概要
このドキュメントでは、Firepower Management Center(FMC)で管理されているFirepower Threat Defense(FTD)デバイスの「Identity certificate import required」エラーをトラブルシューティングして修正する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- 公開キー インフラストラクチャ(PKI)
- FMC
- FTD
- OpenSSL
使用するコンポーネント
このドキュメントで使用する情報は、次のソフトウェアバージョンに基づいています。
- MacOS x 10.14.6
- FMC 6.4
- OpenSSL
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
注:FTDデバイスでは、証明書署名要求(CSR)を生成する前に、認証局(CA)証明書が必要です。
- CSRが外部サーバ(Windows ServerやOpenSSLなど)で生成される場合、FTDは手動キー登録をサポートしないため、手動登録メソッドは失敗します。PKCS12など、別の方法を使用する必要があります。
問題
証明書がFMCにインポートされ、証明書の登録を続行するにはID証明書が必要であるというエラーが表示されます。
シナリオ 1
- 手動登録が選択されています
- CSRは外部で生成され(Windows Server、OpenSSLなど)、秘密キー情報を持っていない(または知っている)
- 以前のCA証明書はCA証明書情報の入力に使用されますが、この証明書が証明書署名の原因であるかどうかは不明です
シナリオ 2
- 手動登録が選択されています
- CSRは外部で生成される(Windows Server、OpenSSL)
- CSRに署名するCAからの証明書ファイルがあります
どちらの手順でも、証明書がアップロードされ、図に示すように進行状況が表示されます。
数秒後も、FMCはID証明書が必要であることを示します。
上記のエラーは、CA証明書がID証明書の発行者情報と一致しないか、秘密キーがFTDでデフォルトで生成されたものと一致しないことを示しています。
解決方法
この証明書登録を機能させるには、ID証明書に対応するキーが必要です。OpenSSLを使用すると、PKCS12ファイルが生成されます。
ステップ1:CSRの生成(オプション)
CSRジェネレータ(csrgenerator.com)というサードパーティのツールを使用して、CSRとその秘密キーを取得できます。
証明書情報が適切に入力されたら、[Generate CSR] オプションを選択します。
これにより、認証局に送信するためのCSR +秘密キーが提供されます。
ステップ2:CSRへの署名
CSRはサードパーティCA(GoDaddy、DigiCert)によって署名される必要があります。CSRが署名されると、zipファイルが提供されます。このファイルには次のものが含まれます。
- アイデンティティ証明書
- CAバンドル(中間証明書+ルート証明書)
ステップ3:証明書の確認と分離
テキストエディタ(メモ帳など)を使用して、ファイルを確認して分割します。 秘密キー(key.pem)、ID証明書(ID.pem)、CA証明書(CA.pem)を識別しやすい名前でファイルを作成します。
CAバンドルファイルに2つ以上の証明書(1つのルートCA、1つのサブCA)がある場合は、ルートCAを削除する必要があり、ID証明書の発行者はサブCAであるため、このシナリオではルートCAを使用する必要はありません。
CA.pem:
key.pemという名前のファイルの内容:
ID.pemという名前のファイルの内容:
ステップ4:PKCS12での証明書のマージ
CA証明書をID証明書および秘密キーとともに.pfxファイルにマージします。このファイルはパスフレーズで保護する必要があります。
openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx
ステップ5:FMCにPKCS12証明書をインポートする
FMCで、[Device] > [Certificates] に移動し、目的のファイアウォールに証明書をインポートします。
確認
証明書のステータスとCAおよびID情報を確認するには、アイコンを選択して、正常にインポートされたことを確認します。
IDアイコンを選択します。