FMCでの証明書エラー「Identity certificate import required」のトラブルシューティング

ダウンロード オプション

  • PDF     (1.3 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.0 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.2 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2020 年 7 月 29 日
Document ID:215856

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Firepower Management Center(FMC)で管理されているFirepower Threat Defense(FTD)デバイスの「Identity certificate import required」エラーをトラブルシューティングして修正する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • 公開キー インフラストラクチャ(PKI)
    • FMC
    • FTD
    • OpenSSL

    使用するコンポーネント

    このドキュメントで使用する情報は、次のソフトウェアバージョンに基づいています。

    • MacOS x 10.14.6
    • FMC 6.4
    • OpenSSL

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

    背景説明

    注:FTDデバイスでは、証明書署名要求(CSR)を生成する前に、認証局(CA)証明書が必要です。

    • CSRが外部サーバ(Windows ServerやOpenSSLなど)で生成される場合、FTDは手動キー登録をサポートしないため、手動登録メソッドは失敗します。PKCS12など、別の方法を使用する必要があります。

    問題

    証明書がFMCにインポートされ、証明書の登録を続行するにはID証明書が必要であるというエラーが表示されます。

    シナリオ 1

    • 手動登録が選択されています
    • CSRは外部で生成され(Windows Server、OpenSSLなど)、秘密キー情報を持っていない(または知っている)
    • 以前のCA証明書はCA証明書情報の入力に使用されますが、この証明書が証明書署名の原因であるかどうかは不明です

    シナリオ 2

    • 手動登録が選択されています
    • CSRは外部で生成される(Windows Server、OpenSSL)
    • CSRに署名するCAからの証明書ファイルがあります

    どちらの手順でも、証明書がアップロードされ、図に示すように進行状況が表示されます。

    数秒後も、FMCはID証明書が必要であることを示します。

    上記のエラーは、CA証明書がID証明書の発行者情報と一致しないか、秘密キーがFTDでデフォルトで生成されたものと一致しないことを示しています。

    解決方法

    この証明書登録を機能させるには、ID証明書に対応するキーが必要です。OpenSSLを使用すると、PKCS12ファイルが生成されます。

    ステップ1:CSRの生成(オプション)

    CSRジェネレータ(csrgenerator.com)というサードパーティのツールを使用して、CSRとその秘密キーを取得できます。

    証明書情報が適切に入力されたら、[Generate CSR] オプションを選択します。

    これにより、認証局に送信するためのCSR +秘密キーが提供されます。

    ステップ2:CSRへの署名

    CSRはサードパーティCA(GoDaddy、DigiCert)によって署名される必要があります。CSRが署名されると、zipファイルが提供されます。このファイルには次のものが含まれます。

    • アイデンティティ証明書
    • CAバンドル(中間証明書+ルート証明書)

    ステップ3:証明書の確認と分離

    テキストエディタ(メモ帳など)を使用して、ファイルを確認して分割します。 秘密キー(key.pem)、ID証明書(ID.pem)、CA証明書(CA.pem)を識別しやすい名前でファイルを作成します。

    CAバンドルファイルに2つ以上の証明書(1つのルートCA、1つのサブCA)がある場合は、ルートCAを削除する必要があり、ID証明書の発行者はサブCAであるため、このシナリオではルートCAを使用する必要はありません。

    CA.pem:

    key.pemという名前のファイルの内容:

    ID.pemという名前のファイルの内容:

    ステップ4:PKCS12での証明書のマージ

    CA証明書をID証明書および秘密キーとともに.pfxファイルにマージします。このファイルはパスフレーズで保護する必要があります。

    openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx

    ステップ5:FMCにPKCS12証明書をインポートする

    FMCで、[Device] > [Certificates] に移動し、目的のファイアウォールに証明書をインポートします。


    確認

    証明書のステータスとCAおよびID情報を確認するには、アイコンを選択して、正常にインポートされたことを確認します。

    IDアイコンを選択します。

    更新履歴

    改定 発行日 コメント
    1.0
    29-Jul-2020
    初版
    TAC Authored

    シスコ エンジニア提供

    • Hugo Olguin
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています