Cómo generar y agregar los Certificados que serequieren para la instalación de AMP VPC 3.xhacia adelante Contenido

IntroducciónprerrequisitosComponentes UtilizadosRequisitosGenere los Certificados en el servidor de la ventanaGenere un pedido de firma de certificado (el CSR)Sometiendo el CSR a CA y a generar el certificadoExportación de la clave privada y el convertir al formato PEMGenere el certificado en el servidor LinuxGenere RootCA firmado uno mismoGenere un certificado para cada servicioGenere la clave privadaGenere el CSRGenere el certificadoAgregar los Certificados a AMP VPCVerificaciónTroubleshooting

Introducción

Este documento describe el procedimiento para generar los Certificados que tienen que sercargados con cada instalación desde el inicio de la nube privada virtual AMP (VPC). Con laintroducción de la nube privada 3.X AMP, los nombres de host y el certificado/los pares claves serequieren para todos los servicios de siguiente:

Portal de la administración●

Autenticación (nueva en privado nube 3.X)●

Consola de FireAMP●

Servidor de la disposición●

Servidor de la disposición - Protocolo extendido●

Servicio de la actualización de la disposición●

Centro de administración FirePOWER●

Aquí, discutiremos a un modo rápido de generar y de cargar los Certificados requeridos. Ustedpuede pellizcar cada uno de los parámetros, incluyendo el algoritmo de troceo, tamaño de clave, yotros, según la directiva de su organización, y su mecanismo de generar estos Certificados nopudieron hacer juego con qué se detalla aquí.

Prerrequisitos

Componentes Utilizados

Cisco recomienda que tenga conocimiento sobre estos temas:

Servidor Windows 2008 hacia adelante●

Instalación privada de la nube AMP●

Public Key Infrastructure●

Requisitos

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

Servidor Windows 2008●

CentOS 7●

Nube privada virtual 3.0.2 AMP●

Advertencia: El procedimiento mencionado abajo puede variar según su Configuración delservidor de CA. Se espera que el servidor de CA de su opción sea ya aprovisionado y laconfiguración lo mismo se ha completado. La Nota Técnica siguiente apenas describe unejemplo de generar los Certificados y el TAC de Cisco no estará implicado en los problemasdel troubleshooting relacionados para certificar la generación y/o los problemas de servidorde CA la clase.

Genere los Certificados en el servidor de la ventana

Asegúrese de que los papeles siguientes estén instalados y configurados en su ServidorWindows. 

Servicios de certificados del Active Directory●

Autoridades de certificación●

Inscripción de la red de las autoridades de certificación●

Respondedor en línea●

Servicio web de la inscripción del certificado●

Servicio web de la directiva de la inscripción del certificado●

Servicios del dominio de Active Directory●

Servidores DNS●

Servidor Web (IIS)●

Genere un pedido de firma de certificado (el CSR)

Paso 1. Navegue a la consola MMC, y agregue los Certificados broche-en para su cuenta delordenador tal y como se muestra en de la imagen aquí. 

Paso 2. Perfore abajo de los Certificados (computadora local) > personal > los Certificados.

Paso 3. Haga clic con el botón derecho del ratón en el espacio vacío y seleccione todas las tareas> avanzó las operaciones > crean la petición de encargo

Paso 4. Tecleo después en la ventana de la inscripción.

Paso 5. Seleccione su directiva de la inscripción del certificado y haga clic después.

Paso 6. Elija la plantilla como servidor Web y haga clic después.

Paso 7. Si su plantilla del “servidor Web” se ha configurado correctamente y está disponible parala inscripción, usted verá el estatus como “disponible” aquí. El tecleo “detalla” para ampliarse haceclic en las propiedades. 

Paso 8. Al mínimo, agregue los atributos CN y DNS. El resto de los atributos se puede agregarsegún sus requerimientos de seguridad. 

Paso 9. Opcionalmente, dé un nombre descriptivo conforme a la ficha general. 

Paso 10. Haga clic en la lengueta de la clave privada y asegúrese de que usted está habilitandohace la clave privada exportable bajo sección dominante de las opciones.

Paso 11. Finalmente, haga clic en OK. Esto debe llevarle al diálogo de la inscripción delcertificado de donde usted puede hacer clic en después. 

Paso 12. Hojee a una ubicación para salvar el archivo .req que será presentado al servidor de CApara firmar. 

