El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe el proceso para inscribir un certificado de Seguridad de la capa de transporte (TLS) mediante el protocolo del Entorno de administración automática de certificados (ACME) en Secure Firewall ASA.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Los requisitos y limitaciones actuales para la inscripción ACME en Secure Firewall ASA son:
ACME no admite la creación de certificados comodín. Cada solicitud de certificado debe especificar un nombre de dominio exacto.
Cada punto de confianza inscrito mediante ACME está limitado a una única interfaz, lo que significa que los certificados inscritos con ACME no se pueden compartir entre varias interfaces.
Los pares de claves se generan automáticamente y no se pueden compartir para los certificados inscritos mediante ACME. Cada certificado utiliza un par de claves único, lo que mejora la seguridad pero limita la reutilización de claves.
Tras la actualización a una versión que no admite la inscripción ACME en Secure Firewall ASA (9.22 o posterior):
Si es necesario un downgrade, realice el siguiente procedimiento recomendado:
El protocolo ACME está diseñado para simplificar la gestión de certificados TLS para los administradores de red. Con ACME, los administradores pueden automatizar los procesos relacionados con la obtención y renovación de certificados TLS. Esta automatización es especialmente beneficiosa cuando se utilizan entidades emisoras de certificados (CA) como Let's Encrypt, que ofrecen certificados gratuitos, automatizados y abiertos mediante el protocolo ACME.
ACME admite la emisión de certificados de validación de dominio (DV). Estos certificados son un tipo de certificado digital que confirma el control del titular del certificado sobre dominios especificados. El proceso de validación de los certificados de DV se lleva a cabo normalmente a través de un mecanismo de desafío basado en HTTP. En este mecanismo, el solicitante coloca un archivo específico en su servidor web, que la Autoridad de Certificación (CA) verifica accediendo al archivo a través del servidor HTTP del dominio. La superación satisfactoria de este desafío demuestra a la CA que el solicitante tiene control sobre el dominio, lo que permite la emisión del certificado de DV.
El siguiente paso es llevar a cabo el proceso de inscripción:
Flujo de autenticación HTTP-01 de inscripción ACME.
Las ventajas más importantes del uso del protocolo ACME para inscribir certificados TLS son:
Antes de iniciar el proceso de inscripción en ACME, asegúrese de que se cumplen las siguientes condiciones:
Nota: Durante el período en el que el puerto 80 está abierto, solo se puede acceder a los datos de desafío de ACME.
1. Agregue un nuevo certificado de identidad.
Certificado de identidad ASDM de inscripción ACME.
2. Especifique el FQDN para el certificado de identidad.
FQDN de ASDM de inscripción ACME.
3. Seleccione ACME como protocolo de inscripción.
Protocolo ACME ASDM de suscripción ACME. selección
4. Seleccione Let's Encrypt para que su certificado esté firmado por Let's Encrypt public CA. De lo contrario, especifique la dirección URL de la CA interna que admite el protocolo de inscripción ACME. Además, especifique la Interfaz de autenticación.
Nota: Cuando se selecciona la casilla de verificación Let's Encrypt, la URL del servidor se rellena automáticamente.
Método de autenticación ASDM de inscripción ACME.
5. Instale el certificado de la CA.
Si la opción Install CA Certificate está marcada, debe cargar el certificado de la CA inmediata que emite su certificado.
Nota: Si el certificado de la CA ya existe en Secure Firewall, ya sea desde una instalación anterior o dentro del grupo de confianza, no es necesario marcar esta opción. No marque la casilla de verificación Install CA Certificate.
Nota: Cuando seleccione la opción Let's Encrypt, deje sin marcar la casilla de verificación Install CA Certificate, ya que los certificados de CA raíz para Let's Encrypt ya están incluidos en el grupo de confianza de Secure Firewall.
Instalación de CA de ASDM de inscripción ACME.
6. (Opcional) Active la inscripción automática para el certificado de identidad.
Marque la casilla de verificación Auto Enroll y especifique el porcentaje para la duración de la inscripción automática.
Esta función garantiza que el certificado se renueva automáticamente antes de que caduque. El porcentaje determina con cuánta antelación a la expiración del certificado comienza el proceso de renovación. Por ejemplo, si se establece en 80%, el proceso de renovación comienza cuando el certificado alcanza el 80% de su período de validez.
Inscripción ACME Inscripción automática ASDM.
7. Haga clic en Aceptar y en Guardar la configuración.
1. Cree un nuevo punto de confianza.
Cree un punto de confianza y especifique acme como protocolo de inscripción.
asav(config)# crypto ca trustpoint private_acme
asav(config-ca-trustpoint)# enrollment protocol ?
crypto-ca-trustpoint mode commands/options:
acme Automatic Certificate Management Environment
cmp Certificate Management Protocol Version 2
est Enrollment over Secure Transport
scep Simple Certificate Enrollment Protocol
2. Seleccione el método HTTP-01 de autenticación para verificar el control de dominio.
asav(config-ca-trustpoint)# enrollment protocol acme authentication ?
crypto-ca-trustpoint mode commands/options:
http01 Use the HTTP-01 method, which opens port 80 on the specified
interface
3. Seleccione Let's Encrypt (Cifrar) como CA ACME. Si utiliza otra CA que admita el protocolo ACME, proporcione la dirección URL adecuada.
asav(config-ca-trustpoint)# enrollment protocol acme url ?
crypto-ca-trustpoint mode commands/options:
LINE < 477 char URL
LetsEncrypt Use the Let's Encrypt CA
Nota: Cuando se configura la palabra clave LetEncrypt, la URL del servidor Let's Encrypt se rellena automáticamente.
