Segurança : Dispositivos de segurança adaptáveis Cisco ASA série 5500

Exemplo de Configuração de Certificados de Terceiros para Instalação Manual no ASA 8.x para Uso com WebVPN

12 Junho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (4 Setembro 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Passo 1. Verifique a Precisão dos Valores de Data, Hora e Fuso Horário
      Passo 2. Gere a Solicitação de Assinatura do Certificado
      Passo 3. Autentique o Trustpoint
      Passo 4. Instale o Certificado
      Passo 5. Configure o WebVPN para Uso do Certificado Recém-instalado
Verificação
Troubleshooting

Introdução

Este exemplo de configuração descreve como instalar manualmente um certificado digital de um fornecedor externo no ASA para uso com WebVPN. Um Certificado de Avaliação da Verisign é usado neste exemplo. Cada passo contém o procedimento do aplicativo ASDM e um exemplo da CLI.

Pré-requisitos

Requisitos

Este documento requer que você acesse uma autoridade de certificação (CA) para a inscrição do certificado. As CAs externas com suporte são: Baltimore, Cisco, Entrust, iPlanet/Netscape, Microsoft, RSA e VeriSign.

Componentes Utilizados

Este documento usa um ASA 5510 que executa software versão 8.0(2) e ASDM versão 6.0(2).

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Para instalar um certificado digital de um fornecedor externo no ASA, siga estes passos:

Passo 1. Verifique a Precisão dos Valores de Data, Hora e Fuso Horário
Passo 2. Gere a Solicitação de Assinatura do Certificado
Passo 3. Autentique o Trustpoint
Passo 4. Instale o Certificado
Passo 5. Configure o WebVPN para Uso do Certificado Recém-instalado

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Passo 1. Verifique a Precisão dos Valores de Data, Hora e Fuso Horário

Procedimento do ASDM

  1. Clique em Configuration e em Device Setup.

  2. Expanda System Time e escolha Clock.

  3. Verifique se as informações listadas são precisas.

    Os valores de Date, Time e Time Zone devem ser precisos para que ocorra uma validação correta do certificado.

    [+] Mostrar Imagem [ASDM]

Exemplo de Linha de Comando

ciscoasa

ciscoasa#show clock
11:02:20.244 UTC Thu Jul 19 2007
ciscoasa#

Passo 2. Gere a Solicitação de Assinatura do Certificado

Uma solicitação de assinatura do certificado (CSR) é necessária para que a CA externa emita um certificado de identidade. A CSR contém a sua seqüência de caracteres de nome diferenciado (DN) do ASA junto com a chave pública gerada do ASA. O ASA usa a chave privada gerada para assinar digitalmente a CSR.

Procedimento do ASDM

  1. Clique em Configuration e em Device Management.

  2. Expanda Certificate Management e escolha Identity Certificates.

  3. Clique em Add.

    [+] Mostrar Imagem [ASDM]

  4. Clique no botão de opção Add a new identity certificate.

  5. Para o par de chaves, clique em New.

    [+] Mostrar Imagem [ASDM]

  6. Clique no botão de opção Enter new key pair name. Você deve identificar de forma diferenciada o nome do par de chaves para reconhecimento.

  7. Clique em Generate Now.

    O par de chaves deve ser criado agora.

  8. Para definir Certificate Subject DN, clique em Select e configure os atributos listados nesta tabela:

    Tabela 4.1: Atributos do DN

    Atributo

    Descrição

    CN

    FQDN (Nome de Domínio Completamente Qualificado) que será usado para conexões ao seu firewall. Ex: webvpn.cisco.com

    OU

    Nome do Departamento

    O

    Nome da Empresa (evite usar caracteres especiais)

    C

    Código do País (código de duas letras sem pontuação)

    Rua

    Estado (deve ser escrito por extenso, ex: North Carolina)

    L

    Cidade


    Para configurar esses valores, escolha um valor da lista suspensa Attribute, insira o valor e clique em Add.

    [+] Mostrar Imagem [ASDM]

    Nota: Alguns fornecedores externos exigem atributos específicos que devem ser incluídos antes que um certificado de identidade seja emitido. Se você não tiver certeza sobre os atributos exigidos, consulte o seu fornecedor para obter detalhes.
  9. Uma vez que os valores apropriados tenham sido adicionados, clique em OK.

    A caixa de diálogo Add Identity Certificate será exibida com o campo Certificate Subject DN preenchido.
  10. Clique em Advanced.