Sometiendo el CSR a CA y a generar el certificado

Paso 1. Navegue a su página web de los servicios de certificados MS AD como abajo y haga clicla “petición un certificado”

Paso 2. Haga clic en el link avanzado del pedido de certificado. 

Paso 3. Haga clic en presentan un pedido de certificado usando un base-64-encoded CMC oPKCS-10 archivo, o presentan un pedido de renovación usando un archivo base-64-encodedPKCS-7.

Paso 4. Abra el contenido del archivo previamente guardado .req (CSR) vía la libreta. Copie elcontenido y pegúelo aquí. Asegúrese de que el Certificate Template plantilla de certificado estéseleccionado como servidor Web

Paso 5. Finalmente, haga clic en someten. 

Paso 6. En este momento, usted debe poder descargar el certificado tal y como se muestra en dela imagen aquí.

Exportación de la clave privada y el convertir al formato PEM

Paso 1. Instale el certificado en su almacén del certificado abriendo el archivo de .cer y haciendoclic en instale el certificado. 

Paso 2. Navegue al MMC broche-en eso fue seleccionado anterior. 

Paso 3. Navegue al almacén en donde el certificado fue instalado. 

Paso 4. Haga clic con el botón derecho del ratón el certificado correcto, seleccione todas lastareas > exportación.

Paso 5. En el Asisitente de la exportación del certificado, confirme para exportar la clave privadatal y como se muestra en de la imagen. 

Paso 6. Ingrese una contraseña y haga clic al lado de la salvaguardia la clave privada en sudisco. 

Paso 7. Esto salvará la clave privada en el formato del .PFX, sin embargo, éste necesita serconvertido al formato del .PEM para utilizar esto con AMP VPC. 

Paso 8. Instale las bibliotecas del OpenSSL de aquí: https://wiki.openssl.org/index.php/Binaries 

Paso 9. Abra una ventana de prompt de comando y cambie al directorio donde usted instaló elOpenSSL.

Paso 10. Funcione con el siguiente comando de extraer la clave privada y de salvarla a un nuevoarchivo: (Si su archivo PFX no está en la misma trayectoria que donde se salva la biblioteca delOpenSSL, usted tendrá que especificar el trayecto exacto junto con el nombre de fichero)

openssl pkcs12 -in yourpfxfile.pfx -nocerts -out privatekey.pem -nodes

Paso 11. Ahora funcione con el siguiente comando también de extraer el CERT del público y desalvarlo a un nuevo archivo:

openssl pkcs12 -in yourpfxfile.pfx -nokeys -out publiccert.pem -nodes

Genere el certificado en el servidor Linux

Asegúrese de que el servidor Linux que usted está intentando generar los Certificados requeridoshaga las bibliotecas del OpenSSL instalar. El verificar si esto y el procedimiento enumerado abajovarían de la distribución de Linux que usted está ejecutando. Esta porción se ha documentado,según lo hecho en un servidor de CentOS 7.   

Genere RootCA firmado uno mismo

Paso 1. Genere la clave privada para certificado raíz CA

openssl genrsa -out rootCA.key 2048

Paso 2. Genere el certificado de CA

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

Genere un certificado para cada servicio

Cree el certificado para la autenticación, consola, disposición, Disposición-extendida, servidor deactualización, servicio de Center(FMC) de la Administración de FirePOWER según la entrada denombre DNS. Usted necesita relanzar debajo del proceso del certificate generate paracada servicio (autenticación, consola los etc.)

Genere la clave privada

openssl genrsa -out <example.key> 2048

Substituya el <example.key> por la clave real del certificado tal como Authentic-Cert.key. 

Genere el CSR

 openssl req -new -key <example.key> -out <example.csr>

Substituya el <example.csr> por el certificado real CSR tal como Authentic-Cert.csr

Genere el certificado

openssl x509 -req -in <example.csr> -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out

<example.crt> -days 500 -sha256

Substituya <example.csr>, <example.crt> por el certificado real CSR y el nombre del certificado

Agregar los Certificados a AMP VPC

Paso 1. Una vez que los Certificados se generan de un de los sobre los métodos, cargue elcertificado correspondiente para cada uno de los servicios. Si los han generado correctamente,todas las marcas de tilde se habilitan como se ve en la imagen aquí.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.