Einleitung
In diesem Dokument wird beschrieben, wie Sie den Fehler "Import des Identitätszertifikats erforderlich" auf Firepower Threat Defense (FTD)-Geräten beheben und beheben, die vom Firepower Management Center (FMC) verwaltet werden.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Public Key Infrastructure (PKI)
- FMC
- FTD
- OpenSSL
Verwendete Komponenten
Die in diesem Dokument verwendeten Informationen basieren auf den folgenden Softwareversionen:
- Mac OS X 10.14.6
- FMC 6.4
- OpenSSL
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Hintergrundinformationen
Anmerkung: Auf FTD-Geräten wird das Zertifikat der Zertifizierungsstelle benötigt, bevor die CSR (Certificate Signing Request) generiert wird.
- Wenn der CSR auf einem externen Server (wie Windows Server oder OpenSSL) generiert wird, ist die manuelle Registrierungsmethode zum Scheitern verurteilt, da FTD die manuelle Schlüsselregistrierung nicht unterstützt. Es muss eine andere Methode verwendet werden, z. B. PKCS12.
Problem
Ein Zertifikat wird in das FMC importiert, und es wird ein Fehler ausgegeben, der besagt, dass ein Identitätszertifikat erforderlich ist, um mit der Zertifikatregistrierung fortzufahren.
Szenario 1
- Manuelle Registrierung ausgewählt
- CSR wird extern generiert (Windows Server, OpenSSL usw.) und Sie haben (oder kennen) die Informationen zum privaten Schlüssel nicht
- Ein vorheriges Zertifizierungsstellenzertifikat wird verwendet, um die Zertifizierungsstellenzertifikatinformationen auszufüllen. Es ist jedoch unbekannt, ob dieses Zertifikat für das Zertifikatzeichen verantwortlich ist
Szenario 2
- Manuelle Registrierung ausgewählt
- CSR wird extern generiert (Windows Server, OpenSSL)
- Sie haben die Zertifikatsdatei der Zertifizierungsstelle, die unseren CSR signiert.
Für beide Verfahren wird das Zertifikat hochgeladen, und eine Fortschrittsanzeige wird angezeigt, wie im Bild gezeigt.
Nach einigen Sekunden gibt das FMC weiterhin an, dass ein ID-Zertifikat erforderlich ist:
Der vorherige Fehler zeigt an, dass entweder das CA-Zertifikat nicht mit den Ausstellerinformationen im ID-Zertifikat übereinstimmt oder dass der private Schlüssel nicht mit dem standardmäßig im FTD generierten übereinstimmt.
Lösung
Damit Sie sich registrieren können, müssen Sie über die entsprechenden Schlüssel für das ID-Zertifikat verfügen. Mit OpenSSL wird eine PKCS12 Datei generiert.
Schritt 1: Erstellen einer CSR-Anfrage (optional)
Sie können einen CSR zusammen mit seinem privaten Schlüssel mithilfe eines Drittanbieter-Tools namens CSR Generator (csrgenerator.com) erhalten.
Wenn die Zertifikatinformationen entsprechend ausgefüllt wurden, wählen Sie die Option zum Generieren von CSR aus.
Dadurch erhalten wir einen CSR + privaten Schlüssel, den wir an eine Zertifizierungsstelle senden können:
Schritt 2: Unterzeichnen des CSR
Der CSR muss von einer Drittanbieter-CA (GoDaddy, DigiCert) signiert werden. Sobald der CSR signiert ist, wird eine ZIP-Datei bereitgestellt, die unter anderem Folgendes enthält:
- Identitätszertifikat
- CA-Paket (Zwischenzertifikat + Stammzertifikat)
Schritt 3: Überprüfen und Trennen der Zertifikate
Überprüfen und trennen Sie die Dateien mithilfe eines Texteditors (z. B. Notizblock). Erstellen Sie die Dateien mit leicht identifizierbaren Namen für den privaten Schlüssel (key.pem), das Identitätszertifikat (ID.pem) und das Zertifizierungsstellenzertifikat (CA.pem).
Für den Fall, dass die CA-Paketdatei mehr als zwei Zertifikate (eine Stammzertifizierungsstelle, eine untergeordnete Zertifizierungsstelle) enthält, muss die Stammzertifizierungsstelle entfernt werden. Der ID-Zertifikataussteller ist die untergeordnete Zertifizierungsstelle. Daher ist es in diesem Szenario nicht relevant, die Stammzertifizierungsstelle zu verwenden.
Inhalt der Datei CA.pem:
Inhalt der Datei key.pem:
Inhalt der Datei mit dem Namen ID.pem:
Schritt 4: Zusammenführen der Zertifikate in einem PKCS12
Verbinden Sie das CA-Zertifikat mit dem ID-Zertifikat und dem privaten Schlüssel in einer .pfx-Datei. Sie müssen diese Datei mit einer Passphrase schützen.
openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx
Schritt 5: PKCS12-Zertifikat in FMC importieren
Navigieren Sie im FMC zu Device > Certificates (Gerät > Zertifikate), und importieren Sie das Zertifikat in die gewünschte Firewall:
Überprüfung
Um den Zertifikatsstatus zusammen mit den Informationen zu CA und ID zu überprüfen, können Sie die Symbole auswählen und bestätigen, dass das Zertifikat erfolgreich importiert wurde:
Wählen Sie das ID-Symbol aus: