FMC上的证书错误“需要身份证书导入”故障排除

简介

本文档介绍如何排除和修复由Firepower管理中心(FMC)管理的Firepower威胁防御(FTD)设备上的“需要身份证书导入”错误。

先决条件

要求

Cisco 建议您了解以下主题：

• 公用密钥基础结构 (PKI)
• FMC
• FTD
• OpenSSL

使用的组件

本文档中使用的信息基于以下软件版本：

• MacOS x 10.14.6
• FMC 6.4
• OpenSSL

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

注意：在FTD设备上，生成证书签名请求(CSR)之前需要证书颁发机构(CA)证书。

• 如果在外部服务器（例如Windows Server或OpenSSL）中生成CSR，manual enrollment method将会失败，因为FTD不支持手动密钥注册。必须使用其他方法，例如PKCS12。

问题

在FMC中导入证书并收到错误，表明需要身份证书才能继续进行证书注册。

场景 1

• 已选择手动注册
• CSR在外部生成（Windows Server、OpenSSL等），并且您没有（或知道）私钥信息
• 以前的CA证书用于填充CA证书信息，但是如果此证书负责证书签名，则此证书未知

场景 2

• 已选择手动注册
• CSR在外部生成(Windows Server、OpenSSL)
• 您拥有来自CA的证书文件，用于签署我们的CSR

对于这两个过程，都会上传证书并显示进度指示，如图所示。

几秒钟后，FMC仍声明需要ID证书：

上一个错误表示CA证书与ID证书中的颁发者信息不匹配，或者私钥与FTD中默认生成的密钥不匹配。

解决方案

要使此证书注册生效，您必须具有ID证书的相应密钥。使用OpenSSL可生成PKCS12文件。

步骤1.生成CSR（可选）

您可以使用称为CSR生成器的第三方工具(csrgenerator.com)获取CSR及其私钥。

在相应填写证书信息后，选择生成CSR选项。

这为我们提供了要发送到证书颁发机构的CSR +私钥：

步骤2.签署CSR

CSR需要由第三方CA(GoDaddy、DigiCert)签署，签署CSR后，将提供一个压缩文件，其中包含：

• 身份证书
• CA捆绑包（中间证书+根证书）

步骤3.检验并分离证书

使用文本编辑器（例如，记事本）验证和分隔文件。 使用私钥(key.pem)、身份证书(ID.pem)和CA证书(CA.pem)的易识别名称创建文件。

对于CA捆绑文件具有超过2个证书（1个根CA，1个子CA）的情况，需要删除根CA，ID证书颁发机构是子CA，因此，在此场景中拥有根CA不相关。

CA.pem文件的内容：

名为key.pem的文件的内容：

名为ID.pem的文件的内容：

步骤4.合并PKCS12中的证书

将CA证书与ID证书和私钥合并到.pfx文件中。您必须使用密码保护此文件。

openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx 

步骤5.在FMC中导入PKCS12证书

在FMC中，导航到Device > Certificates并将证书导入所需的防火墙：

验证

要验证证书状态以及CA和ID信息，您可以选择图标并确认其已成功导入：

选择ID图标：