    [+] Mostrar Imagem [ASDM]

  11. No campo FQDN, insira o FQDN que será usado para acessar o dispositivo da Internet.

    Esse valor deve ser o mesmo FQDN usado para o CN (Nome Comum).
  12. Clique em OK e em Add Certificate.

    Você será avisado para salvar a CSR em um arquivo no seu computador local.

    [+] Mostrar Imagem [ASDM]

  13. Clique em Browse, escolha um local onde salvar a CSR e salve o arquivo com a extensão .txt.

    Nota: Ao salvar o arquivo com uma extensão .txt, você poderá abrir o arquivo com um editor de texto (como o Notepad) e exibir a solicitação PKCS#10.
  14. Envie a CSR salva ao fornecedor externo.

    Uma vez que você envie a CSR ao seu fornecedor externo, ele fornecerá o certificado de identidade a ser instalado no ASA.

Exemplo de Linha de Comando

No ASDM 6.x, o trustpoint é criado automaticamente quando uma CSR é gerada ou quando o certificado da CA é instalado. Na CLI, o trustpoint deve ser criado manualmente.

ciscoasa

ciscoasa# conf t

ciscoasa(config)# crypto key generate rsa label my.verisign.key modulus 1024

! Gera um par de chaves RSA de 1024 bits RSA. "label" define o nome do par de chaves.

INFO: The name for the keys will be: my.verisign.key
Keypair generation process begin. Please wait...
ciscoasa(config)# crypto ca trustpoint my.verisign.trustpoint
ciscoasa(config-ca-trustpoint)# subject-name CN=webvpn.cisco.com,OU=TSWEB,
                                O=Cisco Systems,C=US,St=North Carolina,L=Raleigh

! Define o nome diferenciado x.500. Use os atributos definidos na tabela 4.1 como um guia.


ciscoasa(config-ca-trustpoint)# keypair my.verisign.key

! Especifica o par de chaves gerado no Passo 3.

ciscoasa(config-ca-trustpoint)# fqdn webvpn.cisco.com

! Especifica o FQDN (DNS:) a ser usado como nome alternativo do assunto.

ciscoasa(config-ca-trustpoint)# enrollment terminal


! Especifica a inscrição manual.

ciscoasa(config-ca-trustpoint)# exit
ciscoasa(config)# crypto ca enroll my.verisign.trustpoint

! Inicia a solicitação de assinatura do certificado. Essa é a solicitação que
! será enviada via Web ou e-mail para o fornecedor externo

% Start certificate enrollment ..
% The subject name in the certificate will be: CN=webvpn.cisco.com,OU=TSWEB,
  O=Cisco Systems,C=US,St=North Carolina,L=Raleigh

% The fully-qualified domain name in the certificate will be: webvpn.cisco.com

% Include the device serial number in the subject name? [yes/no]: no


! Não inclui o número de série do dispositivo no assunto.

Display Certificate Request to terminal? [yes/no]: yes

! Exibe a solicitação de inscrição PKCS#10 no terminal. Será necessário copiá-la
! do terminal para um arquivo de texto ou campo de texto da Web para enviá-lo para a CA externa.

Certificate Request follows:
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---End - This line not part of the certificate request---

Redisplay enrollment request? [yes/no]: no
ciscoasa(config)#

Passo 3. Autentique o Trustpoint

Uma vez que receba o certificado de identidade do fornecedor externo, você poderá prosseguir com este passo.

Procedimento do ASDM

  1. Salve o certificado de identidade no seu computador local.

  2. Se você recebeu um certificado codificado na base64 que não foi fornecido como um arquivo, você deverá copiar a mensagem na base64 e colá-la em um arquivo de texto.

  3. Renomeie o arquivo com a extensão .cer.

    Nota: Uma vez que o arquivo seja renomeado com a extensão .cer, o ícone do arquivo deverá ser exibido como um certificado.

  4. Clique duas vezes no arquivo de certificado.

    A caixa de diálogo Certificate será exibida.

    [+] Mostrar Imagem [ASDM]

    Nota: Se a mensagem "Windows does not have enough information to verify this certificate" for exibida na guia General, você deverá obter o certificado da CA raiz ou intermediária do fornecedor externo antes de continuar com este procedimento. Entre em contato com o seu fornecedor externo ou administrador da CA para obter a emissão do certificado da CA raiz ou intermediária.

  5. Clique na guia Certificate Path.

  6. Clique no certificado da CA localizado acima do seu certificado de identidade emitido e clique em View Certificate.

    [+] Mostrar Imagem [ASDM]

    Informações detalhadas sobre o certificado da CA intermediária serão exibidas.

  7. Clique em Details.

    [+] Mostrar Imagem [ASDM]

  8. Clique em Copy to File.

  9. No Certificate Export Wizard, clique em Next.

    [+] Mostrar Imagem [ASDM]

  10. Na caixa de diálogo Export File Format, clique no botão de opção Base-64 encoded X.509 (.CER) e clique em Next.

    [+] Mostrar Imagem [ASDM]

  11. Insira o nome do arquivo e o local onde você deseja salvar o certificado da CA.

  12. Clique em Next e, em seguida, clique em Finish.

  13. Clique em OK na caixa de diálogo Export Successful.

  14. Navegue para o local onde você salvou o certificado da CA.

  15. Abra o arquivo com um editor de texto, como o Notepad. (Clique com o botão direito do mouse no arquivo e escolha Send To > Notepad.)

  16. A mensagem codificada na base64 deve ser exibida de forma semelhante ao certificado nesta imagem:

    [+] Mostrar Imagem [ASDM]

  17. No ASDM, clique em Configuration e em Device Management.

  18. Expanda Certificate Management e escolha CA Certificates.

  19. Clique em Add.

  20. Clique no botão de opção Paste certificate in PEM Format e cole o certificado base64 da CA provido pelo fornecedor externo no campo de texto.

  21. Clique em Install Certificate.

    [+] Mostrar Imagem [ASDM]

    Uma caixa de diálogo será exibida confirmando que a instalação foi bem-sucedida.

Exemplo de Linha de Comando

ciscoasa

ciscoasa(config)# crypto ca authenticate my.verisign.trustpoint

! Inicia o prompt para a colagem do certificado intermediário base64 CA.
! Isso deve ser enviado pelo fornecedor externo.

Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit


! Certificado colado manualmente na CLI.

INFO: Certificate has the following attributes:
Fingerprint:     8de989db 7fcc5e3b fdde2c42 0813ef43
Do you accept this certificate? [yes/no]: yes

Trustpoint 'my.verisign.trustpoint' is a subordinate CA and holds a non self-signed certificate.
Trustpoint CA certificate accepted.

% Certificate successfully imported
ciscoasa(config)#

ciscoasa(config-ca-trustpoint)# exit

Passo 4. Instale o Certificado

Procedimento do ASDM

Use o certificado de identidade provido pelo fornecedor externo para executar estes passos:

  1. Clique em Configuration e em Device Management.

  2. Expanda Certificate Management e escolha Identity Certificates.

  3. Selecione o certificado de identidade criado no Passo 2. (Expiry Date deve exibir Pending.)

  4. Clique em Install.

    [+] Mostrar Imagem [ASDM]

    Clique no botão de opção Paste the certificate data in base-64 format e cole o certificado de identidade provido pelo fornecedor externo no campo de texto.

  5. Clique em Install Certificate.

    [+] Mostrar Imagem [ASDM]

    Uma caixa de diálogo será exibida confirmando que a importação foi bem-sucedida.

Exemplo de Linha de Comando

ciscoasa

ciscoasa(config)# crypto ca import my.verisign.trustpoint certificate

! Inicia o prompt para a colagem do certificado da identidade base64
! enviado pelo fornecedor externo.


% The fully-qualified domain name in the certificate will be: webvpn.cisco.com


Enter the base 64 encoded certificate.
End with the word "quit" on a line by itself

! Cola o certificado base64 enviado pelo fornecedor externo.


-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit

INFO: Certificate successfully imported
ciscoasa(config)#

Passo 5. Configure o WebVPN para Uso do Certificado Recém-instalado

Procedimento do ASDM

Clique em Configuration e em Device Management.

Expanda Advanced, SSL Settings. Em "Certificates", selecione a interface usada para encerrar as sessões do WebVPN. Neste exemplo, a interface externa é usada. Clique em Edit. No menu suspenso Certificate, selecione o certificado instalado no passo 5. Clique em OK. Clique em Apply. O seu novo certificado deverá agora ser utilizado para todas as sessões de WebVPN encerradas na interface especificada. Consulte os passos de Verificação abaixo para confirmar.

