Risoluzione dei problemi relativi all'errore del certificato "Importazione del certificato di identità obbligatoria" in FMC

Opzioni per il download

  • PDF     (1.2 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.0 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:29 luglio 2020
ID documento:215856

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come risolvere i problemi relativi all'errore "Importazione obbligatoria del certificato di identità" nei dispositivi Firepower Threat Defense (FTD) gestiti da Firepower Management Center (FMC).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • PKI (Public Key Infrastructure)
    • CCP
    • FTD
    • OpenSSL

    Componenti usati

    Le informazioni contenute nel documento si basano sulle seguenti versioni software:

    • Mac OS x 10.14.6
    • CCP 6.4
    • OpenSSL

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Nota: Sui dispositivi FTD è necessario il certificato CA (Certification Authority) prima che venga generata la richiesta di firma del certificato (CSR).

    • Se il CSR viene generato in un server esterno, ad esempio Windows Server o OpenSSL, il metodo di registrazione manuale non riuscirà, poiché FTD non supporta la registrazione manuale delle chiavi. È necessario utilizzare un metodo diverso, ad esempio PKCS12.

    Problema

    Nel CCP viene importato un certificato e viene visualizzato un errore che indica che per continuare la registrazione del certificato è necessario un certificato di identità.

    Scenario 1

    • L'iscrizione manuale è selezionata
    • CSR viene generato esternamente (Windows Server, OpenSSL e così via) e non si dispone (o si è a conoscenza) delle informazioni sulla chiave privata
    • Per compilare le informazioni del certificato CA viene utilizzato un certificato CA precedente, ma non è noto se questo certificato è responsabile della firma del certificato

    Scenario 2

    • L'iscrizione manuale è selezionata
    • CSR generato esternamente (Windows Server, OpenSSL)
    • Si dispone del file di certificato della CA che firma il CSR

    Per entrambe le procedure, il certificato viene caricato e viene visualizzata un'indicazione di avanzamento, come mostrato nell'immagine.

    Dopo un paio di secondi, il CCP indica ancora che è necessario un certificato di identità:

    L'errore precedente indica che il certificato CA non corrisponde alle informazioni sull'autorità emittente nel certificato ID oppure che la chiave privata non corrisponde a quella generata per impostazione predefinita nell'FTD.

    Soluzione

    Affinché la registrazione del certificato funzioni, è necessario disporre delle chiavi corrispondenti per il certificato ID. Con OpenSSL viene generato un file PKCS12.

    Passaggio 1. Generare un CSR (facoltativo)

    È possibile ottenere un CSR insieme alla relativa chiave privata utilizzando uno strumento di terze parti denominato CSR generator (csrgenerator.com).

    Una volta inserite le informazioni sul certificato, selezionare l'opzione Genera CSR.

    In questo modo viene fornita la chiave CSR + Private da inviare a un'autorità di certificazione:

    Passaggio 2. Firma CSR

    Il CSR deve essere firmato da un'autorità di certificazione di terze parti (GoDaddy, DigiCert), dopo la firma del CSR viene fornito un file zip contenente, tra le altre cose:

    • Certificato di identità
    • Pacchetto CA (certificato intermedio + certificato radice)

    Passaggio 3. Verificare e separare i certificati

    Verificare e separare i file utilizzando un editor di testo, ad esempio il Blocco note. Creare i file con nomi facilmente identificabili per la chiave privata (key.pem), il certificato di identità (ID.pem), il certificato CA (CA.pem).

    Nel caso in cui il file del bundle CA contenga più di 2 certificati (1 CA radice, 1 CA secondaria), la CA radice deve essere rimossa, l'autorità emittente del certificato ID è la CA secondaria, pertanto in questo scenario non è rilevante avere la CA radice.

    Contenuto del file CA.pem:

    Contenuto del file key.pem:

    Contenuto del file ID.pem:

    Passaggio 4. Unire i certificati in un PKCS12

    Unire il certificato CA con il certificato ID e la chiave privata in un file pfx. È necessario proteggere il file con una passphrase.

    openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx

    Passaggio 5. Importare il certificato PKCS12 nel CCP

    Nel FMC, selezionare Periferica > Certificati e importare il certificato nel firewall desiderato:


    Verifica

    Per verificare lo stato del certificato insieme alle informazioni CA e ID, è possibile selezionare le icone e confermare l'importazione:

    Selezionare l'icona ID:

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    29-Jul-2020
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Hugo Olguin
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti