root CA > Intermediate Cert (indien van toepassing) > Clean Int. Raadpleeg dit artikel in de officiële handleiding waarin de vereisten en de procedure worden beschreven.

    Indien er een ondertekeningsketen op meerdere niveaus van CA’s bestaat, moeten alle vereiste tussentijdse certificaten en het basiscertificaat worden opgenomen in één bestand dat naar het VCC wordt geüpload.

    Alle certificaten moeten PEM-gecodeerd zijn.

    De nieuwe regels van het bestand moeten UNIX zijn, niet DOS.

    Als het Threat Grid-apparaat een zelfondertekend certificaat weergeeft, kunt u het certificaat uploaden dat u van dat apparaat hebt gedownload.

    Als het Threat Grid-apparaat een CA-ondertekend certificaat presenteert, uploadt u het bestand dat de keten voor het ondertekenen van het certificaat bevat.

    Scenario 2

    Ongeldige fout in certificaatindeling

    Invalid Certificate format (must be PEM encoded) (code=0)

    Fout in certificaatindeling, zoals in de afbeelding.

    Deze fout is het gevolg van de verkeerde opmaak van het gecombineerde PEM-certificaat dat is gemaakt op de Windows-machine die OpenSSL gebruikt. Het is sterk aanbevolen om een Linux-machine te gebruiken om dit certificaat te maken.

    Integratie

    Stap 1. Configureer de TGA zoals in de afbeeldingen.

    Interne CA-ondertekende certificaten voor Clean Admin-interface

    Stap 1. Genereer de privé-sleutel die wordt gebruikt voor zowel beheer als schone interface.

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    Stap 2. MVO genereren.

    Schone interface

    Stap 1. Navigeer naar de CSR creatie en gebruik de gegenereerde privésleutel.

    openssl req -new -key private-ec-key.pem -out MYCSR.csr

    Opmerking: de GN-naam moet worden ingevoerd voor MVO en moet overeenkomen met de hostnaam van de Clean-interface die is gedefinieerd onder "Netwerk". Een DNS-ingang moet aanwezig zijn op de DNS-server die de Clean interface hostname oplost. ‌

    Admin-interface

    Stap 1. Navigeer naar de CSR creatie en gebruik de gegenereerde privésleutel.

    openssl req -new -key private-ec-key.pem -out MYCSR.csr

    Opmerking: de GN-naam moet worden ingevoerd voor MVO en moet overeenkomen met de "hostnaam" van de "admin-interface" die is gedefinieerd onder "Netwerk". Een DNS-ingang moet aanwezig zijn op de DNS-server die de schone interface hostname oplost. ‌

    Stap 2. CSR moet door CA worden ondertekend. Download het certificaat in DER-formaat met de CER-extensie.

    Stap 3. Converteer CER naar PEM.

    openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

    Schone interface CSR en CER naar PEM

    Admin-interface tussen CSR en CER naar PEM

    Passend formaat van het VCC-certificaat

    Als u al beschikt over certificaten en ze zijn in CER/CRT-formaat en leesbaar wanneer een teksteditor wordt gebruikt, kunt u de extensie eenvoudigweg wijzigen in PEM.

    Als het certificaat niet leesbaar is, moet u het DER-formaat converteren naar het PEM-leesbare formaat.

    openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

    PEM

    Voorbeeld van een PEM-leesbaar formaat, zoals in het beeld wordt getoond.

    DER

    Voorbeeld van een door DER leesbaar formaat, zoals in de afbeelding wordt getoond

    Verschil tussen certificaat gemaakt in Windows vs Linux

    Een eenvoudige vergelijking van beide certificaten naast elkaar kunt u de Compare plugin in Notepad gebruiken ++ het gecodeerde verschil in lijn #68 verguisd. Aan de linkerkant kunt u het certificaat zien dat in Windows is gemaakt, rechts vindt u het certificaat dat op de Linux-machine is gegenereerd. De linker heeft een wagenterugloop waardoor dat certificaat PEM ongeldig is voor het VCC. U kunt echter geen verschil zien in de teksteditor, met uitzondering van die ene regel in het ++ Kladblok.

    Kopieer het nieuw gemaakte/geconverteerde PEM-certificaat voor RootCA en CLEAN-interface naar uw Linux-machine en verwijder de wagenterugloop uit het PEM-bestand.

    sed -i 's/\r//' <file.crt>

    Voorbeeld, sed -i 's/\r/" OPADMIN.pem.

    Controleer of de wagenterugloop aanwezig is.

    od -c <file.crt>

    Certificaten die nog steeds wagenterugloop, zoals getoond in de afbeelding.

    Certificaat nadat je dat via een Linux-machine hebt uitgevoerd.

    Voor FMC combineer Root_CA en het no-wagycertificaat op een Linux-machine de volgende opdracht.

    cat <root_ca_file.pem> <clean-int-no-carriage.pem> > <combined_root-ca_clean.pem>

    Voorbeeld, cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-wagon.pem Root-CA.pem > combineren.pem.

    Of u kunt ook een nieuwe teksteditor openen in uw Linux-machine en beide Clean-certificaten combineren met wagenterugloop verwijderd in één bestand en opslaan met de extensie .PEM. U moet uw CA-certificaat bovenaan en het Clean Interface-certificaat onderaan hebben.

    Dit moet uw certificaat zijn dat u later uploadt naar uw VCC om te integreren met de TG-applicatie.

    Certificaat uploaden naar TG-applicatie en VCC

    Uploadcertificaat voor een schone interface

    Navigeren naar Configuratie > SSL > PANDEM - Acties Upload Nieuw Certificaat > Add Certificaat, zoals getoond in de afbeelding.

    Uploadcertificaat voor een beheerinterface

    Navigeren naar Configuratie > SSL > OPADMIN - Acties Upload Nieuw certificaat > Certificaat toevoegen, zoals getoond in de afbeelding.

    Uploadcertificaat naar VCC

    Om het certificaat naar het VCC te uploaden, navigeer naar het AMP > Dynamic Analysis Connections > Add New Connection, en vul vervolgens de vereiste informatie in.

    Naam: Alle namen om te identificeren.

    Host: Clean-interface FQDN zoals gedefinieerd wanneer de CSR voor clean-interface wordt gegenereerd

    Certificaat: Het gecombineerde certificaat van ROOT_CA en clean interface_no-carry.

    Wanneer de nieuwe verbinding is geregistreerd, wordt een pop-up weergegeven. Klik op de knop Ja.

    De pagina wordt omgeleid naar de TG Clean-interface en de inlogprompt, zoals in de afbeeldingen wordt getoond.

    Accepteer de EULA.

    Succesvolle integratie geeft een actief apparaat weer, zoals in de afbeelding.

    Klik op Return, terug naar FMC met succesvolle TG-integratie, zoals in de afbeelding.

    Gerelateerde informatie

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Roman Valenta
      Cisco TAC Engineer
    • Nitin Shettigar
      Cisco-engineer
    • Bewerkt door Yeraldin Sanchez
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten