在FMC管理的FTD上安裝並續訂憑證

簡介

本檔案介紹如何在FMC管理的FTD上安裝、信任和續訂憑證。

必要條件

需求

思科建議您瞭解以下主題：

• 手動證書註冊需要訪問受信任的第三方CA。
• 第三方CA供應商的示例包括（但不限於）Entrust、Geotrust、GoDaddy、Thawte和VeriSign。
• 驗證FTD的時鐘時間、日期和時區是否正確。透過憑證驗證，建議使用網路時間通訊協定(NTP)伺服器同步FTD上的時間。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 運行6.5的FMCv
• 執行6.5的FTDv
• 建立PKCS12時使用OpenSSL

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景

本文說明如何在Firepower管理中心(FMC)管理的Firepower威脅防禦(FTD)上安裝、信任和續訂由第三方證書頒發機構(CA)或內部CA簽名的自簽名證書和證書。

設定

證書安裝

自簽名註冊

1.導覽至Devices > Certificates，然後按一下Add，如下圖所示。

2.選擇裝置，並將證書新增到Device*下拉列表中。 然後按一下綠色+符號，如圖所示。

3.指定信任點的名稱，然後在「CA資訊」頁籤下，選擇「註冊型別：自簽名證書」，如下圖所示。

4.在「Certificate Parameters」頁籤下，輸入證書的公用名。此專案必須與使用憑證的服務的fqdn或IP位址相符，如下圖所示。

5.（可選）在Key索引標籤下，可以指定用於憑證的私鑰的型別、名稱和大小。預設情況下，金鑰使用名為<Default-RSA-Key>、大小為2048的RSA金鑰；但是，建議對每個證書使用唯一的名稱，以便它們不使用與圖中所示相同的專用/公共金鑰對。

6.完成後，按一下「Save」，然後按一下「Add」，如下圖所示。

7.完成後，自簽名證書如下圖所示。

手動註冊

1.導覽至Devices > Certificates，然後按一下Add，如下圖所示。

2.在Device*下拉選單中，選擇證書新增到的裝置，然後按一下綠色+符號，如下圖所示。

3.指定信任點的名稱，然後在「CA資訊」頁籤下選擇「註冊型別：手動」。輸入用於對身份證書進行簽名的CA的pem格式證書。如果此證書目前不可用或未知，請新增任何CA證書作為佔位符，在頒發身份證書後，重複此步驟以新增實際頒發的CA，如下圖所示。

4.在「Certificate Parameters」頁籤下，輸入證書的公用名。此專案必須與使用憑證的服務的fqdn或IP位址相符，如下圖所示。

5.（可選）在Key標籤下，可以選擇指定用於證書的私鑰的型別、名稱和大小。預設情況下，金鑰使用名為<Default-RSA-Key>、大小為2048的RSA金鑰；但是，建議對每個證書使用唯一的名稱，以便它們不使用如圖所示的相同私有/公共金鑰對。

6.（可選）在Revocation頁籤下，會檢查並且可以配置Certificate Revocation List(CRL)或Online Certificate Status Protocol(OCSP)Revocation。預設情況下，兩者均未勾選，如下圖所示。

7.完成後，按一下「Save」，然後按一下「Add」，如下圖所示。

8.處理請求後，FMC提供新增身份證書的選項。按一下「ID」按鈕，如下圖所示。

9.彈出一個視窗，通知已生成CSR。按一下「Yes」，如下圖所示。

10.接下來，會產生CSR，您可以將其複製並傳送到CA。簽署CSR後，會提供身份證書。瀏覽到提供的身份證書並將其選中，然後按一下Import，如下圖所示。

11.手動證書一旦完成，如下圖所示。

PKCS12註冊

1.若要安裝已接收或已建立的PKCS12檔案，請導覽至Devices > Certificates，然後按一下Add，如下圖所示。

2.在Device*下拉選單中，選擇證書新增到的裝置，然後按一下綠色+符號，如下圖所示。

3.指定信任點的名稱，然後在CA資訊頁籤下，選擇Enrollment Type: PKCS12 File。瀏覽到建立的PKCS12檔案並選擇它。輸入建立PKCS12時使用的密碼，如下圖所示。

4.（可選）Certificate Parameters和Key頁籤呈灰色顯示，因為它們是使用PKCS12建立的，但是，可以修改啟用CRL和/或OCSP撤銷檢查的Revocation頁籤。 預設情況下，兩者均未勾選，如下圖所示。

5.完成後，按一下Save，然後按一下Add，即可進入此視窗，如下圖所示。

6.完成後，PKCS12證書如下圖所示。

證書續訂

自簽名證書續訂

1.按「Re-enroll certificate」按鈕，如下圖所示。

2.出現一個視窗，提示已移除並替換自簽名證書。按一下「Yes」，如下圖所示。

3.重新簽署後，系統會將使用者推送至未來發展中心。按一下ID按鈕並選中「Valid time（有效時間）」可以驗證這一點。

手動證書續訂

1.按「Re-enroll certificate」按鈕，如下圖所示。

2.出現一個視窗，提示生成證書簽名請求。按一下「Yes」，如下圖所示。

3.在此視窗中，生成一個CSR，它可以複製並傳送到之前簽署身份證書的同一CA。簽署CSR後，會提供續訂的身分識別憑證。瀏覽到提供的身份證書並將其選中，然後按一下Import，如下圖所示。

4.續訂的手動憑證會被推送到FTD。按一下ID按鈕並選中「Valid time（有效時間）」可以驗證這一點。

PKCS12續訂

如果按一下「重新註冊證書」按鈕，則不會續訂證書。為了更新PKCS12，需要使用前面提到的方法建立和上傳新的PKCS12檔案。

使用OpenSSL建立PKCS12

1.使用OpenSSL或類似應用程式，產生私鑰和憑證簽署請求(CSR)。此範例顯示名為private.key的2048位RSA金鑰和在OpenSSL中建立的名為ftd1.csr的CSR:

openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out ftd1.csr
Generating a 2048 bit RSA private key
..........................................+++
..................................................................................+++
written to a new private key to 'private.key'
-----
You are about to be asked to enter information that is incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there is be a default value,
If you enter '.', the field is left blank.
-----
Country Name (2 letter code) [AU]:.
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cisco Systems
Organizational Unit Name (eg, section) []:TAC
Common Name (e.g. server FQDN or YOUR name) []:ftd1.example.com
Email Address []:.

Please enter these'extra'attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

2.複製產生的CSR，並將其傳送到CA。簽署CSR後，會提供身份證書。通常也會提供CA憑證。要建立PKCS12，請在OpenSSL中運行以下命令之一：

若要僅包括在PKCS12中頒發的CA證書，請使用以下命令：

openssl pkcs12 -export -out ftd.pfx -in ftd.crt -inkey private.key -certfile ca.crt
Enter Export Password: *****
Verifying - Enter Export Password: *****

• ftd.pfx是由openssl匯出的pkcs12檔案的名稱（格式為der）。
• ftd.crt是CA以pem格式簽發的已簽名身份證書的名稱。
• private.key是在步驟1中建立的金鑰對。
• ca.crt是證書頒發機構的證書，採用pem格式。

如果證書是包含根CA和1個或多個中間CA的鏈的一部分，則可以使用以下命令在PKCS12中新增完整的鏈：

openssl pkcs12 -export -out ftd.pfx -in ftd.crt -inkey private.key -chain -CAfile cachain.pem 
Enter Export Password: *****
Verifying - Enter Export Password: *****

• ftd.pfx是由OpenSSL匯出的pkcs12檔案的名稱（格式為der）。
• ftd.crt是CA以pem格式簽發的已簽名身份證書的名稱。
• private.key是在步驟1中建立的金鑰對。
• cachain.pem是一個檔案，其中包含鏈中的CA證書，該檔案以頒發中間CA開頭，以pem格式以根CA結尾。

如果返回PKCS7檔案(.p7b， .p7c)，則這些命令還可用於建立PKCS12。如果p7b採用der格式，請確保將-inform der新增到引數中，否則不要包括：

openssl pkcs7 -in ftd.p7b -inform der -print_certs -out ftdpem.crt

openssl pkcs12 -export -in ftdpem.crt -inkey private.key -out ftd.pfx
Enter Export Password: *****
Verifying - Enter Export Password: *****

• ftd.p7b是CA傳回的PKCS7，其中包含簽名的身分憑證和CA鏈結。
• ftdpem.crt是已轉換的p7b檔案。
• ftd.pfx是由OpenSSL匯出的pkcs12檔案的名稱（格式為der）。
• private.key是在步驟1中建立的金鑰對。

驗證

使用本節內容，確認您的組態是否正常運作。

檢視FMC中安裝的證書

在FMC中，導覽至Devices > Certificates。有關相關信任點，請點選CA或ID以檢視證書的更多詳細資訊，如下圖所示。

如圖所示驗證CA憑證。

如圖所示驗證身份證書。

在CLI中檢視已安裝的證書

使用SSH連線到FTD，然後輸入命令show crypto ca certificate。

> show crypto ca certificates
Certificate
  Status: Available
  Certificate Serial Number: 6fc1d90700df29ae
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=VPN Root CA
    o=Cisco Systems TAC
  Subject Name:
    cn=ftd1.example.com
    ou=TAC
    o=Cisco Systems
  Validity Date:
    start date: 15:47:00 UTC Apr 8 2020
    end   date: 15:47:00 UTC Apr 8 2021
  Storage: config
  Associated Trustpoints: FTD-1-PKCS12

CA Certificate
  Status: Available
  Certificate Serial Number: 420452ff0a090e28
  Certificate Usage: General Purpose
  Public Key Type: RSA (4096 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=VPN Root CA
    o=Cisco Systems TAC
  Subject Name:
    cn=VPN Root CA
    o=Cisco Systems TAC
  Validity Date:
    start date: 23:16:00 UTC Apr 5 2020
    end   date: 23:16:00 UTC Apr 5 2030
  Storage: config
  Associated Trustpoints: FTD-1-PKCS12

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

Debug指令

如果SSL證書安裝失敗，則FTD透過SSH連線後，可以從診斷CLI運行調試：

debug crypto ca 14

在舊版FTD中，以下偵錯功能可用且建議用於疑難排解：

debug crypto ca 255

debug crypto ca message 255

debug crypto ca transaction 255

常見問題

匯入已頒發的身份證書後，仍會看到消息「需要匯入身份證書」。

出現這種情況可能是由於兩個不同的問題：

1.手動註冊時未新增頒發的CA證書

匯入身份證書後，系統將根據手動註冊時在「CA資訊」頁籤下新增的CA證書檢查該證書。有時，網路管理員沒有用於簽署其身份證書的CA的CA證書。在這種情況下，當您進行手動註冊時，必須新增佔位符CA證書。一旦簽發了身份證書並且提供了CA證書，就可以使用正確的CA證書進行新的手動註冊。再次完成手動註冊嚮導時，請確保為金鑰對指定與原始手動註冊中相同的名稱和大小。完成後，不再將CSR重新轉送到CA，而是可以將先前頒發的身分憑證匯入到新建立的信任點，且此信任點具有正確的CA憑證。

要檢查在手動註冊時是否應用了相同的CA證書，請按一下「驗證」部分中指定的CA按鈕，或檢查show crypto ca certificates的輸出。「Issued to」和「Serial Number」等欄位可與證書頒發機構提供的CA證書中的欄位進行比較。

2.所建立信任點中的金鑰對不同於為已頒發證書建立CSR時使用的金鑰對。

透過手動註冊，在產生金鑰配對和CSR時，公鑰會新增到CSR，以便可以包含到核發的身分憑證中。如果由於某些原因修改了FTD上的金鑰對，或頒發的身份憑證包含不同的公鑰，則FTD不會安裝頒發的身份憑證。若要檢查是否發生這種情況，有兩種不同的測試：

在OpenSSL中，可以核發以下命令，以將CSR中的公鑰與核發憑證中的公鑰進行比較：

openssl req -noout -modulus -in ftd.csr
Modulus=8A2E53FF7786A8A3A922EE5299574CCDCEEBC096341F194A4018BCE9E38A7244DBEA2759F1897BE7C489C484749C4DE13D42B34F5A2051F6E
0FDFD5783DB0F27256900AE69F3A84C217FCA5C6B4334A8B7B4E8CD85E749C1C7F5793EF0D199A229E7C5471C963B8AF3A49EB98B9EDBFDDE92B5DEB7
81941B3706A24F6626746E5C9237D9C00B2FF36FD45E8E9A92A3DE43EC91E8D80642F655D98293C6CA236FB177E4C3440C8DA4C2BEC019A3F024D94AE
C7CADC06019E1CC763D51EC6FF1E277C68983F6C4CE1B826CBE721A3C7198234486A1BF9C20D10E047C8D39FA85627178F72E4BA11F8D5ACF950F9164
B966DA10BF24771CFE55327C5A14B96235E9

openssl x509 -noout -modulus -in id.crt
Modulus=8A2E53FF7786A8A3A922EE5299574CCDCEEBC096341F194A4018BCE9E38A7244DBEA2759F1897BE7C489C484749C4DE13D42B34F5A2051F6E
0FDFD5783DB0F27256900AE69F3A84C217FCA5C6B4334A8B7B4E8CD85E749C1C7F5793EF0D199A229E7C5471C963B8AF3A49EB98B9EDBFDDE92B5DEB7
81941B3706A24F6626746E5C9237D9C00B2FF36FD45E8E9A92A3DE43EC91E8D80642F655D98293C6CA236FB177E4C3440C8DA4C2BEC019A3F024D94AE
C7CADC06019E1CC763D51EC6FF1E277C68983F6C4CE1B826CBE721A3C7198234486A1BF9C20D10E047C8D39FA85627178F72E4BA11F8D5ACF950F9164
B966DA10BF24771CFE55327C5A14B96235E9

• ftd.csr是手動註冊時從FMC複製的CSR。
• id.crt是CA簽名的身份證書。

或者，FTD上的公鑰值也可以與核發的身分憑證中的公鑰進行比較。請注意，由於進行填充，憑證中的第一個字元與FTD輸出中的字元不匹配：

已在Windows PC上開啟頒發的身份證書：

從身份證書提取的公鑰輸出：

3082010a02820101008a2e53ff7786a8a3a922ee5299574ccdceebc096341f194a4018bce9e38a7244dbea2759f1897be7c489c484749c4de13d42b34f5a2051
f6e0fdfd5783db0f27256900ae69f3a84c217fca5c6b4334a8b7b4e8cd85e749c1c7f5793ef0d199a229e7c5471c963b8af3a49eb98b9edbfdde92b5deb78194
1b3706a24f6626746e5c9237d9c00b2ff36fd45e8e9a92a3de43ec91e8d80642f655d98293c6ca236fb177e4c3440c8da4c2bec019a3f024d94aec7cadc06019
e1cc763d51ec6ff1e277c68983f6c4ce1b826cbe721a3c7198234486a1bf9c20d10e047c8d39fa85627178f72e4ba11f8d5acf950f9164b966da10bf24771cfe
55327c5a14b96235e90203010001

Show crypto key mypubkey rsa output from the FTD。完成手動註冊後，<Default-RSA-Key>用於建立CSR。加粗部分與從身份證書提取的公鑰輸出相匹配。

> show crypto key mypubkey rsa
Key pair was generated at: 16:58:44 UTC Jan 25 2019
 Key name: <Default-RSA-Key>
 Usage: General Purpose Key
 Modulus Size (bits): 2048
 Storage: config
 Key Data:

  30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101
  008a2e53 ff7786a8 a3a922ee 5299574c cdceebc0 96341f19 4a4018bc e9e38a72
  44dbea27 59f1897b e7c489c4 84749c4d e13d42b3 4f5a2051 f6e0fdfd 5783db0f
  27256900 ae69f3a8 4c217fca 5c6b4334 a8b7b4e8 cd85e749 c1c7f579 3ef0d199
  a229e7c5 471c963b 8af3a49e b98b9edb fdde92b5 deb78194 1b3706a2 4f662674
  6e5c9237 d9c00b2f f36fd45e 8e9a92a3 de43ec91 e8d80642 f655d982 93c6ca23
  6fb177e4 c3440c8d a4c2bec0 19a3f024 d94aec7c adc06019 e1cc763d 51ec6ff1
  e277c689 83f6c4ce 1b826cbe 721a3c71 98234486 a1bf9c20 d10e047c 8d39fa85
  627178f7 2e4ba11f 8d5acf95 0f9164b9 66da10bf 24771cfe 55327c5a 14b96235
  e9020301 0001

FMC中CA旁邊的紅色X

PKCS12註冊時可能會發生這種情況，因為CA證書沒有包含在PKCS12軟體包中。

要解決此問題，PKCS12需要新增CA證書。

核發以下命令，以便提取身份證書和私鑰。需要建立PKCS12時使用的密碼和安全私鑰：

openssl pkcs12 -info -in test.p12
Enter Import Password: [pkcs12 pass phrase here]
MAC Iteration 1
MAC verified OK
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes
    friendlyName: Test
    localKeyID: 76 8F D1 75 F0 69 FA E6 2F CF D3 A6 83 48 01 C4 63 F4 9B F2
subject=/CN=ftd1.example.com
issuer=/O=Cisco Systems TAC/CN=VPN Intermediate CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Bag Attributes
    friendlyName: Test
    localKeyID: 76 8F D1 75 F0 69 FA E6 2F CF D3 A6 83 48 01 C4 63 F4 9B F2
Key Attributes: <No Attributes>
Enter PEM pass phrase: [private-key pass phrase here]
Verifying - Enter PEM pass phrase: [private-key pass phrase here]
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----

完成之後，可以使用使用OpenSSL建立PKCS12的步驟2.中提到的步驟，將身份證書和私鑰放入單獨的文件，並且CA證書可以匯入到新的PKCS12檔案中。