[+] Mostrar Imagem [ASDM]

Exemplo de Linha de Comando

ciscoasa

ciscoasa(config)# ssl trust-point my.verisign.trustpoint outside


! Especifica o trustpoint que fornecerá o
! certificado SSL para a interface definida.

ciscoasa(config)# wr mem
Building configuration...
Cryptochecksum: 694687a1 f75042af ccc6addf 34d2cb08

8808 bytes copied in 3.630 secs (2936 bytes/sec)
[OK]
ciscoasa(config)#

! Salva a configuração.

Verificação

Use os passos a seguir para verificar se a instalação do certificado do fornecedor externo e a sua utilização para conexões WebVPN foram bem-sucedidas.

Exiba os Certificados Instalados

Procedimento do ASDM

  1. Clique em Configuration e em Device Management.

  2. Expanda Certificate Management e escolha Identity Certificates.

    O certificado de identidade emitido pelo fornecedor externo deverá ser exibido.

    [+] Mostrar Imagem [ASDM]

Exemplo de Linha de Comando

ciscoasa

ciscoasa(config)# sh crypto ca certificates

! Exibe todos os certificados instalados no ASA.

Certificate
  Status: Available
  Certificate Serial Number: 32cfe85eebbd2b5e1e30649fd266237d
  Certificate Usage: General Purpose
  Public Key Type: RSA (1024 bits)
  Issuer Name:
    cn=VeriSign Trial Secure Server Test CA
    ou=Terms of use at https://www.verisign.com/cps/testca (c)05
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Subject Name:
    cn=webvpn.cisco.com
    ou=Terms of use at www.verisign.com/cps/testca (c)05
    ou=TSWEB
    o=Cisco Systems
    l=Raleigh
    st=North Carolina
    c=US
  OCSP AIA:
    URL: http://ocsp.verisign.com
  CRL Distribution Points:
    [1]  http://SVRSecure-crl.verisign.com/SVRTrial2005.crl
  Validity Date:
    start date: 00:00:00 UTC Jul 19 2007
    end   date: 23:59:59 UTC Aug 2 2007
  Associated Trustpoints: my.verisign.trustpoint

! Certificado de identidade recebido do fornecedor externo exibido acima.

CA Certificate
  Status: Available
  Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Issuer Name:
    cn=VeriSign Trial Secure Server Test Root CA
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Subject Name:
    cn=VeriSign Trial Secure Server Test CA
    ou=Terms of use at https://www.verisign.com/cps/testca (c)05
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Validity Date:
    start date: 00:00:00 UTC Feb 9 2005
    end   date: 23:59:59 UTC Feb 8 2015
  Associated Trustpoints: my.verisign.trustpoint


! Certificado intermediário da CA exibido acima.

Verifique o Certificado Instalado para WebVPN com um Navegador da Web

Para verificar se o WebVPN está usando o novo certificado, execute estes passos:

  1. Conecte à interface do WebVPN através do navegador da Web. Use https:// com o FQDN utilizado para solicitar o certificado (por exemplo, https://webvpn.cisco.com).

    Se você receber um dos seguintes alertas de segurança, execute o procedimento correspondente ao alerta:
    • The Name of the Security Certificate Is Invalid or Does Not Match the Name of the Site

      Verifique se você usou o FQDN/CN correto para conectar à interface de WebVPN do ASA. Você deve usar o FQDN/CN definido quando o certificado de identidade foi solicitado. Você pode usar o comando show crypto ca certificates trustpointname para verificar o FQDN/CN dos certificados.

    • The security certificate was issued by a company you have not chosen to trust...

      Execute estes passos para instalar o certificado raiz do fornecedor externo no seu navegador da Web:

      1. Na caixa de diálogo Security Alert, clique em View Certificate.

      2. Na caixa de diálogo Certificate, clique na guia Certificate Path.

      3. Selecione o certificado da CA localizado acima do seu certificado de identidade emitido e clique em View Certificate.

      4. Clique em Install Certificate.

      5. Na caixa de diálogo Certificate Install Wizard, clique em Next.

      6. Selecione o botão de opção Automatically select the certificate store based on the type of certificate, clique em Next e em Finish.

      7. Clique em Yes quando o prompt de confirmação de instalação do certificado for exibido.

      8. No prompt Import operation was successful, clique em OK e em Yes.
      Nota: Como este exemplo usa o Certificado de Avaliação da Verisign, o Certificado Raiz da CA de Avaliação da Verisign deve ser instalado para evitar erros de verificação quando os usuários se conectarem.

