Threat Grid裝置與FMC整合的故障排除

簡介

本文檔詳細介紹執行緒網格裝置(TGA)與Firepower管理中心(FMC)的整合。

必要條件

需求

思科建議您瞭解以下主題：

• Firepower管理FMC
• Threat Grid裝置基本配置
• 建立授權證書(CA)
• Linux/Unix

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• FMC 6.6.1版
• Threat Grid 2.12.2
• CentOS 8

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

問題

在此用例場景中，您可以看到2個問題和兩個錯誤代碼。

案例 1

 整合失敗，但有錯誤：

Sandbox registration failed: Peer certificate cannot be authenticated with given CA certificates (code = 60) 

當涉及到這個問題時，該問題與未作為完整證書鏈上傳到FMC的證書有關。由於使用了CA簽名的證書，因此需要使用合併到單個PEM檔案中的整個證書鏈。換句話說，您從Root CA > Intermediate Cert （如果適用） > Clean Int開始。請參閱官方指南中描述要求和程式的本文。

如果CA存在多層級簽名鏈，則所有必需的中間證書和根證書必須包含在上傳到FMC的單個檔案中。

所有證書都必須採用PEM編碼。

檔案的新行必須是UNIX，而不是DOS。

案例 2

無效的憑證格式錯誤

Invalid Certificate format (must be PEM encoded) (code=0) 

憑證格式錯誤，如圖所示。

此錯誤是由於在使用OpenSSL的Windows電腦上建立的組合PEM證書的格式設定錯誤所致。強烈建議使用Linux機器建立此憑證。

整合

步驟 1.配置TGA，如圖所示。

Clean Admin介面的內部CA簽名證書

步驟 1.生成用於管理介面和乾淨介面的私鑰。

openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem 

步驟 2.生成CSR。

清除介面

步驟 1.導航到CSR建立並使用生成的私鑰。

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

注意：必須為CSR輸入CN名稱，並且必須與「Network」下定義的全新介面的主機名匹配。DNS條目必須存在於解析Clean interface主機名的DNS伺服器上。‌

管理介面

步驟 1.導航到CSR建立並使用生成的私鑰。

openssl req -new -key private-ec-key.pem -out MYCSR.csr 

注意：必須為CSR輸入CN名稱，並且必須與「Network」下定義的「admin interface」的「hostname」匹配。DNS條目必須存在於解析全新介面主機名的DNS伺服器上。‌

步驟 2.CSR將由CA簽署。使用CER副檔名下載DER格式的證書。

步驟 3.將CER轉換為PEM。

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

清除CSR和CER到PEM的介面

管理介面CSR和CER到PEM

用於FMC的證書格式正確

如果您已獲得證書，並且證書採用CER/CRT格式，在使用文本編輯器時可以讀取，則只需將擴展更改為PEM即可。

如果證書不可讀，您需要將DER格式轉換為PEM可讀格式。

openssl x509 -inform DER -outform PEM -in xxxx.cer -out yyyy.pem 

PEM

PEM可讀格式的示例，如圖所示。

DER

DER可讀格式的示例，如圖所示

在Windows和Linux中建立的證書之間的差異

透過並排比較兩個證書，您可以使用記事本中的比較外掛，++批評行#68中的編碼差異。在左邊，您可以看到Windows中建立的證書，在右邊，您可以看到Linux電腦上生成的證書。左邊的憑證有回車符，因此該憑證PEM對FMC無效。但是，除了記事本++中的那一行之外，您無法區分文本編輯器中的差異。

將新建立/轉換的RootCA和CLEAN介面的PEM證書複製到Linux電腦，並從PEM檔案中刪除回車符。

sed -i 's/\r//' <file.crt> 

例如，sed -i 's/\r/' OPADMIN.pem。

驗證是否存在回車。

od -c <file.crt> 

仍有回車符的證書，如圖所示。

透過Linux電腦運行該證書後進行註冊。

對於FMC，在Linux電腦上結合Root_CA和無回車證書，請使用下一個命令。

cat <root_ca_file.pem> <clean-int-no-carriage.pem> > <combined_root-ca_clean.pem> 

例如，cat Clean-interface_CSR_CA-signed_DER_CER_PEM_no-carriage.pem Root-CA.pem > combine.pem。

或者，您也可以在Linux機器中開啟新的文字編輯器，將移除回車符號的完整憑證合併成一個檔案，並以.PEM副檔名儲存。您必須將CA證書放在頂部，將Clean Interface證書放在底部。

這必須是您稍後上傳到FMC以與TG裝置整合的證書。

證書上傳到TG裝置和FMC

上傳乾淨介面的證書

導覽至Configuration > SSL > PANDEM - Actions Upload New Certificate > Add Certificate，如下圖所示。

上傳管理員介面的憑證

導覽至Configuration > SSL > OPADMIN - Actions Upload New Certificate > Add Certificate，如下圖所示。

將憑證上傳到FMC

要將證書上傳到FMC，請導航到AMP > Dynamic Analysis Connections > Add New Connection，然後填寫所需資訊。

名稱：要標識的任何名稱。

主機：生成用於清除介面的CSR時定義的清除介面FQDN

證書： ROOT_CA和clean interface_no-carriage的組合證書。

註冊新連線後，將顯示一個彈出窗口，按一下Yes按鈕。

頁面重定向至TG Clean介面和登入提示，如圖所示。

接受EULA。

成功整合將顯示一個活動裝置，如圖所示。

點選返回，返回成功TG整合的FMC，如圖所示。

相關資訊

• Firepower管理中心配置指南，版本6.6
• 技術支援與文件 - Cisco Systems