對FMC上的證書錯誤「需要匯入身份證書」進行故障排除

簡介

本文說明如何排解和修正由Firepower管理中心(FMC)管理的Firepower威脅防禦(FTD)裝置上的「需要身份證書匯入」錯誤。

必要條件

需求

思科建議您瞭解以下主題：

• 公開金鑰基礎架構 (PKI)
• FMC
• FTD
• OpenSSL

採用元件

文中使用的資訊是根據以下軟體版本：

• MacOS x 10.14.6
• FMC 6.4
• OpenSSL

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

背景資訊

附註：在FTD裝置上，需要先取得憑證授權單位(CA)憑證，才能產生憑證簽署請求(CSR)。

• 如果在外部伺服器（例如Windows Server或OpenSSL）中產生CSR，則手動註冊方法會失敗，因為FTD不支援手動金鑰註冊。必須使用其他方法，例如PKCS12。

問題

在FMC中匯入證書並收到一個錯誤，說明需要身份證書才能繼續進行證書註冊。

案例 1

• 已選擇手動註冊
• CSR是從外部生成的（Windows Server、OpenSSL等），您沒有（或知道）私鑰資訊
• 以前的CA證書用於填充CA證書資訊，但不知道此證書是否負責證書簽名

案例 2

• 已選擇手動註冊
• CSR是從外部生成的(Windows Server、OpenSSL)
• 您有來自CA的憑證檔案，用於簽署我們的CSR

兩個程式都會上傳憑證，並顯示進度指示，如下圖所示。

幾秒鐘後，FMC仍宣告需要ID證書：

上一個錯誤指出CA憑證與ID憑證中的頒發者資訊不相符，或是私鑰與FTD中預設產生的私鑰不相符。

解決方案

要使此證書註冊生效，您必須具有ID證書的相應金鑰。使用OpenSSL可產生PKCS12檔案。

步驟1。產生CSR（可選）

您可以使用稱為CSR generator(csrgenerator.com)的第三方工具取得CSR及其私密金鑰。

在相應填寫證書資訊後，選擇生成CSR選項。

這提供了CSR +私鑰以便我們傳送到證書頒發機構：

步驟2.簽署CSR

CSR需要由第三方CA(GoDaddy、DigiCert)簽署，一旦簽署CSR，便會提供一個zip檔案，其中包括：

• 身份證書
• CA套件組合（中間憑證+根憑證）

步驟3.驗證並分離憑證

使用文字編輯器（例如記事本）驗證和分隔檔案。 為私密金鑰(key.pem)、身分識別憑證(ID.pem)和CA憑證(CA.pem)建立具有可輕易識別名稱的檔案。

如果CA套件組合檔案具有超過2個憑證（1個根CA、1個子CA），則需要移除根CA，ID憑證發出者是子CA，因此，在此案例中與具有根CA無關。

名為CA.pem的檔案的內容：

名為key.pem的檔案的內容：

名為ID.pem的檔案的內容：

步驟4.合併PKCS12中的證書

將CA證書與ID證書和.pfx檔案中的私鑰合併。您必須使用密碼保護此檔案。

openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx 

步驟5.匯入FMC中的PKCS12證書

在FMC中，導覽至Device > Certificates，然後將憑證匯入所需的防火牆：

驗證

若要確認憑證狀態以及CA和ID資訊，您可以選擇圖示並確認其已成功匯入：

選擇ID圖標：