  2. Clique duas vezes no ícone de bloqueio exibido no canto inferior direito da página de login do WebVPN.

    As informações do certificado instalado deverão ser exibidas.

  3. Revise o conteúdo para verificar se ele corresponde ao seu certificado do fornecedor externo.

    [+] Mostrar Imagem [ASDM]

Comandos

No ASA, é possível usar vários comandos show na linha de comando para verificar o status de um certificado.

  • show crypto ca trustpoint Exibe os pontos de confiança configurados.

  • show crypto ca certificate Exibe todos os certificados instalados no sistema.

  • show crypto ca crls Exibe as listas de revogação de certificados em cache (CRL).

  • show crypto key mypubkey rsa Exibe todos os pares de chaves de criptografia gerados.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Troubleshooting

Esta seção fornece informações que você pode usar no troubleshooting da sua configuração.

Alguns erros que você pode encontrar são:

  • % Warning: CA cert is not found. The imported certs might not be usable.INFO: Certificate successfully imported

    O certificado da CA não foi autenticado corretamente. Use o comando show crypto ca certificate trustpointname para verificar se o certificado da CA foi instalado. Se o certificado da CA existir, verifique se ele faz referência ao trustpoint correto.

    ciscoasa

    ciscoasa#show crypto ca certificate my.verisign.trustpoint | b CA Certificate
    CA Certificate
      Status: Available
      Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b
      Certificate Usage: General Purpose
      Public Key Type: RSA (2048 bits)
      Issuer Name:
        cn=VeriSign Trial Secure Server Test Root CA
        ou=For Test Purposes Only. No assurances.
        o=VeriSign\, Inc.
        c=US
      Subject Name:
        cn=VeriSign Trial Secure Server Test CA
        ou=Terms of use at https://www.verisign.com/cps/testca (c)05
        ou=For Test Purposes Only. No assurances.
        o=VeriSign\, Inc.
        c=US
      Validity Date:
        start date: 19:00:00 EST Feb 8 2005
        end   date: 18:59:59 EST Feb 8 2015
      Associated Trustpoints: my.verisign.trustpoint
    
    !!! À linha acima lista os trustpoints associados.
    
    ciscoasa#
    


  • ERROR: Failed to parse or verify imported certificate

    Este erro pode ocorrer quando você instala o certificado de identidade e não possui o certificado correto da CA raiz ou intermediária autenticado com o trustpoint associado. Você deve remover e reautenticar usando o certificado correto da CA raiz ou intermediária. Entre em contato com o fornecedor externo para verificar se você recebeu o certificado correto da CA.

  • Certificate does not contain general purpose public key

    Este erro pode ocorrer quando você tenta instalar o seu certificado de identidade no Trustpoint incorreto. Você tentou instalar um certificado de identidade inválido ou o par de chaves associado ao Trustpoint não corresponde à chave pública contida no certificado de identidade. Use o comando show crypto ca certificates trustpointname para verificar se você instalou o certificado de identidade no trustpoint correto. Procure a linha iniciada por Associated Trustpoints:. Se o trustpoint incorreto estiver listado, use os procedimentos descritos neste documento para remover e reinstalar o trustpoint apropriado. Além disso, verifique se o par de chaves não foi alterado desde que a CSR foi gerada.

  • Error Message: %PIX|ASA-3-717023 SSL failed to set device certificate for trustpoint [trustpoint name]

    Esta mensagem é exibida quando uma falha ocorre ao definir um certificado de dispositivo para o trustpoint fornecido para autenticar a conexão SSL. Quando a conexão SSL é ativada, uma tentativa é feita para definir o certificado de dispositivo que será usado. Se houver uma falha, uma mensagem de erro será registrada, incluindo o trustpoint configurado que deve ser usado para carregar o certificado do dispositivo e o motivo da falha.

    trustpoint name — Nome do trustpoint para o qual o SSL falhou ao definir o certificado do dispositivo.

  • Ação Recomendada: Solucione o problema indicado pelo motivo relatado para a falha.

    1. Garanta que o trustpoint especificado esteja inscrito e possua um certificado de dispositivo.
    2. Certifique-se de que o certificado do dispositivo seja válido.
    3. Inscreva novamente o trustpoint, se necessário.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 98596