Threat Grid设备与FMC集成的故障排除

下载选项

PDF (5.2 MB)
在各种设备上使用 Adobe Reader 查看
ePub (5.8 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (2.9 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2021 年 4 月 26 日

文档 ID:217064

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档详细介绍线程网格设备(TGA)与Firepower管理中心(FMC)的集成。

先决条件

要求

Cisco 建议您了解以下主题：

Firepower管理FMC
Threat Grid设备基本配置
创建授权证书(CA)
Linux/Unix

使用的组件

本文档中的信息基于以下软件和硬件版本：

FMC版本6.6.1
Threat Grid 2.12.2
CentOS 8

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

问题

在此用例场景中，您可以看到2个问题和两个错误代码。

场景 1

集成失败，出现错误：

Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60)

当涉及到此问题时，该问题与未作为完整链上传到FMC中的证书有关。由于使用了CA签名的证书，因此需要使用合并到一个单一PEM文件中的整个证书链。换言之，您以Root CA > Intermediate Cert （如果适用） > Clean Int开头。有关具体要求和过程，请参阅官方指南中的本文。

如果存在CA的多级签名链，则所有必需的中间证书和根证书必须包含在上传到FMC的单个文件中。

所有证书都必须采用PEM编码。

文件的新行必须是UNIX，而不是DOS。

如果Threat Grid设备提供自签名证书，请上传您从该设备下载的证书。

如果Threat Grid设备提供CA签名证书，请上传包含证书签名链的文件。

场景 2

无效的证书格式错误

Invalid Certificate format (must be PEM encoded) (code=0)

证书格式错误，如图所示。

此错误是由于在使用OpenSSL的Windows计算机上创建的组合PEM证书的格式不正确。强烈建议使用Linux计算机创建此证书。

集成

步骤1:配置TGA，如图所示。

Clean Admin接口的内部CA签名证书

步骤1:生成用于管理接口和干净接口的私钥。

openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

第二步：生成 CSR.

清理接口

步骤1:导航到CSR创建并使用生成的私钥。

openssl req -new -key private-ec-key.pem -out MYCSR.csr

注意：必须为CSR输入CN名称，并且必须与“Network”下定义的Clean接口的主机名匹配。DNS条目必须存在于解析Clean接口主机名的DNS服务器上。‌

管理界面

第 1 步：导航到CSR创建并使用生成的私钥。

openssl req -new -key private-ec-key.pem -out MYCSR.csr

注意：必须为CSR输入CN名称，并且必须与“Network”下定义的“admin interface”的“hostname”匹配。DNS条目必须存在于解析安全接口主机名的DNS服务器上。‌

第二步：CSR将由CA签署。使用CER扩展名下载DER格式的证书。

第三步：将CER转换为PEM。

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

将接口CSR和CER清理为PEM

管理接口CSR和CER到PEM

用于FMC的证书格式正确

如果您已获得证书，并且证书是CER/CRT格式，在使用文本编辑器时可以读取，则只需将扩展名更改为PEM即可。

如果证书不可读，您需要将DER格式转换为PEM可读格式。

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem

PEM

PEM可读格式示例，如图所示。

DER

DER可读格式示例，如图所示

在Windows中创建的证书与Linux中创建的证书的区别

使用记事本中的Compare插件对两个证书进行简单的并排比较，++辱骂行#68中的编码差异。在左侧，您可以看到在Windows中创建的证书；在右侧，您可以看到在Linux计算机上生成的证书。左侧的证书有回车符，因此该证书PEM对于FMC无效。但是，除了记事本++中的那一行以外，您无法区分文本编辑器中的差异。

将新创建/转换的RootCA和CLEAN接口的PEM证书复制到Linux计算机，并从PEM文件中删除回车。

sed -i 's/\r//' <file.crt>

例如，sed -i 's/\r/' OPADMIN.pem。

验证是否存在回车。

od -c <file.crt>

仍提供回车符的证书，如图所示。

通过Linux计算机运行该证书之后。

对于FMC，在Linux计算机上结合使用Root_CA和无传输证书，请使用下一个命令。

cat <root_ca_file.pem> <clean-int-no-carriage.pem> > <combined_root-ca_clean.pem>

例如，cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-carriage.pem Root-CA.pem > combine.pem。

或者，您也可以在Linux计算机中打开新的文本编辑器，并将删除了回车符的Clean certificates合并到一个文件中，然后使用.PEM扩展名保存该文件。CA证书必须位于顶部，Clean Interface证书必须位于底部。

此证书必须是稍后上传到FMC以与TG设备集成的证书。

证书上传到TG设备和FMC

上传安全接口的证书

导航到配置> SSL >PANDEM -操作上传新证书>添加证书，如图所示。

上传管理员界面的证书

导航到Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificate，如图所示。

将证书上传到FMC

要将证书上传到FMC，请导航到AMP > Dynamic Analysis Connections > Add New Connection，然后填写所需信息。

Name：要标识的任何名称。

主机：清洁接口FQDN，如为清洁接口生成CSR时所定义

Certificate： ROOT_CA和clean interface_no-carriage的组合证书。

注册新连接后，系统将显示一个弹出窗口，点击Yes按钮。

页面重定向到TG Clean界面和登录提示符，如图所示。

接受EULA。

如图所示，成功集成后会显示活动设备。

点击Return，返回到TG成功集成的FMC，如图所示。