Inleiding
Dit document beschrijft hoe u problemen kunt oplossen en de fout "Identity certificate import needed" (import van identiteitsbewijs vereist) kunt oplossen op Firepower Threat Defence (FTD)-apparaten die worden beheerd door Firepower Management Center (FMC).
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Public Key Infrastructure (PKI)
- VCC
- FTD
- OpenSSL
Gebruikte componenten
De in het document gebruikte informatie is gebaseerd op deze softwareversies:
- MacOS x 10.14.6
- VCC 6.4
- OpenSSL
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Achtergrondinformatie
Opmerking: Voor FTD-apparatuur is het certificaat van de certificeringsinstantie (CA) nodig voordat het verzoek om certificaatondertekening (CSR) wordt gegenereerd.
- Als de CSR wordt gegenereerd in een externe server (zoals Windows Server of OpenSSL), is de handmatige inschrijvingsmethode bedoeld om te mislukken, omdat FTD handmatige toeteninschrijving niet ondersteunt. Er moet een andere methode worden gebruikt, zoals PKCS12.
Probleem
In het VCC wordt een certificaat ingevoerd en er wordt een fout ontvangen waarin staat dat een identiteitsbewijs vereist is om het certificaat te kunnen inschrijven.
Scenario 1
- Handmatige inschrijving is geselecteerd
- CSR wordt extern gegenereerd (Windows Server, OpenSSL, etc) en u hebt niet de persoonlijke sleutelinformatie (of weet dit)
- Een vorige CA cert wordt gebruikt om de CA cert informatie in te vullen, maar het is onbekend of deze cert verantwoordelijk is voor het certificaat teken
Scenario 2
- Handmatige inschrijving is geselecteerd
- CSR wordt extern gegenereerd (Windows Server, OpenSSL)
- U heeft het certificaatbestand van de CA dat onze CSR ondertekent
Voor beide procedures wordt het certificaat geüpload en wordt een voortgangsindicatie weergegeven zoals in het beeld.
Na enkele seconden verklaart het VCC nog steeds dat een identiteitsbewijs vereist is:
De vorige fout geeft aan dat het CA-certificaat niet overeenkomt met de emittenteninformatie in het ID-certificaat of dat de privé-sleutel niet overeenkomt met de sleutel die standaard in het FTD wordt gegenereerd.
Oplossing
Om dit certificaat te kunnen inschrijven, moet u de bijbehorende sleutels voor het ID-certificaat hebben. Met het gebruik van OpenSSL wordt een PKCS12-bestand gegenereerd.
Stap 1. Genereert een MVO (optioneel)
U kunt een MVO samen met zijn privé sleutel met het gebruik van een derdetool genaamd MVO generator (csrgenerator.com).
Selecteer de optie MVO genereren als de certificaatinformatie eenmaal is ingevuld.
Dit biedt de CSR + Private sleutel die we naar een certificaatautoriteit kunnen sturen:
Stap 2. Onderteken de MVO
De MVO moet worden ondertekend door een derde CA (GoDaddy, DigiCert), zodra de MVO is ondertekend, wordt een zip-bestand geleverd, dat onder andere bevat:
- Identiteitscertificaat
- CA-bundel (tussenliggend certificaat + basiscertificaat)
Stap 3. Controleer en scheidt de certificaten
Controleer en scheidt de bestanden met behulp van een teksteditor (bijvoorbeeld notitieblok). Maak de bestanden met gemakkelijk identificeerbare namen voor de privé-sleutel (key.pem), identiteitscertificaat (ID.pem), CA-certificaat (CA.pem).
Voor het geval waarin het CA-bundelbestand meer dan 2 certificaten heeft (1 root CA, 1 sub-CA), moet de root CA worden verwijderd, is de ID-certificaatuitgever de sub-CA, daarom is het niet relevant om de root CA in dit scenario te hebben.
Inhoud van het bestand met de naam CA.pem:
Inhoud van het bestand met de naam key.pem:
Inhoud van het bestand met de naam ID.pem:
Stap 4. De certificaten samenvoegen in een PKCS 12
Voeg het CA-certificaat samen met het ID-certificaat en de privésleutel in een .pfx-bestand. U moet dit bestand met een wachtwoord beveiligen.
openssl pkcs12 -export -in ID.pem -certfile ca.pem -inkey key.pem -out new-cert.pfx
Stap 5. Voer het PKCS12-certificaat in het VCC in
Navigeer in het VCC naar Apparaat > Certificaten en voer het certificaat in naar de gewenste firewall:
Verifiëren
U kunt de pictogrammen selecteren en bevestigen dat de certificaatstatus en de informatie over CA en ID zijn geïmporteerd:
Selecteer het ID-pictogram: