Probleemoplossing Certificaatfout "Importeren van identiteitscertificaat vereist" op VCC

Downloadopties

  • PDF     (1.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:29 juli 2020
Document-id:215856

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u problemen kunt oplossen en de fout "Identity certificate import needed" (import van identiteitsbewijs vereist) kunt oplossen op Firepower Threat Defence (FTD)-apparaten die worden beheerd door Firepower Management Center (FMC).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Public Key Infrastructure (PKI)
    • VCC
    • FTD
    • OpenSSL

    Gebruikte componenten

    De in het document gebruikte informatie is gebaseerd op deze softwareversies:

    • MacOS x 10.14.6
    • VCC 6.4
    • OpenSSL

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Achtergrondinformatie

    Opmerking: Voor FTD-apparatuur is het certificaat van de certificeringsinstantie (CA) nodig voordat het verzoek om certificaatondertekening (CSR) wordt gegenereerd.

    • Als de CSR wordt gegenereerd in een externe server (zoals Windows Server of OpenSSL), is de handmatige inschrijvingsmethode bedoeld om te mislukken, omdat FTD handmatige toeteninschrijving niet ondersteunt. Er moet een andere methode worden gebruikt, zoals PKCS12.

    Probleem

    In het VCC wordt een certificaat ingevoerd en er wordt een fout ontvangen waarin staat dat een identiteitsbewijs vereist is om het certificaat te kunnen inschrijven.

    Scenario 1

    • Handmatige inschrijving is geselecteerd
    • CSR wordt extern gegenereerd (Windows Server, OpenSSL, etc) en u hebt niet de persoonlijke sleutelinformatie (of weet dit)
    • Een vorige CA cert wordt gebruikt om de CA cert informatie in te vullen, maar het is onbekend of deze cert verantwoordelijk is voor het certificaat teken

    Scenario 2

    • Handmatige inschrijving is geselecteerd
    • CSR wordt extern gegenereerd (Windows Server, OpenSSL)
    • U heeft het certificaatbestand van de CA dat onze CSR ondertekent

    Voor beide procedures wordt het certificaat geüpload en wordt een voortgangsindicatie weergegeven zoals in het beeld.

    Na enkele seconden verklaart het VCC nog steeds dat een identiteitsbewijs vereist is:

    De vorige fout geeft aan dat het CA-certificaat niet overeenkomt met de emittenteninformatie in het ID-certificaat of dat de privé-sleutel niet overeenkomt met de sleutel die standaard in het FTD wordt gegenereerd.

    Oplossing

    Om dit certificaat te kunnen inschrijven, moet u de bijbehorende sleutels voor het ID-certificaat hebben. Met het gebruik van OpenSSL wordt een PKCS12-bestand gegenereerd.

    Stap 1. Genereert een MVO (optioneel)

    U kunt een MVO samen met zijn privé sleutel met het gebruik van een derdetool genaamd MVO generator (csrgenerator.com).

    Selecteer de optie MVO genereren als de certificaatinformatie eenmaal is ingevuld.

    Dit biedt de CSR + Private sleutel die we naar een certificaatautoriteit kunnen sturen:

    Stap 2. Onderteken de MVO

    De MVO moet worden ondertekend door een derde CA (GoDaddy, DigiCert), zodra de MVO is ondertekend, wordt een zip-bestand geleverd, dat onder andere bevat:

    • Identiteitscertificaat
    • CA-bundel (tussenliggend certificaat + basiscertificaat)

    Stap 3. Controleer en scheidt de certificaten

    Controleer en scheidt de bestanden met behulp van een teksteditor (bijvoorbeeld notitieblok). Maak de bestanden met gemakkelijk identificeerbare namen voor de privé-sleutel (key.pem), identiteitscertificaat (ID.pem), CA-certificaat (CA.pem).

    Voor het geval waarin het CA-bundelbestand meer dan 2 certificaten heeft (1 root CA, 1 sub-CA), moet de root CA worden verwijderd, is de ID-certificaatuitgever de sub-CA, daarom is het niet relevant om de root CA in dit scenario te hebben.

    Inhoud van het bestand met de naam CA.pem:

    Inhoud van het bestand met de naam key.pem:

    Inhoud van het bestand met de naam ID.pem:

    Stap 4. De certificaten samenvoegen in een PKCS 12

    Voeg het CA-certificaat samen met het ID-certificaat en de privésleutel in een .pfx-bestand. U moet dit bestand met een wachtwoord beveiligen.

    openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx

    Stap 5. Voer het PKCS12-certificaat in het VCC in

    Navigeer in het VCC naar Apparaat > Certificaten en voer het certificaat in naar de gewenste firewall:


    Verifiëren

    U kunt de pictogrammen selecteren en bevestigen dat de certificaatstatus en de informatie over CA en ID zijn geïmporteerd:

    Selecteer het ID-pictogram:

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    29-Jul-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Hugo Olguin
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco