セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 8.x:ASDM を使用した SSL 証明書の更新とインストール

2011 年 3 月 22 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 17 日) | フィードバック


概要

このドキュメントの手順は、1 つの例であり、任意の証明書ベンダーまたは独自のルート証明書サーバを使用する場合のガイドラインとして使用できます。証明書ベンダーが特定の証明書パラメータ要件を必要とすることがありますが、本ドキュメントの目的は SSL 証明書更新および 8.0 ソフトウェアを使用する ASA へのインストールのための一般的な手順を示すことです。



前提条件

要件

このドキュメントに関する特別な要件はありません。



使用するコンポーネント

この手順は、ASA バージョン 8.x および ASDM バージョン 6.0(2) 以降に適用されます。

本ドキュメントの手順は、証明書がインストールされ SSL VPN アクセスに使用される、有効な設定に基づいています。この手順は、現在の証明書を削除しない限りネットワークに影響を与えません。手順では、オリジナルのルート CA を発行したものと同じルート証明書を使用して、現在の証明書の新しい CSR を発行する方法をステップごとに説明します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



手順

次の手順を実行します。

  1. 更新する証明書の下の [Configuration] > [Device Management] > [Identity Certificates] を順に選択し、[Add] をクリックします。

    図 1

    /image/gif/paws/107956/renew_ssl1_107956.gif

  2. [Add Identity Certificate] で、[Add a new identity certificate] オプション ボタンを選択し、ドロップダウン メニューからキー ペアを選択します。

    注:ご利用の SSH キーを再生成するとその証明書が無効になるため、<Default-RSA-Key> を使用することは推奨されません。RSA キーがない場合は、ステップ a と b を実行します。それ以外の場合は、ステップ 3 に進みます。

    図 2

    /image/gif/paws/107956/renew_ssl2_107956.gif

    1. (オプション)RSA キーがまだ設定されていない場合は、次のステップを実行し、それ以外の場合はステップ 3 に進みます。

      [New] をクリックします。

    2. [Enter new key pair name] フィールドにキー ペアの名前を入力し、[Generate Now] をクリックします。

      図 3

      /image/gif/paws/107956/renew_ssl3_107956.gif

  3. [Select] をクリックします。

  4. 図 4 に示すように、該当する証明書の属性を入力します。終了したら、[OK] をクリックします。次に、[Add Certificate] をクリックします。

    図 4

    /image/gif/paws/107956/renew_ssl4_107956.gif

    CLI の出力:

    crypto ca trustpoint ASDM_TrustPoint0
            keypair CertKey
            id-usage ssl-ipsec 
            fqdn 5540-uwe
            subject-name CN=ASA5540.company.com,OU=LAB,O=Cisco ystems,C=US,St=CA
            enrollment terminal
     crypto ca enroll ASDM_TrustPoint0
    
  5. [Identity Certificate Request] ポップアップ ウィンドウで、Certificate Signing Request(CSR; 証明書署名要求)をテキスト ファイルに保存し、[OK] をクリックします。

    図 5

    /image/gif/paws/107956/renew_ssl5_107956.gif

  6. (オプション)図 6 に示すように、ASDM で CSR が保留中であることを確認します。

    図 6

    /image/gif/paws/107956/renew_ssl6_107956.gif

  7. 証明書要求を証明書管理者に送信します。証明書管理者は、サーバで証明書を発行します。これは、Web インターフェイス、電子メールを使用しても可能であり、または直接、証明書発行プロセスのルート CA サーバへも送信できます。

  8. 更新された証明書をインストールするには、次のステップを実行します。

    1. 図 6 に示すように、[Configuration] > [Device Management] > [Identity Certificates] の下にある保留状態の証明書要求を選択し、[Install] をクリックします。

    2. [Install Identity Certificate] ウィンドウで、[Paste the certificate data in base-64 format] オプションボタンを選択し、[Install Certificate] をクリックします。

      注:あるいは、証明書がテキストベースのファイルまたは電子メールではなく、.cer ファイルに発行された場合は、[Install from a file] を選択して該当する PC 上のファイルを検索し、[Install ID certificate file] をクリックしてから [Install Certificate] をクリックします。

      図 7

      /image/gif/paws/107956/renew_ssl7_107956.gif

    CLI の出力:

    crypto ca import ASDM_TrustPoint0 certificate
    WIID2DCCAsCgAwIBAgIKYb9wewAAAAAAJzANBgkqhkiG9w0BAQUFADAQMQ       	
    
    !--- 出力省略
    
    wPevLEOl6TsMwng+izPQZG/f0+AnXukWHQiUPwrYw83jqNIxi5aDV/4atBbgiiBa
    6duUocUGyQ+SgegCcmmEyMSd5UtbWAc4xOMMFw==
            quit
  9. 証明書が正常にインストールされたことを確認するウィンドウが表示されます。[OK] をクリックして確定します。

    図 8

    /image/gif/paws/107956/renew_ssl8_107956.gif

  10. 新しい証明書が [Identity Certificates] に表示されることを確認します。

    図 9

    /image/gif/paws/107956/renew_ssl9_107956.gif

  11. 新しい証明書をインターフェイスにバインドするには、次にステップを実行します。

    1. 図 10 に示すように、[Configuration] > [Device Management] > [Advanced] > [SSL Settings] を順に選択します。

    2. [Certificates] の下でインターフェイスを選択し、[Edit] をクリックします。

    図 10

    /image/gif/paws/107956/renew_ssl10_107956.gif

  12. ドロップダウン メニューから新しい証明書を選択し、[OK] をクリックし、[Apply] をクリックします。

    ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1   
    ssl trust-point ASDM_TrustPoint0 outside
    図 11

    /image/gif/paws/107956/renew_ssl11_107956.gif

  13. ASDM または CLI で設定を保存します。



確認

次のサンプル出力に示すように、CLI を使用して ASA に新しい証明書が正しくインストールされたことを確認できます。

ASA(config)#show crypto ca certificates 
Certificate
  Status: Available
  Certificate Serial Number: 61bf707b000000000027
  Certificate Usage: General Purpose
  Public Key Type: RSA (1024 bits)
  Issuer Name: 
    cn=MS-CA
  Subject Name:
    cn=ASA5540.company.com 

!---新しい証明書

    ou=LAB
    o=Cisco Systems
    st=CA
    c=US
  CRL Distribution Points: 
    [1]  http://win2k3-base1/CertEnroll/MS-CA.crl
    [2]  file://\\win2k3-base1\CertEnroll\MS-CA.crl
  Validity Date: 
    start date: 22:39:31 UTC Aug 29 2008
    end   date: 22:49:31 UTC Aug 29 2009
  Associated Trustpoints: ASDM_TrustPoint0 

CA Certificate
  Status: Available
  Certificate Serial Number: 211020a79cfd96b34ba93f3145d8e571
  Certificate Usage: Signature
  Public Key Type: RSA (2048 bits)
  Issuer Name: 
    cn=MS-CA
  Subject Name: 
    cn=MS-CA 

!---「古い」証明書

  CRL Distribution Points: 
    [1]  http://win2k3-base1/CertEnroll/MS-CA.crl
    [2]  file://\\win2k3-base1\CertEnroll\MS-CA.crl
  Validity Date: 
    start date: 00:26:08 UTC Jun 8 2006
    end   date: 00:34:01 UTC Jun 8 2011
  Associated Trustpoints: test 

Certificate
  Status: Available
  Certificate Serial Number: 611f8630000000000026
  Certificate Usage: General Purpose
  Public Key Type: RSA (1024 bits)
  Issuer Name: 
    cn=MS-CA
  Subject Name:
    cn=*.vpn1.com
  CRL Distribution Points: 
    [1]  http://win2k3-base1/CertEnroll/MS-CA.crl
    [2]  file://\\win2k3-base1\CertEnroll\MS-CA.crl
  Validity Date: 
    start date: 23:53:16 UTC Mar 10 2008
    end   date: 00:03:16 UTC Mar 11 2009
  Associated Trustpoints: test 

ASA(config)#


トラブルシューティング

(オプション)CLI で、正しい証明書がインターフェイスに適用されていることを確認します。

ASA(config)#show running-config ssl
ssl trust-point ASDM_TrustPoint0 outside 

!--- SSL VPN を終端する外部インターフェイスに正しいトラストポイントが 
結びつけられていることを示します。

ASA(config)#


SSL 証明書を ASA から他の ASA へコピーする方法

これは、エクスポートできるキーを生成した場合に実行できます。証明書を PKCS ファイルにエクスポートする必要があります。これには、関連付けられたすべてのキーのエクスポートが含まれます。

CLI で証明書をエクスポートするには、次のコマンドを使用しします。

ASA(config)#crypto ca export <trust-point-name> pkcs12 <passphrase>

注:パスフレーズ:pkcs12 ファイルを保護するために使用されます。

CLI で証明書をインポートするには、次のコマンドを使用します。

SA(config)#crypto ca import <trust-point-name> pkcs12 <passphrase>

注:このパスフレーズは、ファイルをエクスポートしたときに使用したものと同じでなければなりません。

ASA フェールオーバー ペアの場合、SSL 証明書を ASA から他の ASA にコピーするには、ASDM を使用することもできます。それには次のステップを実行します。

  1. ASDM を使用してプライマリ ASA にログインし、[Tools] --> [Backup Configuration] を選択します。

  2. すべて、または証明書だけをバックアップできます。

  3. スタンバイで、ASDM を開始し、[Tools] --> [Restore Configuration] を選択します。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 107956