Fehlerbehebung bei Zertifikatfehler "Identitätszertifikatimport erforderlich" auf FMC

Download-Optionen

  • PDF     (1.2 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.0 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.2 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:29. Juli 2020
Dokument-ID:215856

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie den Fehler "Import des Identitätszertifikats erforderlich" auf Firepower Threat Defense (FTD)-Geräten beheben und beheben, die vom Firepower Management Center (FMC) verwaltet werden.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Public Key Infrastructure (PKI)
    • FMC
    • FTD
    • OpenSSL

    Verwendete Komponenten

    Die in diesem Dokument verwendeten Informationen basieren auf den folgenden Softwareversionen:

    • Mac OS X 10.14.6
    • FMC 6.4
    • OpenSSL

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

    Hintergrundinformationen

    Anmerkung: Auf FTD-Geräten wird das Zertifikat der Zertifizierungsstelle benötigt, bevor die CSR (Certificate Signing Request) generiert wird.

    • Wenn der CSR auf einem externen Server (wie Windows Server oder OpenSSL) generiert wird, ist die manuelle Registrierungsmethode zum Scheitern verurteilt, da FTD die manuelle Schlüsselregistrierung nicht unterstützt. Es muss eine andere Methode verwendet werden, z. B. PKCS12.

    Problem

    Ein Zertifikat wird in das FMC importiert, und es wird ein Fehler ausgegeben, der besagt, dass ein Identitätszertifikat erforderlich ist, um mit der Zertifikatregistrierung fortzufahren.

    Szenario 1

    • Manuelle Registrierung ausgewählt
    • CSR wird extern generiert (Windows Server, OpenSSL usw.) und Sie haben (oder kennen) die Informationen zum privaten Schlüssel nicht
    • Ein vorheriges Zertifizierungsstellenzertifikat wird verwendet, um die Zertifizierungsstellenzertifikatinformationen auszufüllen. Es ist jedoch unbekannt, ob dieses Zertifikat für das Zertifikatzeichen verantwortlich ist

    Szenario 2

    • Manuelle Registrierung ausgewählt
    • CSR wird extern generiert (Windows Server, OpenSSL)
    • Sie haben die Zertifikatsdatei der Zertifizierungsstelle, die unseren CSR signiert.

    Für beide Verfahren wird das Zertifikat hochgeladen, und eine Fortschrittsanzeige wird angezeigt, wie im Bild gezeigt.

    Nach einigen Sekunden gibt das FMC weiterhin an, dass ein ID-Zertifikat erforderlich ist:

    Der vorherige Fehler zeigt an, dass entweder das CA-Zertifikat nicht mit den Ausstellerinformationen im ID-Zertifikat übereinstimmt oder dass der private Schlüssel nicht mit dem standardmäßig im FTD generierten übereinstimmt.

    Lösung

    Damit Sie sich registrieren können, müssen Sie über die entsprechenden Schlüssel für das ID-Zertifikat verfügen. Mit OpenSSL wird eine PKCS12 Datei generiert.

    Schritt 1: Erstellen einer CSR-Anfrage (optional)

    Sie können einen CSR zusammen mit seinem privaten Schlüssel mithilfe eines Drittanbieter-Tools namens CSR Generator (csrgenerator.com) erhalten.

    Wenn die Zertifikatinformationen entsprechend ausgefüllt wurden, wählen Sie die Option zum Generieren von CSR aus.

    Dadurch erhalten wir einen CSR + privaten Schlüssel, den wir an eine Zertifizierungsstelle senden können:

    Schritt 2: Unterzeichnen des CSR

    Der CSR muss von einer Drittanbieter-CA (GoDaddy, DigiCert) signiert werden. Sobald der CSR signiert ist, wird eine ZIP-Datei bereitgestellt, die unter anderem Folgendes enthält:

    • Identitätszertifikat
    • CA-Paket (Zwischenzertifikat + Stammzertifikat)

    Schritt 3: Überprüfen und Trennen der Zertifikate

    Überprüfen und trennen Sie die Dateien mithilfe eines Texteditors (z. B. Notizblock). Erstellen Sie die Dateien mit leicht identifizierbaren Namen für den privaten Schlüssel (key.pem), das Identitätszertifikat (ID.pem) und das Zertifizierungsstellenzertifikat (CA.pem).

    Für den Fall, dass die CA-Paketdatei mehr als zwei Zertifikate (eine Stammzertifizierungsstelle, eine untergeordnete Zertifizierungsstelle) enthält, muss die Stammzertifizierungsstelle entfernt werden. Der ID-Zertifikataussteller ist die untergeordnete Zertifizierungsstelle. Daher ist es in diesem Szenario nicht relevant, die Stammzertifizierungsstelle zu verwenden.

    Inhalt der Datei CA.pem:

    Inhalt der Datei key.pem:

    Inhalt der Datei mit dem Namen ID.pem:

    Schritt 4: Zusammenführen der Zertifikate in einem PKCS12

    Verbinden Sie das CA-Zertifikat mit dem ID-Zertifikat und dem privaten Schlüssel in einer .pfx-Datei. Sie müssen diese Datei mit einer Passphrase schützen.

    openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx

    Schritt 5: PKCS12-Zertifikat in FMC importieren

    Navigieren Sie im FMC zu Device > Certificates (Gerät > Zertifikate), und importieren Sie das Zertifikat in die gewünschte Firewall:


    Überprüfung

    Um den Zertifikatsstatus zusammen mit den Informationen zu CA und ID zu überprüfen, können Sie die Symbole auswählen und bestätigen, dass das Zertifikat erfolgreich importiert wurde:

    Wählen Sie das ID-Symbol aus:

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    29-Jul-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Hugo Olguin
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.