安全 : Cisco ASA 5500 系列自适应安全设备

在 ASA 8.x 上手动安装第三方供应商证书以便与 WebVPN 一起使用的配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

此配置示例描述如何在 ASA 上手动安装第三方供应商数字证书,以便与 WebVPN 一起使用。此示例中使用 Verisign Trial Certificate。每个步骤都包含 ASDM 应用程序步骤和 CLI 示例。

先决条件

要求

本文档要求您能够访问证书机构 (CA) 以便进行证书注册。例如,第三方 CA 供应商包括(但不限于)Baltimore、Cisco、Entrust、Geotrust、Godaddy、iPlanet/Netscape、Microsoft、RSA、Thawte 和 VeriSign。

使用的组件

本文档使用运行软件版本 8.0(2) 和 ASDM 版本 6.0(2) 的 ASA 5510。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

要在 ASA 上安装第三方供应商数字证书,请完成以下步骤:

  1. 验证伊达市、时间和时间区域值是准确的

  2. 生成证书签名请求

  3. 验证信任点

  4. 安装证书

  5. 配置WebVPN最近使用预装证书

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

步骤 1. 验证 Date、Time 和 Time Zone 值是否准确

ASDM 步骤

  1. 单击 Configuration,然后单击 Device Setup。

  2. 展开 System Time,然后选择 Clock。

  3. 验证列出的信息是否准确。

    要正确通过证书验证,Date、Time 和 Time Zone 值必须准确。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-01.gif

命令行示例

ciscoasa
ciscoasa#show clock
11:02:20.244 UTC Thu Jul 19 2007
ciscoasa#

步骤 2. 生成证书签名请求

证书签名请求(CSR)要求为了第三方CA能发行身份证书。CSR 包含 ASA 的可分辨名称 (DN) 字符串与 ASA 的已生成公钥。ASA 将使用生成的私钥对 CSR 进行数字签名。

ASDM 步骤

  1. 单击 Configuration,然后单击 Device Management。

  2. 展开 Certificate Management,然后选择 Identity Certificates。

  3. 单击 Add

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-02.gif

  4. 单击 Add a new identity certificate 单选按钮。

  5. 对于 Key Pair,单击 New

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-03.gif

    注意: 如果使用一2048个位证书,请生成关键2048的位。

  6. 单击 Enter new key pair name 单选按钮。您应该明确标识密钥对名称以进行识别。

  7. 单击 Generate Now

    现在应已创建密钥对。

  8. 要定义“Certificate Subject DN”,请单击 Select,然后配置下表中所列的属性:

    表 4.1:DN 属性

    属性 说明
    CN 将用于连接防火墙的 FQDN(完全限定域名)。例如, webvpn.cisco.com
    OU 部门名称
    O 公司名称(请避免使用特殊字符)
    C 国家/地区代码(不带标点的 2 位字母代码)
    St 状态(必须清楚地说明完全。例如,北卡罗来纳州)
    L 城市

    要配置这些值,可以从 Attribute 下拉列表中选择值或输入值,然后单击 Add

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-04.gif

    注意: 某些第三方供应商在颁发身份证书之前要求提供特定属性。如果不确定需要提供什么属性,请与您的供应商联系以了解详细信息。

  9. 添加相应的值之后,单击 OK

    将会出现 Add Identity Certificate 对话框,并显示已填入的 Certificate Subject DN。

  10. 单击 Advanced

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-05.gif

  11. 在“FQDN”字段中,输入将用于从 Internet 访问设备的 FQDN。

    此值应与用于公用名称 (CN) 的 FQDN 相同。

  12. 单击 OK,然后单击 Add Certificate。

    系统会提示您将 CSR 保存到本地计算机上的文件中。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-06.gif

  13. 单击 Browse,选择用于保存 CSR 的位置,然后使用 .txt 扩展名保存文件。

    注意: 使用 .txt 扩展名保存文件后,您可以使用文本编辑器(例如记事本)打开此文件,并查看 PKCS#10 请求。

  14. 将保存的 CSR 提交给第三方供应商。将 CSR 提交给第三方供应商后,他们将为您提供要在 ASA 上安装的身份证书。

命令行示例

在 ASDM 6.x 中,当生成 CSR 或安装 CA 证书后,将自动创建信任点。在 CLI 中,必须手动创建信任点。

ciscoasa
ciscoasa#conf t

ciscoasa(config)#crypto key generate rsa label my.verisign.key modulus 1024

! Generates 1024 bit RSA key pair. "label" defines 
! the name of the Key Pair.

INFO: The name for the keys will be: my.verisign.key
Keypair generation process begin. Please wait...
ciscoasa(config)#crypto ca trustpoint my.verisign.trustpoint
ciscoasa(config-ca-trustpoint)#subject-name CN=webvpn.cisco.com,OU=TSWEB,
                                O=Cisco Systems,C=US,St=North Carolina,L=Raleigh


! Defines x.500 distinguished name. Use the attributes 
! defined in table 4.1 in Step 2 as a guide.



ciscoasa(config-ca-trustpoint)#keypair my.verisign.key


! Specifies key pair generated in Step 3.


ciscoasa(config-ca-trustpoint)#fqdn webvpn.cisco.com


! Specifies the FQDN (DNS:) to be used as the subject 
! alternative name.


ciscoasa(config-ca-trustpoint)#enrollment terminal



! Specifies manual enrollment.


ciscoasa(config-ca-trustpoint)#exit
ciscoasa(config)#crypto ca enroll my.verisign.trustpoint


! Initiates certificate signing request. This is the request
! to be submitted via Web or Email to the 3rd party vendor.


% Start certificate enrollment ..
% The subject name in the certificate will be: CN=webvpn.cisco.com,OU=TSWEB,
  O=Cisco Systems,C=US,St=North Carolina,L=Raleigh

% The fully-qualified domain name in the certificate will be: webvpn.cisco.com

% Include the device serial number in the subject name? [yes/no]: no



! Do not include the device's serial number in the subject.


Display Certificate Request to terminal? [yes/no]: yes


! Displays the PKCS#10 enrollment request to the terminal. 
! You will need to copy this from the terminal to a text 
! file or web text field to submit to the 3rd party CA.


Certificate Request follows:

MIICHjCCAYcCAQAwgaAxEDAOBgNVBAcTB1JhbGVpZ2gxFzAVBgNVBAgTDk5vcnRo
IENhcm9saW5hMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNQ2lzY28gU3lzdGVtczEO
MAwGA1UECxMFVFNXRUIxGzAZBgNVBAMTEmNpc2NvYXNhLmNpc2NvLmNvbTEhMB8G
CSqGSIb3DQEJAhYSY2lzY29hc2EuY2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUA
A4GNADCBiQKBgQCmM/2VteHnhihS1uOj0+hWa5KmOPpI6Y/MMWmqgBaB9M4yTx5b
Fm886s8F73WsfQPynBDfBSsejDOnBpFYzKsGf7TUMQB2m2RFaqfyNxYt3oMXSNPO
m1dZ0xJVnRIp9cyQp/983pm5PfDD6/ho0nTktx0i+1cEX0luBMh7oKargwIDAQAB
oD0wOwYJKoZIhvcNAQkOMS4wLDALBgNVHQ8EBAMCBaAwHQYDVR0RBBYwFIISY2lz
Y29hc2EuY2lzY28uY29tMA0GCSqGSIb3DQEBBAUAA4GBABrxpY0q7SeOHZf3yEJq
po6wG+oZpsvpYI/HemKUlaRc783w4BMO5lulIEnHgRqAxrTbQn0B7JPIbkc2ykkm
bYvRt/wiKc8FjpvPpfOkjMK0T3t+HeQ/5QlKx2Y/vrqs+Hg5SLHpbhj/Uo13yWCe
0Bzg59cYXq/vkoqZV/tBuACr

---End - This line not part of the certificate request---

Redisplay enrollment request? [yes/no]: no
ciscoasa(config)#

步骤 3. 验证信任点

从第三方供应商处收到身份证书后,您可以继续执行此步骤。

ASDM 步骤

  1. 将身份证书保存到本地计算机中。

  2. 如果您收到的是非文件形式的 base64 加密证书,则必须复制此 base64 消息,并将其粘贴到文本文件中。

  3. 将文件扩展名改为 .cer。注意:使用扩展名 .cer 重命名文件后,文件图标将显示为证书。

  4. 双击此证书文件。

    此时,将显示“Certificate”对话框。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-07.gif

    注意: 如果 General 选项卡中显示“Windows does not have enough information to verify this certificate”信息,则在继续执行此步骤之前,您必须获取第三方供应商的根 CA 或中间 CA 证书。请与第三方供应商或 CA 管理员联系,以获得其发放的根 CA 或中间 CA 证书。

  5. 单击 Certificate Path 选项卡。

  6. 单击位于所发放的身份证书上方的 CA 证书,然后单击 View Certificate

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-08.gif

    此时,将显示中间 CA 证书的详细信息。

    警告 警告: 请勿在此步骤中安装身份(设备)证书。在此步骤中仅添加根、辅助根或 CA 证书。身份(设备)证书在步骤 4 中安装。

  7. 单击 Details

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-09.gif

  8. 单击 Copy to File

  9. 在“Certificate Export Wizard”中,单击 Next

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-10.gif

  10. 在“Export File Format”对话框中,单击 Base-64 encoded X.509 (.CER) 单选按钮,然后单击“Next”。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-11.gif

  11. 输入文件名以及要用于保存 CA 证书的位置。

  12. 单击 Next,然后单击“Finish”。

  13. 在“Export Successful”对话框中,单击 OK

  14. 浏览到 CA 证书的保存位置。

  15. 使用文本编辑器打开文件,例如记事本。(右键单击文件,然后选择 Send To > Notepad。)

    将会显示类似于下图中证书的 base64 编码信息:

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-12.gif

  16. 在 ASDM 中,单击 Configuration,然后单击 Device Management。

  17. 展开 Certificate Management,然后选择 CA Certificates。

  18. 单击 Add

  19. 单击 Paste certificate in PEM Format 单选按钮,然后将第三方供应商提供的 base64 CA 证书粘贴到文本字段中。

  20. 单击 Install Certificate

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-13.gif

    确认安装是成功的对话框出现。

命令行示例

ciscoasa
ciscoasa(config)#crypto ca authenticate my.verisign.trustpoint


! Initiates the prompt for paste-in of base64 CA intermediate certificate.
! This should be provided by the 3rd party vendor.


Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----
MIIEwDCCBCmgAwIBAgIQY7GlzcWfeIAdoGNs+XVGezANBgkqhkiG9w0BAQUFADCB
jDELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMTAwLgYDVQQL
EydGb3IgVGVzdCBQdXJwb3NlcyBPbmx5LiAgTm8gYXNzdXJhbmNlcy4xMjAwBgNV
BAMTKVZlcmlTaWduIFRyaWFsIFNlY3VyZSBTZXJ2ZXIgVGVzdCBSb290IENBMB4X
DTA1MDIwOTAwMDAwMFoXDTE1MDIwODIzNTk1OVowgcsxCzAJBgNVBAYTAlVTMRcw
FQYDVQQKEw5WZXJpU2lnbiwgSW5jLjEwMC4GA1UECxMnRm9yIFRlc3QgUHVycG9z
ZXMgT25seS4gIE5vIGFzc3VyYW5jZXMuMUIwQAYDVQQLEzlUZXJtcyBvZiB1c2Ug
YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL2Nwcy90ZXN0Y2EgKGMpMDUxLTAr
BgNVBAMTJFZlcmlTaWduIFRyaWFsIFNlY3VyZSBTZXJ2ZXIgVGVzdCBDQTCCASIw
DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALsXGt1M4HyjXwA+/NAuwElv6IJ/
DV8zgpvxuwdaMv6fNQBHSF4eKkFDcJLJVnP53ZiGcLAAwTC5ivGpGqE61BBD6Zqk
d85lPl/6XxK0EdmrN7qVMmvBMGRsmOjje1op5f0nKPqVoNK2qNUB6n451P4qoyqS
E0bdru16quZ+II2cGFAG1oSyRy4wvY/dpVHuZOZqYcIkK08yGotR2xA1D/OCCmZO
5RmNqLLKSVwYHhJ25EskFhgR2qCxX2EQJdnDXuTw0+4tlqj97ydk5iDoxjKfV6sb
tnp3TIY6S07bTb9gxJCk4pGbcf8DOPvOfGRu1wpfUUZC8v+WKC20+sK6QMECAwEA
AaOCAVwwggFYMBIGA1UdEwEB/wQIMAYBAf8CAQAwSwYDVR0gBEQwQjBABgpghkgB
hvhFAQcVMDIwMAYIKwYBBQUHAgEWJGh0dHBzOi8vd3d3LnZlcmlzaWduLmNvbS9j
cHMvdGVzdGNhLzAOBgNVHQ8BAf8EBAMCAQYwEQYJYIZIAYb4QgEBBAQDAgEGMB0G
A1UdDgQWBBRmIo6B4DFZ3Sp/q0bFNgIGcCeHWjCBsgYDVR0jBIGqMIGnoYGSpIGP
MIGMMQswCQYDVQQGEwJVUzEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xMDAuBgNV
BAsTJ0ZvciBUZXN0IFB1cnBvc2VzIE9ubHkuICBObyBhc3N1cmFuY2VzLjEyMDAG
A1UEAxMpVmVyaVNpZ24gVHJpYWwgU2VjdXJlIFNlcnZlciBUZXN0IFJvb3QgQ0GC
ECCol67bggLewTagTia9h3MwDQYJKoZIhvcNAQEFBQADgYEASz5v8s3/SjzRvY2l
Kqf234YROiL51ZS111oUZ2MANp2H4biw4itfsG5snDDlwSRmiH3BW/SU6EEzD9oi
Ai9TXvRIcD5q0mB+nyK9fB2aBzOiaiHSiIWzAJeQjuqA+Q93jNew+peuj4AhdvGN
n/KK/+1Yv61w3+7g6ukFMARVBNg=
-----END CERTIFICATE-----
quit


! Manually pasted certificate into CLI.

INFO: Certificate has the following attributes:
Fingerprint:     8de989db 7fcc5e3b fdde2c42 0813ef43
Do you accept this certificate? [yes/no]: yes

Trustpoint 'my.verisign.trustpoint' is a subordinate CA and 
            holds a non self-signed certificate.
Trustpoint CA certificate accepted.

% Certificate successfully imported
ciscoasa(config)#

ciscoasa(config-ca-trustpoint)# exit

步骤 4. 安装证书

ASDM 步骤

使用第三方供应商提供的身份证书执行以下步骤:

  1. 单击 Configuration,然后单击 Device Management。

  2. 展开 Certificate Management,然后选择 Identity Certificates。

  3. 选择在步骤 2 中创建的身份证书。(“Expiry Date”应显示“Pending”。)

  4. 单击 Install

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-14.gif

  5. 单击 Paste the certificate data in base-64 format 单选按钮,然后将第三方供应商提供的身份证书粘贴到文本字段中。

  6. 单击 Install Certificate

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-15.gif

    此时,将显示一个确认导入是否成功的对话框。

命令行示例

ciscoasa
ciscoasa(config)#crypto ca import my.verisign.trustpoint certificate


! Initiates prompt to paste the base64 identity
! certificate provided by the 3rd party vendor.
 


% The fully-qualified domain name in the certificate will be: webvpn.cisco.com


Enter the base 64 encoded certificate.
End with the word "quit" on a line by itself


! Paste the base 64 certificate provided by the 3rd party vendor.



-----BEGIN CERTIFICATE-----
MIIFZjCCBE6gAwIBAgIQMs/oXuu9K14eMGSf0mYjfTANBgkqhkiG9w0BAQUFADCB
yzELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMTAwLgYDVQQL
EydGb3IgVGVzdCBQdXJwb3NlcyBPbmx5LiAgTm8gYXNzdXJhbmNlcy4xQjBABgNV
BAsTOVRlcm1zIG9mIHVzZSBhdCBodHRwczovL3d3dy52ZXJpc2lnbi5jb20vY3Bz
L3Rlc3RjYSAoYykwNTEtMCsGA1UEAxMkVmVyaVNpZ24gVHJpYWwgU2VjdXJlIFNl
cnZlciBUZXN0IENBMB4XDTA3MDcyNjAwMDAwMFoXDTA3MDgwOTIzNTk1OVowgbox
CzAJBgNVBAYTAlVTMRcwFQYDVQQIEw5Ob3J0aCBDYXJvbGluYTEQMA4GA1UEBxQH
UmFsZWlnaDEWMBQGA1UEChQNQ2lzY28gU3lzdGVtczEOMAwGA1UECxQFVFNXRUIx
OjA4BgNVBAsUMVRlcm1zIG9mIHVzZSBhdCB3d3cudmVyaXNpZ24uY29tL2Nwcy90
ZXN0Y2EgKGMpMDUxHDAaBgNVBAMUE2Npc2NvYXNhMS5jaXNjby5jb20wgZ8wDQYJ
KoZIhvcNAQEBBQADgY0AMIGJAoGBAL56EvorHHlsIB/VRKaRlJeJKCrQ/9kER2JQ
9UOkUP3mVPZJtYN63ZxDwACeyNb+liIdKUegJWHI0Mz3GHqcgEkKW1EcrO+6aY1R
IaUE8/LiAZbA70+k/9Z/UR+v532B1nDRwbx1R9ZVhAJzA1hJTxSlEgryosBMMazg
5IcLhgSpAgMBAAGjggHXMIIB0zAJBgNVHRMEAjAAMAsGA1UdDwQEAwIFoDBDBgNV
HR8EPDA6MDigNqA0hjJodHRwOi8vU1ZSU2VjdXJlLWNybC52ZXJpc2lnbi5jb20v
U1ZSVHJpYWwyMDA1LmNybDBKBgNVHSAEQzBBMD8GCmCGSAGG+EUBBxUwMTAvBggr
BgEFBQcCARYjaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL2Nwcy90ZXN0Y2EwHQYD
VR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMB8GA1UdIwQYMBaAFGYijoHgMVnd
Kn+rRsU2AgZwJ4daMHgGCCsGAQUFBwEBBGwwajAkBggrBgEFBQcwAYYYaHR0cDov
L29jc3AudmVyaXNpZ24uY29tMEIGCCsGAQUFBzAChjZodHRwOi8vU1ZSU2VjdXJl
LWFpYS52ZXJpc2lnbi5jb20vU1ZSVHJpYWwyMDA1LWFpYS5jZXIwbgYIKwYBBQUH
AQwEYjBgoV6gXDBaMFgwVhYJaW1hZ2UvZ2lmMCEwHzAHBgUrDgMCGgQUS2u5KJYG
DLvQUjibKaxLB4shBRgwJhYkaHR0cDovL2xvZ28udmVyaXNpZ24uY29tL3ZzbG9n
bzEuZ2lmMA0GCSqGSIb3DQEBBQUAA4IBAQAnym4GVThPIyL/9ylDBd8N7/yW3Ov3
bIirHfHJyfPJ1znZQXyXdObpZkuA6Jyu03V2CYNnDomn4xRXQTUDD8q86ZiKyMIj
XM2VCmcHSajmMMRyjpydxfk6CIdDMtMGotCavRHD9Tl2tvwgrBock/v/54o02lkB
SmLzVV7crlYJEuhgqu3Pz7qNRd8N0Un6c9sbwQ1BuM99QxzIzdAo89FSewy8MAIY
rtab5F+oiTc5xGy8w7NARAfNgFXihqnLgWTtA35/oWuy86bje1IWbeyqj8ePM9Td
0LdAw6kUU1PNimPttMDhcF7cuevntROksOgQPBPx5FJSqMiUZGrvju5O
-----END CERTIFICATE-----
quit

INFO: Certificate successfully imported
ciscoasa(config)#

步骤 5. 将 WebVPN 配置为使用新安装的证书

ASDM 步骤

  1. 单击 Configuration,然后单击 Device Management。

  2. 展开 Advanced,然后展开“SSL Settings”。

  3. 在证书下,请选择使用终止WebVPN会话的接口。

    在本例中,使用外部接口。

  4. 单击 Edit

  5. 在“Certificate”下拉列表中,选择在步骤 4 中安装的证书。

  6. 单击 Ok

  7. 单击 Apply

    现在,在指定接口上终止的所有 WebVPN 会话应该已使用新的证书。

  8. 要确认安装过程是否成功,请参阅验证部分。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-16.gif

命令行示例

ciscoasa
ciscoasa(config)#ssl trust-point my.verisign.trustpoint outside



! Specifies the trustpoint that will supply the
! SSL certificate for the defined interface.
 

ciscoasa(config)# wr mem
Building configuration...
Cryptochecksum: 694687a1 f75042af ccc6addf 34d2cb08

8808 bytes copied in 3.630 secs (2936 bytes/sec)
[OK]
ciscoasa(config)#


! Save configuration.

验证

请使用以下步骤验证第三方供应商证书和使用的成功的安装WebVPN连接的。

查看已安装的证书

ASDM 步骤

  1. 单击 Configuration,然后单击“Device Management”。

  2. 展开 Certificate Management,然后选择 Identity Certificates。

    此时应显示第三方供应商颁发的身份证书。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-17.gif

命令行示例

ciscoasa
ciscoasa(config)#show crypto ca certificates


! Displays all certificates installed on the ASA.


Certificate
  Status: Available
  Certificate Serial Number: 32cfe85eebbd2b5e1e30649fd266237d
  Certificate Usage: General Purpose
  Public Key Type: RSA (1024 bits)
  Issuer Name:
    cn=VeriSign Trial Secure Server Test CA
    ou=Terms of use at https://www.verisign.com/cps/testca �)05
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Subject Name:
    cn=webvpn.cisco.com
    ou=Terms of use at www.verisign.com/cps/testca �)05
    ou=TSWEB
    o=Cisco Systems
    l=Raleigh
    st=North Carolina
    c=US
  OCSP AIA:
    URL: http://ocsp.verisign.com
  CRL Distribution Points:
    [1]  http://SVRSecure-crl.verisign.com/SVRTrial2005.crl
  Validity Date:
    start date: 00:00:00 UTC Jul 19 2007
    end   date: 23:59:59 UTC Aug 2 2007
  Associated Trustpoints: my.verisign.trustpoint


! Identity certificate received from 3rd party vendor displayed above.


CA Certificate
  Status: Available
  Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Issuer Name:
    cn=VeriSign Trial Secure Server Test Root CA
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Subject Name:
    cn=VeriSign Trial Secure Server Test CA
    ou=Terms of use at https://www.verisign.com/cps/testca �)05
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Validity Date:
    start date: 00:00:00 UTC Feb 9 2005
    end   date: 23:59:59 UTC Feb 8 2015
  Associated Trustpoints: my.verisign.trustpoint



! CA intermediate certificate displayed above.

使用 Web 浏览器验证为 WebVPN 安装的证书

要验证 WebVPN 是否使用新证书,请完成以下步骤:

  1. 通过 Web 浏览器连接到 WebVPN 接口。将 https:// 以及用于请求证书的 FQDN(例如,https://webvpn.cisco.com)。

    如果收到以下安全警报之一,请执行与该警报对应的步骤:

    • The Name of the Security Certificate Is Invalid or Does Not Match the Name of the Site

      验证您使用的 FQDN/CN 是否正确,以便连接到 ASA 的 WebVPN 接口。必须使用请求身份证书时定义的 FQDN/CN。可以使用 show crypto ca certificates trustpointname 命令验证证书 FQDN/CN。

    • The security certificate was issued by a company you have not chosen to trust...

      要将第三方供应商根证书安装到 Web 浏览器,请完成以下步骤:

      1. 在“Security Alert”对话框中,单击 View Certificate

      2. 在“Certificate”对话框中,单击 Certificate Path 选项卡。

      3. 选择位于为您颁发的身份证书上方的 CA 证书,然后单击 View Certificate

      4. 单击 Install Certificate

      5. 在“Certificate Install Wizard”对话框中,单击 Next

      6. 点击自动地精选根据证书单选按钮种类的证书存储其次单击和然后单击芬通社

      7. 当收到安装证书确认提示时,单击 Yes

      8. 显示 Import operation was successful 提示时,单击 OK,然后单击“Yes”。

      注意: 由于此示例使用 Verisign Trial Certificate,因此必须安装 Verisign Trial CA Root Certificate,以避免用户连接时出现验证错误。

  2. 双击 WebVPN 登录页右下角显示的锁图标。

    此时应显示已安装证书的信息。

  3. 查看这些内容,以验证是否与您的第三方供应商证书相匹配。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-18.gif

命令

在 ASA 上,可以在命令行中使用若干 show 命令验证证书的状态。

  • show crypto ca trustpoint — 显示已配置的信任点。

  • show crypto ca certificate — 显示系统上安装的所有证书。

  • show crypto ca crls — 显示缓存的证书撤销列表 (CRL)。

  • show crypto key mypubkey rsa — 显示所有生成的加密密钥对。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

故障排除

本部分提供的信息可用于对配置进行故障排除。

以下是您可能会遇到的一些可能的错误:

  • %亚里桑:CA cert is not found.The imported certs might not be usable.INFO:Certificate successfully imported

    对 CA 证书的身份验证不正确。请使用 show crypto ca certificate trustpointname 命令验证是否安装了 CA 证书。如果 CA 证书存在,请验证它是否引用了正确的信任点。

    ciscoasa
    ciscoasa#show crypto ca certificate my.verisign.trustpoint | b CA Certificate
    CA Certificate
      Status: Available
      Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b
      Certificate Usage: General Purpose
      Public Key Type: RSA (2048 bits)
      Issuer Name:
        cn=VeriSign Trial Secure Server Test Root CA
        ou=For Test Purposes Only. No assurances.
        o=VeriSign\, Inc.
        c=US
      Subject Name:
        cn=VeriSign Trial Secure Server Test CA
        ou=Terms of use at https://www.verisign.com/cps/testca �)05
        ou=For Test Purposes Only. No assurances.
        o=VeriSign\, Inc.
        c=US
      Validity Date:
        start date: 19:00:00 EST Feb 8 2005
        end   date: 18:59:59 EST Feb 8 2015
      Associated Trustpoints: my.verisign.trustpoint
    
    
    !!! Line above lists associated trustpoints.
    
    
    
    ciscoasa#

  • ERROR:Failed to parse or verify imported certificate

    在安装身份证书时,如果您不具有通过相关信任点验证的正确的中间或根 CA 证书验证,则可能会出现此错误。您必须删除此身份证书,然后使用正确的中间或根 CA 证书重新验证身份。请与您的第三方供应商联系以验证您收到的 CA 证书是否正确。

  • Certificate does not contain general purpose public key

    当您尝试将身份证书安装到错误的信任点时,可能会出现此错误。这是因为您尝试安装无效的身份证书,或者与信任点关联的密钥对不匹配身份证书中包含的公钥。请使用 show crypto ca certificates trustpointname 命令以验证您是否将身份证书安装到正确的信任点。请查找以 Associated Trustpoints 开头的行:如果所列出的信任点是错误的,请使用本文档中介绍的步骤删除信任点,然后重新安装正确的信任点。同时,请验证在生成 CSR 之后密钥对是否未更改。

  • 错误消息%PIX|ASA-3-717023 SSL失败设置信任点[trustpoint name]的设备证书

    当为给定信任点设置设备证书以对 SSL 连接进行身份验证时,如果发生故障,则会显示此消息。当 SSL 连接恢复正常时,会尝试设置将要使用的设备证书。如果发生故障,则会记录一条错误消息,其中包括将用于加载设备证书的已配置信任点以及发生故障的原因。

    信任点名称—SSL 未能设置设备证书的信任点名称。

    建议操作:解决所报告的故障原因指出的问题。

    1. 确保指定的信任点已注册并具有设备证书。

    2. 确保设备证书有效。

    3. 重新注册信任点(如果需要)。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 98596