セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 8.x WebVPN で使用するサードパーティ ベンダーの証明書を手動でインストールする設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2009 年 4 月 17 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この設定例では、WebVPN で使用するサードパーティ ベンダーのデジタル証明書を、ASA 上で手動でインストールする方法について説明しています。 この例では、Verisign Trial Certificate を使用しています。 各ステップには、ASDM アプリケーションの手順と CLI の例が記載されています。

前提条件

要件

このドキュメントでは、証明書を登録するために Certificate Authority(CA; 認証局)にアクセスする必要があります。 サードパーティ CA ベンダーの例としては、Baltimore、Cisco、Entrust、Geotrust、Godaddy、iPlanet/Netscape、Microsoft、RSA、Thawte、VeriSign などがありますが、他にも存在します。

使用するコンポーネント

このドキュメントでは、ソフトウェア バージョン 8.0(2) および ASDM バージョン 6.0(2) が稼働する ASA 5510 を使用しています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

ASA 上にサードパーティ ベンダーのデジタル証明書をインストールするには、次の手順を実行します。

  1. 日付、時刻、および時間帯(Time Zone)の値が正しいことの確認

  2. 証明書署名要求の生成

  3. トラストポイントの認証

  4. 証明書のインストール

  5. WebVPN の設定による新規インストールされた証明書の使用

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ステップ 1. 日付、時刻、および時間帯の値が正しいことを確認する

ASDM の手順

  1. Configuration をクリックし、次に Device Setup をクリックします。

  2. [System Time] を展開し、[Clock] を選択します。

  3. 表示されている情報が正しいことを確認します。

    証明書の検証が適切に行われるために、Date、Time、および Time Zone の値は正確である必要があります。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-01.gif

コマンドラインの例

ciscoasa
ciscoasa#show clock
11:02:20.244 UTC Thu Jul 19 2007
ciscoasa#

ステップ 2:証明書署名要求を生成する

サードパーティ CA が ID 証明書を発行するには、Certificate Signing Request(CSR; 証明書署名要求)が必要です。 CSR には、ASA の生成された公開鍵とともに、ASA の認定者名(DN)文字列が含まれます。 ASA は、生成された秘密鍵を使用して、CSR のデジタル署名を行います。

ASDM の手順

  1. Configuration をクリックし、次に Device Management をクリックします。

  2. Certificate Management を展開し、Identity Certificates を選択します。

  3. [Add] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-02.gif

  4. Add a new identity certificate オプション ボタンをクリックします。

  5. Key Pair で New をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-03.gif

    注: 2048 ビット 認証を使用する場合、キー 2048 ビットを同様に生成して下さい。

  6. [Enter new key pair name] オプション ボタンをクリックします。 認識できるように、鍵ペアの名前を明確に特定する必要があります。

  7. [Generate Now] をクリックします。

    この時点で鍵ペアが作成されます。

  8. Certificate Subject DN を定義するために、Select をクリックし、次の表に表示されている属性を設定します。

    表 4.1: DN の属性

    Attribute 説明
    CN ファイアウォールへの接続に使用される Full Qualified Domain Name(FQDN; 完全修飾ドメイン名)。 たとえば、webvpn.cisco.com
    OU 部門名
    O 企業名(特殊文字は使用不可)
    C 国コード(句読点のない 2 文字のコード)
    St 状態(完全に綴られなければなりません。 完全なスペルが必要)
    L 都市

    これらの値を設定するために、Attribute ドロップダウン リストから値を選択し、値を入力して、Add をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-04.gif

    注: 一部のサードパーティ ベンダーでは、ID 証明書を発行する前に、特定の属性を追加する必要があります。 必要な属性が明確でない場合は、ベンダーに詳細を問い合せてください。

  9. 適切な値を追加したら、OK をクリックします。

    Certificate Subject DN フィールドにデータが入力された状態で、Add Identity Certificate ダイアログ ボックスが表示されます。

  10. [Advanced] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-05.gif

  11. FQDN フィールドに、インターネットからデバイスにアクセスするために使用される FQDN を入力します。

    この値は、Common Name(CN)に使用したものと同じ FQDN である必要があります。

  12. [OK] をクリックし、次に [Add Certificate] をクリックします。

    ローカル マシン上のファイルに CSR を保存するプロンプトが表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-06.gif

  13. [Browse] をクリックし、CSR を保存する場所を選択し、.txt 拡張子を付けてファイルを保存します。

    注: .txt 拡張子を付けてファイルを保存すると、(メモ帳などの)テキスト エディタを使用してファイルを開き、PKCS#10 要求を表示できます。

  14. 保存した CSR をサードパーティ ベンダーに送信します。 CSR をサードパーティ ベンダーに送信すると、ASA 上にインストールされる ID 証明書が提供されます。

コマンドラインの例

ASDM 6.x では、CSR が生成された時点、または CA 証明書がインストールされた時点でトラストポイントが自動的に作成されます。 CLI では、トラストポイントを手動で作成する必要があります。

ciscoasa
ciscoasa#conf t

ciscoasa(config)#crypto key generate rsa label my.verisign.key modulus 1024

! Generates 1024 bit RSA key pair. "label" defines 
! the name of the Key Pair.

INFO: The name for the keys will be: my.verisign.key
Keypair generation process begin. Please wait...
ciscoasa(config)#crypto ca trustpoint my.verisign.trustpoint
ciscoasa(config-ca-trustpoint)#subject-name CN=webvpn.cisco.com,OU=TSWEB,
                                O=Cisco Systems,C=US,St=North Carolina,L=Raleigh


! Defines x.500 distinguished name. Use the attributes 
! defined in table 4.1 in Step 2 as a guide.



ciscoasa(config-ca-trustpoint)#keypair my.verisign.key


! Specifies key pair generated in Step 3.


ciscoasa(config-ca-trustpoint)#fqdn webvpn.cisco.com


! Specifies the FQDN (DNS:) to be used as the subject 
! alternative name.


ciscoasa(config-ca-trustpoint)#enrollment terminal



! Specifies manual enrollment.


ciscoasa(config-ca-trustpoint)#exit
ciscoasa(config)#crypto ca enroll my.verisign.trustpoint


! Initiates certificate signing request. This is the request
! to be submitted via Web or Email to the 3rd party vendor.


% Start certificate enrollment ..
% The subject name in the certificate will be: CN=webvpn.cisco.com,OU=TSWEB,
  O=Cisco Systems,C=US,St=North Carolina,L=Raleigh

% The fully-qualified domain name in the certificate will be: webvpn.cisco.com

% Include the device serial number in the subject name? [yes/no]: no



! Do not include the device's serial number in the subject.


Display Certificate Request to terminal? [yes/no]: yes


! Displays the PKCS#10 enrollment request to the terminal. 
! You will need to copy this from the terminal to a text 
! file or web text field to submit to the 3rd party CA.


Certificate Request follows:

MIICHjCCAYcCAQAwgaAxEDAOBgNVBAcTB1JhbGVpZ2gxFzAVBgNVBAgTDk5vcnRo
IENhcm9saW5hMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNQ2lzY28gU3lzdGVtczEO
MAwGA1UECxMFVFNXRUIxGzAZBgNVBAMTEmNpc2NvYXNhLmNpc2NvLmNvbTEhMB8G
CSqGSIb3DQEJAhYSY2lzY29hc2EuY2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUA
A4GNADCBiQKBgQCmM/2VteHnhihS1uOj0+hWa5KmOPpI6Y/MMWmqgBaB9M4yTx5b
Fm886s8F73WsfQPynBDfBSsejDOnBpFYzKsGf7TUMQB2m2RFaqfyNxYt3oMXSNPO
m1dZ0xJVnRIp9cyQp/983pm5PfDD6/ho0nTktx0i+1cEX0luBMh7oKargwIDAQAB
oD0wOwYJKoZIhvcNAQkOMS4wLDALBgNVHQ8EBAMCBaAwHQYDVR0RBBYwFIISY2lz
Y29hc2EuY2lzY28uY29tMA0GCSqGSIb3DQEBBAUAA4GBABrxpY0q7SeOHZf3yEJq
po6wG+oZpsvpYI/HemKUlaRc783w4BMO5lulIEnHgRqAxrTbQn0B7JPIbkc2ykkm
bYvRt/wiKc8FjpvPpfOkjMK0T3t+HeQ/5QlKx2Y/vrqs+Hg5SLHpbhj/Uo13yWCe
0Bzg59cYXq/vkoqZV/tBuACr

---End - This line not part of the certificate request---

Redisplay enrollment request? [yes/no]: no
ciscoasa(config)#

ステップ 3:トラストポイントを認証する

サードパーティ ベンダーから ID 証明書を受信したら、引き続きこのステップを実行します。

ASDM の手順

  1. ID 証明書をローカル コンピュータに保存します。

  2. ファイル形式ではない Base64 で符号化された証明書が提供された場合、Base64 メッセージをコピーし、テキスト ファイルに貼り付ける必要があります。

  3. .cer 拡張子を使用してファイルの名前を変更します。 注: .cer 拡張子を使用してファイルの名前を変更すると、ファイルのアイコンは証明書として表示されます。

  4. 証明書ファイルをダブルクリックします。

    Certificate ダイアログ ボックスが表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-07.gif

    注: General タブに「Windows does not have enough information to verify this certificate」というメッセージが表示された場合、この手順を継続する前に、サードパーティ ベンダーのルート CA または中間 CA 証明書を入手する必要があります。 ルート CA または中間 CA 証明書を入手するには、サードパーティ ベンダーまたは CA 管理者に問い合せてください。

  5. [Certificate Path] タブをクリックします。

  6. 発行された ID 証明書の上にある CA 証明書をクリックし、[View Certificate] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-08.gif

    中間 CA 証明書に関する詳細情報が表示されます。

    警告 警告: このステップでは ID(デバイス)証明書をインストールしないでください。 このステップでは、ルート、下位ルート、または CA 証明書のみを追加します。 ID(デバイス)証明書はステップ 4 でインストールします。

  7. [Details] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-09.gif

  8. Copy to File をクリックします。

  9. Certificate Export Wizard 内で Next をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-10.gif

  10. Export File Format ダイアログ ボックスで Base-64 encoded X.509 (.CER) オプション ボタンをクリックし、Next をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-11.gif

  11. ファイル名と、CA 証明書を保存する場所を入力します。

  12. [Next] をクリックし、次に [Finish] をクリックします。

  13. Export Successful ダイアログ ボックスで OK をクリックします。

  14. CA 証明書を保存した場所を表示します。

  15. メモ帳などのテキスト エディタでファイルを開きます (ファイルを右クリックし、[Send To] > [Notepad] の順に選択します)。

    Base64 で符号化されたメッセージは、次の画像の証明書のようになります。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-12.gif

  16. ASDM 内で Configuration をクリックし、次に Device Management をクリックします。

  17. [Certificate Management] を展開し、[CA Certificates] を選択します。

  18. [Add] をクリックします。

  19. Paste certificate in PEM Format オプション ボタンをクリックし、サードパーティ ベンダーにより提供された Base64 の CA 証明書をテキスト フィールドに貼り付けます。

  20. Install Certificate をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-13.gif

    インストールをだった正常確認するダイアログボックスは現われます。

コマンドラインの例

ciscoasa
ciscoasa(config)#crypto ca authenticate my.verisign.trustpoint


! Initiates the prompt for paste-in of base64 CA intermediate certificate.
! This should be provided by the 3rd party vendor.


Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit


! Manually pasted certificate into CLI.

INFO: Certificate has the following attributes:
Fingerprint:     8de989db 7fcc5e3b fdde2c42 0813ef43
Do you accept this certificate? [yes/no]: yes

Trustpoint 'my.verisign.trustpoint' is a subordinate CA and 
            holds a non self-signed certificate.
Trustpoint CA certificate accepted.

% Certificate successfully imported
ciscoasa(config)#

ciscoasa(config-ca-trustpoint)# exit

ステップ 4:証明書をインストールする

ASDM の手順

次の手順を実行するには、サードパーティ ベンダーにより提供された ID 証明書を使用します。

  1. Configuration をクリックし、次に Device Management をクリックします。

  2. Certificate Management を展開し、Identity Certificates を選択します。

  3. ステップ 2.で作成した ID証明を選択して下さい(満期 日は保留中を表示する必要があります。)

  4. [Install] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-14.gif

  5. Paste the certificate data in base-64 format オプション ボタンをクリックし、サードパーティ ベンダーにより提供された ID 証明書をテキスト フィールドに貼り付けます。

  6. Install Certificate をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-15.gif

    インポートが成功したことを示すダイアログ ボックスが表示されます。

コマンドラインの例

ciscoasa
ciscoasa(config)#crypto ca import my.verisign.trustpoint certificate


! Initiates prompt to paste the base64 identity
! certificate provided by the 3rd party vendor.
 


% The fully-qualified domain name in the certificate will be: webvpn.cisco.com


Enter the base 64 encoded certificate.
End with the word "quit" on a line by itself


! Paste the base 64 certificate provided by the 3rd party vendor.



-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit

INFO: Certificate successfully imported
ciscoasa(config)#

ステップ 5.最近インストール済み認証を使用するために WebVPN を設定して下さい

ASDM の手順

  1. Configuration をクリックし、次に Device Management をクリックします。

  2. Advanced を展開して、次に SSL Settings を展開します。

  3. 認証の下で、WebVPN セッションを終了するのに使用するインターフェイスを選択して下さい。

    この例では、outside インターフェイスは使用されます。

  4. [Edit] をクリックします。

  5. Certificate ドロップダウン リストで、ステップ 4 でインストールした証明書を選択します。

  6. [OK] をクリックします。

  7. [Apply] をクリックします。

    新しい証明書が、指定のインターフェイス上で終端するすべての WebVPN セッションに使用されます。

  8. インストール プロセスが成功したことを確認するには、「確認」セクションを参照してください。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-16.gif

コマンドラインの例

ciscoasa
ciscoasa(config)#ssl trust-point my.verisign.trustpoint outside



! Specifies the trustpoint that will supply the
! SSL certificate for the defined interface.
 

ciscoasa(config)# wr mem
Building configuration...
Cryptochecksum: 694687a1 f75042af ccc6addf 34d2cb08

8808 bytes copied in 3.630 secs (2936 bytes/sec)
[OK]
ciscoasa(config)#


! Save configuration.

確認

WebVPN 接続のためのサード パーティ ベンダー 認証および使用の正常なインストールを確認するのに次のステップを使用して下さい。

インストールされた証明書の表示

ASDM の手順

  1. Configuration をクリックし、Device Management をクリックします。

  2. Certificate Management を展開し、Identity Certificates を選択します。

    サードパーティ ベンダーにより発行された ID 証明書が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-17.gif

コマンドラインの例

ciscoasa
ciscoasa(config)#show crypto ca certificates


! Displays all certificates installed on the ASA.


Certificate
  Status: Available
  Certificate Serial Number: 32cfe85eebbd2b5e1e30649fd266237d
  Certificate Usage: General Purpose
  Public Key Type: RSA (1024 bits)
  Issuer Name:
    cn=VeriSign Trial Secure Server Test CA
    ou=Terms of use at https://www.verisign.com/cps/testca ?)05
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Subject Name:
    cn=webvpn.cisco.com
    ou=Terms of use at www.verisign.com/cps/testca ?)05
    ou=TSWEB
    o=Cisco Systems
    l=Raleigh
    st=North Carolina
    c=US
  OCSP AIA:
    URL: http://ocsp.verisign.com
  CRL Distribution Points:
    [1]  http://SVRSecure-crl.verisign.com/SVRTrial2005.crl
  Validity Date:
    start date: 00:00:00 UTC Jul 19 2007
    end   date: 23:59:59 UTC Aug 2 2007
  Associated Trustpoints: my.verisign.trustpoint


! Identity certificate received from 3rd party vendor displayed above.


CA Certificate
  Status: Available
  Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Issuer Name:
    cn=VeriSign Trial Secure Server Test Root CA
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Subject Name:
    cn=VeriSign Trial Secure Server Test CA
    ou=Terms of use at https://www.verisign.com/cps/testca ?)05
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Validity Date:
    start date: 00:00:00 UTC Feb 9 2005
    end   date: 23:59:59 UTC Feb 8 2015
  Associated Trustpoints: my.verisign.trustpoint



! CA intermediate certificate displayed above.

Web ブラウザによる WebVPN 用にインストールされた証明書の確認

WebVPN が新しい証明書を使用していることを確認するには、次の手順を実行します。

  1. Web ブラウザを介して WebVPN インターフェイスに接続します。 証明書を要求するために使用した FQDN とともに https:// を使用します(たとえば、https://webvpn.cisco.com のようにします)。

    次のいずれかのセキュリティ アラートが表示された場合、そのアラートに対応する手順を実行します。

    • The Name of the Security Certificate Is Invalid or Does Not Match the Name of the Site

      ASA の WebVPN インターフェイスに接続するために正しい FQDN/CN を使用したことを確認します。 ID 証明書を要求したときに定義した FQDN/CN を使用する必要があります。 show crypto ca certificates trustpointname コマンドを使用すると、証明書の FQDN/CN を確認できます。

    • The security certificate was issued by a company you have not chosen to trust...

      Web ブラウザにサードパーティ ベンダーのルート証明書をインストールするには、次の手順を実行します。

      1. Security Alert ダイアログ ボックスで、View Certificate をクリックします。

      2. Certificate ダイアログ ボックスで、Certificate Path タブをクリックします。

      3. 発行された ID 証明書の上にある CA 証明書を選択し、View Certificate をクリックします。

      4. Install Certificate をクリックします。

      5. Certificate Install Wizard ダイアログ ボックスで Next をクリックします。

      6. 自動的に選り抜きを Certificateオプション・ボタンの種類に基づいて認証 ストア クリックし『Next』 をクリック し、それから『Finish』 をクリック して下さい。

      7. 証明書のインストールを確認するプロンプトが表示されたら、Yes をクリックします。

      8. Import operation was successful プロンプトで、OK をクリックし、次に Yes をクリックします。

      注: この例では Verisign Trial Certificate を使用しているため、ユーザが接続する際の確認エラーを回避するには、Verisign Trial CA Root Certificate がインストールされている必要があります。

  2. WebVPN login ページの右下隅に表示されているロック アイコンをダブルクリックします。

    インストールされている証明書の情報が表示されます。

  3. 内容を確認し、サードパーティ ベンダーの証明書に合致することを確認します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert-18.gif

コマンド

ASA では、コマンドラインで各種の show コマンドを使用し、証明書の状況を確認できます。

  • show crypto ca trustpoint — 設定されているトラストポイントを表示します。

  • show crypto ca certificate — システムにインストールされているすべての証明書を表示します。

  • show crypto ca crls — キャッシュされている Certificate Revocation List(CRL; 証明書失効リスト)を表示します。

  • show crypto key mypubkey rsa — 生成されたすべての暗号鍵ペアを表示します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

発生する可能性のあるエラーを次に示します。

  • %Warning: CA 証明書はありません。 インポートされた証明書は usable.INFO ではないかもしれません: 正常にインポートされる認証

    CA 証明書が正しく認証されていません。 CA 証明書がインストールされていることを確認するには、show crypto ca certificate trustpointname コマンドを使用します。 CA 証明書が存在する場合は、正しいトラストポイントを参照していることを確認します。

    ciscoasa
    ciscoasa#show crypto ca certificate my.verisign.trustpoint | b CA Certificate
    CA Certificate
      Status: Available
      Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b
      Certificate Usage: General Purpose
      Public Key Type: RSA (2048 bits)
      Issuer Name:
        cn=VeriSign Trial Secure Server Test Root CA
        ou=For Test Purposes Only. No assurances.
        o=VeriSign\, Inc.
        c=US
      Subject Name:
        cn=VeriSign Trial Secure Server Test CA
        ou=Terms of use at https://www.verisign.com/cps/testca ?)05
        ou=For Test Purposes Only. No assurances.
        o=VeriSign\, Inc.
        c=US
      Validity Date:
        start date: 19:00:00 EST Feb 8 2005
        end   date: 18:59:59 EST Feb 8 2015
      Associated Trustpoints: my.verisign.trustpoint
    
    
    !!! Line above lists associated trustpoints.
    
    
    
    ciscoasa#

  • ERROR : Failed to parse or verify imported certificate

    このエラーが発生する可能性があるのは、ID 証明書をインストールしたけれども、関連付けられたトラストポイントで認証された正しい中間証明書またはルート CA 証明書がない場合です。 正しい中間証明書またはルート CA 証明書を使用して削除と再認証を行う必要があります。 正しい CA 証明書を受け取っていることを確認するには、サードパーティ ベンダーに問い合せてください。

  • Certificate does not contain general purpose public key

    このエラーが発生する可能性があるのは、正しくないトラストポイントに ID 証明書をインストールしようとした場合です。 無効な ID 証明書をインストールしようとしているか、トラストポイントと関連付けられた鍵ペアが ID 証明書に含まれている公開鍵と合致しません。 正しいトラストポイントに ID 証明書をインストールしたことを確認するには、show crypto ca certificates trustpointname コマンドを使用します。 Associated Trustpoints がある行を探します。 正しくないトラストポイントが表示されている場合は、このドキュメントで説明されている手順に従って、トラストポイントを削除して適切なトラストポイントを再インストールします。 また、CSR が生成されてから鍵ペアが変更されていないことを確認します。

  • エラー メッセージ: %PIX|ASA-3-717023 SSL はトラストポイント[トラストポイント名前]のためのデバイス 認証を設定 しません でした

    このメッセージが表示されるのは、SSL 接続を認証するために、指定のトラストポイント用のデバイス証明書を設定したときにエラーが発生した場合です。 SSL 接続がアップ状態になると、使用されるデバイス証明書が設定されます。 エラーが発生すると、デバイス証明書のロードに使用される必要がある設定済みのトラストポイントと、エラーの理由が含まれるエラー メッセージがログに記録されます。

    trustpoint name—Name of the trustpoint for which SSL failed to set a device certificate.

    推奨処置: 障害に対して報告された理由で示された問題を解決します。

    1. 指定のトラストポイントは登録済みであり、デバイス証明書があることを確認します。

    2. デバイス証明書が有効であることを確認します。

    3. 必要に応じてトラストポイントを再度登録します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 98596