Introduzione
In questo documento viene descritto come risolvere i problemi relativi all'errore "Importazione obbligatoria del certificato di identità" nei dispositivi Firepower Threat Defense (FTD) gestiti da Firepower Management Center (FMC).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- PKI (Public Key Infrastructure)
- CCP
- FTD
- OpenSSL
Componenti usati
Le informazioni contenute nel documento si basano sulle seguenti versioni software:
- Mac OS x 10.14.6
- CCP 6.4
- OpenSSL
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Nota: Sui dispositivi FTD è necessario il certificato CA (Certification Authority) prima che venga generata la richiesta di firma del certificato (CSR).
- Se il CSR viene generato in un server esterno, ad esempio Windows Server o OpenSSL, il metodo di registrazione manuale non riuscirà, poiché FTD non supporta la registrazione manuale delle chiavi. È necessario utilizzare un metodo diverso, ad esempio PKCS12.
Problema
Nel CCP viene importato un certificato e viene visualizzato un errore che indica che per continuare la registrazione del certificato è necessario un certificato di identità.
Scenario 1
- L'iscrizione manuale è selezionata
- CSR viene generato esternamente (Windows Server, OpenSSL e così via) e non si dispone (o si è a conoscenza) delle informazioni sulla chiave privata
- Per compilare le informazioni del certificato CA viene utilizzato un certificato CA precedente, ma non è noto se questo certificato è responsabile della firma del certificato
Scenario 2
- L'iscrizione manuale è selezionata
- CSR generato esternamente (Windows Server, OpenSSL)
- Si dispone del file di certificato della CA che firma il CSR
Per entrambe le procedure, il certificato viene caricato e viene visualizzata un'indicazione di avanzamento, come mostrato nell'immagine.
Dopo un paio di secondi, il CCP indica ancora che è necessario un certificato di identità:
L'errore precedente indica che il certificato CA non corrisponde alle informazioni sull'autorità emittente nel certificato ID oppure che la chiave privata non corrisponde a quella generata per impostazione predefinita nell'FTD.
Soluzione
Affinché la registrazione del certificato funzioni, è necessario disporre delle chiavi corrispondenti per il certificato ID. Con OpenSSL viene generato un file PKCS12.
Passaggio 1. Generare un CSR (facoltativo)
È possibile ottenere un CSR insieme alla relativa chiave privata utilizzando uno strumento di terze parti denominato CSR generator (csrgenerator.com).
Una volta inserite le informazioni sul certificato, selezionare l'opzione Genera CSR.
In questo modo viene fornita la chiave CSR + Private da inviare a un'autorità di certificazione:
Passaggio 2. Firma CSR
Il CSR deve essere firmato da un'autorità di certificazione di terze parti (GoDaddy, DigiCert), dopo la firma del CSR viene fornito un file zip contenente, tra le altre cose:
- Certificato di identità
- Pacchetto CA (certificato intermedio + certificato radice)
Passaggio 3. Verificare e separare i certificati
Verificare e separare i file utilizzando un editor di testo, ad esempio il Blocco note. Creare i file con nomi facilmente identificabili per la chiave privata (key.pem), il certificato di identità (ID.pem), il certificato CA (CA.pem).
Nel caso in cui il file del bundle CA contenga più di 2 certificati (1 CA radice, 1 CA secondaria), la CA radice deve essere rimossa, l'autorità emittente del certificato ID è la CA secondaria, pertanto in questo scenario non è rilevante avere la CA radice.
Contenuto del file CA.pem:
Contenuto del file key.pem:
Contenuto del file ID.pem:
Passaggio 4. Unire i certificati in un PKCS12
Unire il certificato CA con il certificato ID e la chiave privata in un file pfx. È necessario proteggere il file con una passphrase.
openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx
Passaggio 5. Importare il certificato PKCS12 nel CCP
Nel FMC, selezionare Periferica > Certificati e importare il certificato nel firewall desiderato:
Verifica
Per verificare lo stato del certificato insieme alle informazioni CA e ID, è possibile selezionare le icone e confermare l'importazione:
Selezionare l'icona ID: