Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Exemplo de Configuração de Instalação Manual de Certificados de Terceiros no PIX/ASA 7.x para Uso com o WebVPN

12 Junho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (27 Agosto 2007) | Feedback

Índice


Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Passo 1. Verifique a Precisão dos Valores de Data, Hora e Fuso Horário
      Passo 2. Gere o Par de Chaves RSA
      Passo 3. Crie o Trustpoint
      Passo 4. Gere o Registro do Certificado
      Passo 5. Autentique o Trustpoint
      Passo 6. Instale o Certificado
      Passo 7. Configure o WebVPN para Utilizar o Certificado Recém-instalado
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este exemplo de configuração descreve como instalar manualmente um certificado digital de terceiros no ASA para uso com o WebVPN. Neste exemplo, é utilizado um Certificado Verisign de Avaliação. Cada passo contém o procedimento do aplicativo ASDM e um exemplo de CLI.

Pré-requisitos

Requisitos

Este documento requer que você tenha acesso a uma autoridade de certificação (CA) para obter um registro de certificado. As autoridades de certificação com suporte são Baltimore, Cisco, Entrust, iPlanet/Netscape, Microsoft, RSA e VeriSign.

Componentes Utilizados

Este documento utiliza um ASA 5510 que executa a versão 7.2(1) do software e a versão 5.2(1) do ASDM. Entretanto, os procedimentos indicados neste documento funcionam em qualquer aplicativo ASA que execute a versão 7.x com qualquer versão compatível do ASDM.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Configuração

Para instalar um certificado digital de terceiros no PIX/ASA, siga estes passos:

Passo 1. Verifique a Precisão dos Valores de Data, Hora e Fuso Horário.
Passo 2. Gere o Par de Chaves RSA.
Passo 3. Crie o Trustpoint.
Passo 4. Gere o Registro do Certificado.
Passo 5. Autentique o Trustpoint.
Passo 6. Instale o Certificado.
Passo 7. Configure o WebVPN para Utilizar o Certificado Recém-instalado.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Passo 1. Verifique a Precisão dos Valores de Data, Hora e Fuso Horário

Procedimento do ASDM

  1. Clique em Configuration e, em seguida, clique em Properties.

  2. Expanda Device Administration e escolha Clock.

  3. Verifique a precisão das informações listadas.

    Os valores de Date, Time e Time Zone devem estar corretos para que a validação do certificado ocorra de forma adequada.

    [+] Mostrar Imagem [ASDM]

Exemplo de Linha de Comando

ciscoasa

ciscoasa#show clock

11:02:20.244 UTC Thu Jul 19 2007
ciscoasa#

Passo 2. Gere o Par de Chaves RSA

A chave pública RSA gerada é combinada com as informações de identidade do ASA para formar uma solicitação de certificado PKCS#10. Você deve identificar de forma distinta o nome da chave com o Trustpoint para o qual está criando o par de chaves.

Procedimento do ASDM

  1. Clique em Configuration e, em seguida, clique em Properties.

  2. Expanda Certificate e escolha Key Pair.

  3. Clique em Add.

    [+] Mostrar Imagem [ASDM]
  4. Insira o nome da chave, escolha o tamanho do módulo e selecione o tipo de utilização.

    Nota: O tamanho de par de chaves recomendado é 1024.

  5. Clique em Generate.

    O par de chaves criado deverá aparecer na coluna Key Pair Name.

Exemplo de Linha de Comando

ciscoasa

ciscoasa#conf t

ciscoasa(config)#crypto key generate rsa label my.verisign.key modulus 1024

! Gera um par de chaves RSA de 1024 bits RSA. "label" define o nome do par de chaves.

INFO: The name for the keys will be: my.verisign.key
Keypair generation process begin. Please wait...
ciscoasa(config)#

Passo 3. Crie o Trustpoint

Os trustpoints são necessários para declarar a Autoridade de Certificação (CA) que o seu ASA utilizará.

Procedimento do ASDM

  1. Clique em Configuration e, em seguida, clique em Properties.

  2. Expanda Certificate e, em seguida, expanda Trustpoint.

  3. Escolha Configuration e clique em Add.

    [+] Mostrar Imagem [ASDM]
  4. Configure estes valores:

    • Trustpoint Name: O nome do trustpoint deve ser relevante para o uso planejado. (Este exemplo utiliza my.verisign.trustpoint.)
    • Key pair: Selecione o par de chaves gerado no Passo 2. (my.verisign.key)

  5. Verifique se Manual Enrollment está selecionado.

  6. Clique em Certificate Parameters.

    A caixa de diálogo Certificate Parameters será exibida.

  7. Clique em Edit e configure os atributos listados nesta tabela:

    Atributo

    Descrição

    CN

    O nome de domínio totalmente qualificado (FQDN) que será utilizado para conexões com o seu firewall (por exemplo, webvpn.cisco.com)

    OU

    Nome do departamento

    O

    Nome da empresa (evite caracteres especiais)

    C

    Código do país (código de duas letras sem pontuação)

    St

    Estado (deve ser escrito por extenso; por exemplo, North Carolina)

    L

    Cidade


    Para configurar esses valores, escolha um valor na lista suspensa Attribute, insira o valor e clique em Add.

    [+] Mostrar Imagem [ASDM]

  8. Uma vez adicionados os valores adequados, clique em OK.

  9. Na caixa de diálogo Certificate Parameters, insira o FQDN no campo Specify FQDN.

    Esse valor deve ser o mesmo FQDN utilizado para o Nome Comum (CN).

    [+] Mostrar Imagem [ASDM]

  10. Clique em OK.

  11. Verifique se o par de chaves correto está selecionado e clique no botão de opção Use manual enrollment.

  12. Clique em OK e, em seguida, clique em Apply.

    [+] Mostrar Imagem [ASDM]

Exemplo de Linha de Comando

ciscoasa

ciscoasa(config)#crypto ca trustpoint my.verisign.trustpoint

! Cria o trustpoint.

ciscoasa(config-ca-trustpoint)#enrollment terminal

! Especifica inscrição recortar e colar com este trustpoint


ciscoasa(config-ca-trustpoint)#subject-name CN=wepvpn.cisco.com,OU=TSWEB,
                               O=Cisco Systems,C=US,St=North Carolina,L=Raleigh

! Define o nome diferenciado x.500.


ciscoasa(config-ca-trustpoint)#keypair my.verisign.key

! Especifica o par de chaves gerado no Passo 3 Step 3.

ciscoasa(config-ca-trustpoint)#fqdn webvpn.cisco.com


! Especifica o nome alternativo do assunto (DNS:).

ciscoasa(config-ca-trustpoint)#exit

Passo 4. Gere o Registro do Certificado

Procedimento do ASDM

  1. Clique em Configuration e, em seguida, clique em Properties.

  2. Expanda Certificate e escolha Enrollment.

  3. Verifique se o Trustpoint criado no Passo 3 está selecionado e clique em Enroll.

    Será exibida uma caixa de diálogo listando a solicitação de registro do certificado (também chamado de solicitação de assinatura do certificado).

    [+] Mostrar Imagem [ASDM]

  4. Copie a solicitação de registro PKCS#10 para um arquivo de texto e envie o CSR para o fornecedor adequado.

    Depois que o fornecedor receber o CSR, ele deverá emitir um certificado de identidade para instalação.

Exemplo de Linha de Comando

ciscoasa

ciscoasa(config)#crypto ca enroll my.verisign.trustpoint

! Inicia o CSR. Esta é a solicitação que será enviada
! pela Web ou por e-mail para o fornecedor externo
% Start certificate enrollment .. % The subject name in the certificate will be: CN=webvpn.cisco.com,OU=TSWEB, O=Cisco Systems,C=US,St=North Carolina,L=Raleigh % The fully-qualified domain name in the certificate will be: webvpn.cisco.com % Include the device serial number in the subject name? [yes/no]: no ! Não inclui o número de série do dispositivo no assunto. Display Certificate Request to terminal? [yes/no]: yes ! Exibe a solicitação de inscrição PKCS#10 no terminal ! Será necessário copiá-la do terminal para um arquivo ! de texto ou campo de texto da Web para enviá-la para a CA externa. Certificate Request follows: MIICHjCCAYcCAQAwgaAxEDAOBgNVBAcTB1JhbGVpZ2gxFzAVBgNVBAgTDk5vcnRo IENhcm9saW5hMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNQ2lzY28gU3lzdGVtczEO MAwGA1UECxMFVFNXRUIxGzAZBgNVBAMTEmNpc2NvYXNhLmNpc2NvLmNvbTEhMB8G CSqGSIb3DQEJAhYSY2lzY29hc2EuY2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUA A4GNADCBiQKBgQCmM/2VteHnhihS1uOj0+hWa5KmOPpI6Y/MMWmqgBaB9M4yTx5b Fm886s8F73WsfQPynBDfBSsejDOnBpFYzKsGf7TUMQB2m2RFaqfyNxYt3oMXSNPO m1dZ0xJVnRIp9cyQp/983pm5PfDD6/ho0nTktx0i+1cEX0luBMh7oKargwIDAQAB oD0wOwYJKoZIhvcNAQkOMS4wLDALBgNVHQ8EBAMCBaAwHQYDVR0RBBYwFIISY2lz Y29hc2EuY2lzY28uY29tMA0GCSqGSIb3DQEBBAUAA4GBABrxpY0q7SeOHZf3yEJq po6wG+oZpsvpYI/HemKUlaRc783w4BMO5lulIEnHgRqAxrTbQn0B7JPIbkc2ykkm bYvRt/wiKc8FjpvPpfOkjMK0T3t+HeQ/5QlKx2Y/vrqs+Hg5SLHpbhj/Uo13yWCe 0Bzg59cYXq/vkoqZV/tBuACr ---End - This line not part of the certificate request--- Redisplay enrollment request? [yes/no]: no ciscoasa(config)#

Passo 5. Autentique o Trustpoint

Após receber o certificado de identidade do fornecedor, você poderá continuar com este passo.

Procedimento do ASDM

  1. Salve o certificado de identidade em seu computador local.

  2. Caso você tenha recebido um certificado codificado na base64 que não tenha sido fornecido como um arquivo, copie a mensagem codificada na base64 e cole-a em um arquivo de texto.

  3. Renomeie o arquivo com a extensão .cer.

    Nota: Após o arquivo ser renomeado com a extensão .cer, o ícone do arquivo deverá aparecer como um certificado.

  4. Clique duas vezes no arquivo de certificado.

    A caixa de diálogo Certificate será exibida.

    [+] Mostrar Imagem [ASDM]

    Nota: Se a mensagem "Windows does not have enough information to verify this certificate" for exibida na guia General, você deverá obter o certificado da CA raiz ou da CA intermediária antes de continuar com este procedimento. Entre em contato com o seu fornecedor ou administrador de CA para obter o certificado da CA intermediária ou raiz de emissão.

  5. Clique na guia Certificate Path.

  6. Clique no certificado da CA localizado acima do certificado de identidade emitido e, depois, clique em View Certificate.

    [+] Mostrar Imagem [ASDM]

    Informações detalhadas sobre o certificado da CA intermediária serão exibidas.

  7. Clique em Details.

    [+] Mostrar Imagem [ASDM]

  8. Clique em Copy to File.

  9. No Certificate Export Wizard, clique em Next.

  10. Na caixa de diálogo Export File Format, clique no botão de opção Base-64 encoded X.509 (.CER) e, em seguida, clique em Next.

    [+] Mostrar Imagem [ASDM]

  11. Insira o nome e o local do arquivo no qual deseja salvar o certificado da CA.

  12. Clique em Next e, em seguida, clique em Finish.

    [+] Mostrar Imagem [ASDM]

  13. Clique em OK na caixa de diálogo Export Successful.

  14. Vá para o local onde salvou o certificado da CA.

  15. Abra o arquivo com um editor de texto, como o Notepad. (Clique com o botão direito do mouse no arquivo e escolha Send To > Notepad.)

  16. A mensagem codificada na base64 deverá ter uma aparência semelhante à do certificado nesta imagem:

    [+] Mostrar Imagem [ASDM]

  17. No ASDM, clique em Configuration e, em seguida, clique em Properties.

  18. Expanda Certificate e escolha Authentication.

  19. Clique no botão de opção Enter the certificate text in hexadecimal or base64 format.

  20. Cole na área de texto o certificado da CA formatado na base64 a partir de seu editor de texto.

  21. Clique em Authenticate.

    [+] Mostrar Imagem [ASDM]

  22. Clique em OK.

Exemplo de Linha de Comando

ciscoasa

ciscoasa(config)#crypto ca authenticate my.verisign.trustpoint

! Inicia o prompt para colagem do certificado raiz ou intermediário da CA base64.

Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
MIIEwDCCBCmgAwIBAgIQY7GlzcWfeIAdoGNs+XVGezANBgkqhkiG9w0BAQUFADCB
jDELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMTAwLgYDVQQL
EydGb3IgVGVzdCBQdXJwb3NlcyBPbmx5LiAgTm8gYXNzdXJhbmNlcy4xMjAwBgNV
BAMTKVZlcmlTaWduIFRyaWFsIFNlY3VyZSBTZXJ2ZXIgVGVzdCBSb290IENBMB4X
DTA1MDIwOTAwMDAwMFoXDTE1MDIwODIzNTk1OVowgcsxCzAJBgNVBAYTAlVTMRcw
FQYDVQQKEw5WZXJpU2lnbiwgSW5jLjEwMC4GA1UECxMnRm9yIFRlc3QgUHVycG9z
ZXMgT25seS4gIE5vIGFzc3VyYW5jZXMuMUIwQAYDVQQLEzlUZXJtcyBvZiB1c2Ug
YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL2Nwcy90ZXN0Y2EgKGMpMDUxLTAr
BgNVBAMTJFZlcmlTaWduIFRyaWFsIFNlY3VyZSBTZXJ2ZXIgVGVzdCBDQTCCASIw
DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALsXGt1M4HyjXwA+/NAuwElv6IJ/
DV8zgpvxuwdaMv6fNQBHSF4eKkFDcJLJVnP53ZiGcLAAwTC5ivGpGqE61BBD6Zqk
d85lPl/6XxK0EdmrN7qVMmvBMGRsmOjje1op5f0nKPqVoNK2qNUB6n451P4qoyqS
E0bdru16quZ+II2cGFAG1oSyRy4wvY/dpVHuZOZqYcIkK08yGotR2xA1D/OCCmZO
5RmNqLLKSVwYHhJ25EskFhgR2qCxX2EQJdnDXuTw0+4tlqj97ydk5iDoxjKfV6sb
tnp3TIY6S07bTb9gxJCk4pGbcf8DOPvOfGRu1wpfUUZC8v+WKC20+sK6QMECAwEA
AaOCAVwwggFYMBIGA1UdEwEB/wQIMAYBAf8CAQAwSwYDVR0gBEQwQjBABgpghkgB
hvhFAQcVMDIwMAYIKwYBBQUHAgEWJGh0dHBzOi8vd3d3LnZlcmlzaWduLmNvbS9j
cHMvdGVzdGNhLzAOBgNVHQ8BAf8EBAMCAQYwEQYJYIZIAYb4QgEBBAQDAgEGMB0G
A1UdDgQWBBRmIo6B4DFZ3Sp/q0bFNgIGcCeHWjCBsgYDVR0jBIGqMIGnoYGSpIGP
MIGMMQswCQYDVQQGEwJVUzEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xMDAuBgNV
BAsTJ0ZvciBUZXN0IFB1cnBvc2VzIE9ubHkuICBObyBhc3N1cmFuY2VzLjEyMDAG
A1UEAxMpVmVyaVNpZ24gVHJpYWwgU2VjdXJlIFNlcnZlciBUZXN0IFJvb3QgQ0GC
ECCol67bggLewTagTia9h3MwDQYJKoZIhvcNAQEFBQADgYEASz5v8s3/SjzRvY2l
Kqf234YROiL51ZS111oUZ2MANp2H4biw4itfsG5snDDlwSRmiH3BW/SU6EEzD9oi
Ai9TXvRIcD5q0mB+nyK9fB2aBzOiaiHSiIWzAJeQjuqA+Q93jNew+peuj4AhdvGN
n/KK/+1Yv61w3+7g6ukFMARVBNg=
-----END CERTIFICATE-----
quit


! Colagem manual do certificado na CLI..

INFO: Certificate has the following attributes:
Fingerprint:     8de989db 7fcc5e3b fdde2c42 0813ef43
Do you accept this certificate? [yes/no]: yes

Trustpoint 'my.verisign.trustpoint' is a subordinate CA
                and holds a non self-signed certificate.
Trustpoint CA certificate accepted.

% Certificate successfully imported
ciscoasa(config)#

Passo 6. Instale o Certificado

Procedimento do ASDM

Use o certificado de identidade recebido do fornecedor para executar estes passos:

  1. Clique em Configuration e, em seguida, clique em Properties.

  2. Expanda Certificate e escolha Import Certificate.

  3. Clique no botão de opção Enter the certificate text in hexadecimal or base64 format e cole no campo de texto o certificado de identidade formatado na base64.

    [+] Mostrar Imagem [ASDM]

  4. Clique em Import e, em seguida, clique em OK.

Exemplo de Linha de Comando

ciscoasa

ciscoasa(config)#crypto ca import my.verisign.trustpoint certificate

! Inicia o prompt para a colagem do certificado da identidade base64
! enviado pelo fornecedor externo.


% The fully-qualified domain name in the certificate will be: webvpn.cisco.com


Enter the base 64 encoded certificate.
End with the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit

INFO: Certificate successfully imported
ciscoasa(config)#

Passo 7. Configure o WebVPN para Utilizar o Certificado Recém-instalado

Procedimento do ASDM

  1. Clique em Configuration, clique em Properties e escolha SSL.

  2. Na área Trustpoints, escolha a interface que será utilizada para encerrar as sessões do WebVPN. (Este exemplo utiliza a interface externa.)

  3. Clique em Edit.

    A caixa de diálogo Edit SSL Trustpoint será exibida.

    [+] Mostrar Imagem [ASDM]

  4. Na lista suspensa Enrolled Trustpoint, escolha o trustpoint criado no Passo 3.
  5. Clique em OK e, em seguida, em Apply.

Agora o seu novo certificado deverá ser utilizado para todas as sessões do WebVPN que terminarem na interface especificada. Consulte a seção Verificação deste documento para obter informações sobre como verificar uma instalação bem-sucedida.

Exemplo de Linha de Comando

ciscoasa

ciscoasa(config)#ssl trust-point my.verisign.trustpoint outside

! Especifica o trustpoint que fornecerá o
! certificado SSL para a interface definida.

ciscoasa(config)#write memory

Building configuration...
Cryptochecksum: 694687a1 f75042af ccc6addf 34d2cb08

8808 bytes copied in 3.630 secs (2936 bytes/sec)
[OK]
ciscoasa(config)#

! Salva a configuração.

Verificação

Esta seção descreve como verificar se a instalação do certificado de terceiros foi bem-sucedida.

Substituição do Certificado Self-Signed do ASA

Esta seção descreve como substituir o certificado self-signed instalado do ASA.

  1. Emita uma solicitação de assinatura de certificado para a Verisign.

    Após receber o certificado solicitado da Verisign, você poderá instalá-lo diretamente no mesmo trustpoint.

  2. Digite este comando: crypto ca enroll Verisign

    Você será solicitado a responder a algumas perguntas.

  3. Para Display Certificate Request to terminal?, responda yes e envie a saída para a Verisign.

  4. Depois que eles fornecerem o novo certificado, digite este comando: crypto ca import Verisign certificate

Exibição dos Certificados Instalados

Procedimento do ASDM

  1. Clique em Configuration e, em seguida, clique em Properties.

  2. Expanda Certificate e escolha Manage Certificates.

    O certificado da CA utilizado para autenticação do Trustpoint e o certificado de identidade emitido pelo fornecedor deverão aparecer na área Manage Certificates.

    [+] Mostrar Imagem [ASDM]

Exemplo de Linha de Comando

ciscoasa

ciscoasa(config)#show crypto ca certificates

! Exibe todos os certificados instalados no ASA.


Certificate
  Status: Available
  Certificate Serial Number: 32cfe85eebbd2b5e1e30649fd266237d
  Certificate Usage: General Purpose
  Public Key Type: RSA (1024 bits)
  Issuer Name:
    cn=VeriSign Trial Secure Server Test CA
    ou=Terms of use at https://www.verisign.com/cps/testca (c)05
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Subject Name:
    cn=webvpn.cisco.com
    ou=Terms of use at www.verisign.com/cps/testca (c)05
    ou=TSWEB
    o=Cisco Systems
    l=Raleigh
    st=North Carolina
    c=US
  OCSP AIA:
    URL: http://ocsp.verisign.com
  CRL Distribution Points:
    [1]  http://SVRSecure-crl.verisign.com/SVRTrial2005.crl
  Validity Date:
    start date: 00:00:00 UTC Jul 19 2007
    end   date: 23:59:59 UTC Aug 2 2007
  Associated Trustpoints: my.verisign.trustpoint

! Certificado de identidade recebido do fornecedor externo exibido acima.

CA Certificate
  Status: Available
  Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Issuer Name:
    cn=VeriSign Trial Secure Server Test Root CA
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Subject Name:
    cn=VeriSign Trial Secure Server Test CA
    ou=Terms of use at https://www.verisign.com/cps/testca (c)05
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Validity Date:
    start date: 00:00:00 UTC Feb 9 2005
    end   date: 23:59:59 UTC Feb 8 2015
  Associated Trustpoints: my.verisign.trustpoint


! Certificado intermediário da CA exibido acima.

Verificação do Certificado Instalado do WebVPN com um Navegador da Web

Para verificar se o WebVPN utiliza o novo certificado, siga estes passos:

  1. Conecte-se à interface WebVPN através de um navegador da Web. Use https:// com o FQDN utilizado para solicitar o certificado (por exemplo, https://webvpn.cisco.com).

    Se você receber um destes alertas de segurança, execute o procedimento correspondente a esse alerta:

    • The Name of the Security Certificate Is Invalid or Does Not Match the Name of the Site

      Verifique se você utilizou o FQDN/CN correto para se conectar à interface WebVPN do ASA. Você deve utilizar o FQDN/CN definido quando solicitou o certificado de identidade. Você pode utilizar o comando show crypto ca certificates trustpointname para verificar o FQDN/CN dos certificados.

    • The security certificate was issued by a company you have not chosen to trust...

      Siga estes passos para instalar o certificado raiz de outros fornecedores em seu navegador da Web:

      1. Na caixa de diálogo Security Alert, clique em View Certificate.

      2. Na caixa de diálogo Certificate, clique na guia Certificate Path.

      3. Escolha o certificado da CA localizado acima do certificado de identidade emitido e clique em View Certificate.

      4. Clique em Install Certificate.

      5. Na caixa de diálogo Certificate Install Wizard, clique em Next.

      6. Escolha o botão de opção Automatically select the certificate store based on the type of certificate, clique em Next e, em seguida, clique em Finish.

      7. Clique em Yes quando receber o prompt de confirmação Install the certificate.

      8. No prompt Import operation was successful, clique em OK e, em seguida, clique em Yes.

    • NOTA: Como este exemplo utiliza o Certificado de Avaliação da Verisign, o Certificado Raiz de Avaliação da CA Verisign deverá estar instalado a fim de evitar erros de verificação quando os usuários se conectarem.

  2. Clique duas vezes no ícone de cadeado exibido no canto inferior direito da página de login do WebVPN.

    As informações sobre o certificado instalado deverão ser exibidas.

  3. Examine o conteúdo para verificar se ele corresponde ao certificado de terceiros.

    [+] Mostrar Imagem [ASDM]

Comandos

No ASA, você pode utilizar vários comandos show na linha de comando para verificar o status de um certificado.

  • show crypto ca trustpoint — Exibe os trustpoints configurados.

  • show crypto ca certificate — Exibe todos os certificados instalados no sistema.

  • show crypto ca crls — Exibe as listas de revogação de certificado (CRL) armazenadas em cache.

  • show crypto key mypubkey rsa — Exibe todos os pares de chaves de criptografia gerados.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Troubleshooting

Esta seção fornece informações que você pode utilizar no troubleshooting de sua configuração.

Veja aqui alguns possíveis erros que você poderá encontrar:

  • % Warning: CA cert is not found. The imported certs might not be usable.INFO: Certificate successfully imported

    O certificado da CA não foi autenticado corretamente. Utilize o comando show crypto ca certificate trustpointname para verificar se o certificado da CA foi instalado. Procure a linha que começa com CA Certificate. Se o certificado da CA estiver instalado, verifique se ele faz referência ao trustpoint correto.

    ciscoasa

    ciscoasa#show crypto ca certificate my.verisign.trustpoint | b CA Certificate
    CA Certificate
      Status: Available
      Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b
      Certificate Usage: General Purpose
      Public Key Type: RSA (2048 bits)
      Issuer Name:
        cn=VeriSign Trial Secure Server Test Root CA
        ou=For Test Purposes Only. No assurances.
        o=VeriSign\, Inc.
        c=US
      Subject Name:
        cn=VeriSign Trial Secure Server Test CA
        ou=Terms of use at https://www.verisign.com/cps/testca (c)05
        ou=For Test Purposes Only. No assurances.
        o=VeriSign\, Inc.
        c=US
      Validity Date:
        start date: 19:00:00 EST Feb 8 2005
        end   date: 18:59:59 EST Feb 8 2015
      Associated Trustpoints: my.verisign.trustpoint
    ciscoasa#
    


  • ERROR: Failed to parse or verify imported certificate

    Este erro poderá ocorrer quando você instalar o certificado de identidade e não tiver o certificado correto da CA intermediária ou raiz autenticado com o trustpoint associado. Você deverá remover o certificado e fazer novamente a autenticação com o certificado correto da CA intermediária ou raiz. Entre em contato com o seu fornecedor para verificar se recebeu o certificado correto da CA.

  • Certificate does not contain general purpose public key

    Este erro poderá ocorrer quando você tentar instalar o seu certificado de identidade no Trustpoint errado. Você tenta instalar um certificado de identidade inválido ou o par de chaves associado ao Trustpoint não corresponde à chave pública contida no certificado. Utilize o comando show crypto ca certificates trustpointname para verificar se instalou o certificado de identidade no trustpoint correto. Procure a linha que indica Associated Trustpoints: Se o trustpoint errado estiver listado, siga os procedimentos descritos neste documento para remover e reinstalar o trustpoint adequado; verifique também se o par de chaves não foi alterado desde que o CSR foi gerado.

  • Error Message: %PIX|ASA-3-717023 SSL failed to set device certificate for trustpoint [trustpoint name]

    Esta mensagem será exibida se ocorrer uma falha quando você definir um certificado de dispositivo para o trustpoint especificado a fim de autenticar a conexão SSL. Quando essa conexão for ativada, haverá uma tentativa de definir o certificado de dispositivo que será utilizado. Se ocorrer uma falha, será registrada uma mensagem de erro contendo o trustpoint configurado que deverá ser utilizado para carregar o certificado de dispositivo e o motivo da falha.

    trustpoint name — Nome do trustpoint para o qual o SSL não conseguiu definir um certificado de dispositivo.

  • Ação Recomendada: Solucione o problema indicado pelo motivo relatado para a falha.

    1. Verifique se o trustpoint especificado está registrado e possui um certificado de dispositivo.
    2. Verifique se o certificado de dispositivo é válido.
    3. Registre novamente o trustpoint, se necessário.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 97856