4. Defina el par de claves RSA, el nombre de dominio completo (FQDN) y el nombre de asunto del certificado.
crypto ca trustpoint private_acme
enrollment interface outside
enrollment protocol acme authentication http01 outside
enrollment protocol acme url https://ca-acme.example.com:4001/acme/acme/directory
fqdn fj-asav.cisco.com
subject-name CN=fj-asav.example.com
keypair rsa modulus 4096
auto-enroll 80 regenerate
crl configure
5. Autentique el punto de confianza.
Nota: Si la CA ya existe en el firewall seguro o al utilizar Let's Encrypt, este paso se puede omitir.
asav(config)# crypto ca authenticate private_acme
Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
MIIBwzCCAWqgAwIBAgIQedxaTD0J1G6tLgAGti6tizAKBggqhkjOPQQDAjAsMRAw
DgYDVQQKEwdjYS1hY21lMRgwFgYDVQQDEw9jYS1hY21lIFJvb3QgQ0EwHhcNMjQx
[truncated]
ADBEAiB7S4YZfn0K82K2yz5F5CzMe2t98LCpLRzoPJXMo7um1AIgH+K8EZMLstLN
AJQoplycJENo5D7kUmVrwUBBjREqv9I=
-----END CERTIFICATE-----
quit
INFO: Certificate has the following attributes:
Fingerprint: 40000000 40000000 40000000 40000000
Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
6. Inscriba el certificado.
asav(config)# crypto ca enroll private_acme
% Start certificate enrollment ..
% The subject name in the certificate will be: CN=fj-asav.cisco.com
% The fully-qualified domain name in the certificate will be: fj-asav.example.com
% Include the device serial number in the subject name? [yes/no]: no
Request certificate from CA? [yes/no]: yes
Confirme que el certificado está inscrito y verifique la fecha de renovación.
asav# show crypto ca certificates private_acme
CA Certificate
Status: Available
Certificate Serial Number: 79d0000000000000000000008b
Certificate Usage: General Purpose
Public Key Type: ECDSA (256 bits)
Signature Algorithm: ecdsa-with-SHA256
Issuer Name:
CN=ca-acme Root CA
O=ca-acme
Subject Name:
CN=ca-acme Intermediate CA
O=ca-acme
Validity Date:
start date: 23:20:19 UTC Nov 26 2024
end date: 23:20:19 UTC Nov 24 2034
Storage: config
Associated Trustpoints: private_acme
Public Key Hashes:
SHA1 PublicKey hash: 8c82000000000000000000000000000000000077
SHA1 PublicKeyInfo hash: 974c0000000000000000000000000000000009e1
Certificate
Status: Available
Certificate Serial Number: 666000000000000000000000000000be
Certificate Usage: General Purpose
Public Key Type: RSA (4096 bits)
Signature Algorithm: ecdsa-with-SHA256
Issuer Name:
CN=ca-acme Intermediate CA
O=ca-acme
Subject Name:
CN=fj-asav.example.com
Validity Date:
start date: 20:51:00 UTC Feb 14 2025
end date: 20:52:00 UTC Feb 15 2025
renew date: 16:03:48 UTC Feb 15 2025
Storage: immediate
Associated Trustpoints: private_acme
Public Key Hashes:
SHA1 PublicKey hash: e6e00000000000000000000000000000000089a
SHA1 PublicKeyInfo hash: 5e30000000000000000000000000000000009f
Hay nuevos registros del sistema en Secure Firewall para capturar eventos relacionados con la inscripción de certificados mediante el protocolo ACME:
%ASA-5-717067: Starting ACME certificate enrollment for the trustpoint <private_acme> with CA <ca-acme.example.com>. Mode <manual>
%ASA-5-717068: ACME Certificate enrollment succeeded for trustpoint <private_acme> with CA <ca-acme.example.com>. Received a new certificate with Subject Name <CN=fj-asav.example.com> Issuer Name <CN=ca-acme Intermediate CA,O=ca-acme> Serial Number <truncated>
%ASA-3-717069: ACME Certificate enrollment failed for trustpoint <private_acme>
%ASA-5-717070: Keypair <Auto.private_acme> in the trustpoint <private_acme> is regenerated for <manual> ACME certificate enrollment
Si se produce un error en la inscripción de un certificado ACME, considere los siguientes pasos para identificar y resolver el problema:
Para obtener información adicional, recopile el resultado de los siguientes comandos debug:
Errores comunes de inscripción ACME:
Código de error |
Motivo |
Posible causa o remediación |
7 |
No se puede conectar con el servidor |
El servidor es accesible pero el servicio ACME no se está ejecutando. |
28 |
No se puede conectar con el servidor |
El servidor no es accesible. Compruebe el acceso de red básico al servidor ACME. |
60 |
No se puede validar el certificado del servidor |
Asegúrese de que la CA raíz o del emisor esté presente en un punto de confianza o en el grupo de confianza. |
124 |
Tiempo de espera de procesamiento ACME |
Asegúrese de que todos los FQDN solicitados se resuelven en la interfaz configurada para la autenticación HTTP-01. Asegúrese de que la URL de ACME configurada es correcta. |
Para obtener ayuda adicional, póngase en contacto con el TAC. Se necesita un contrato de soporte válido: Contactos de soporte a nivel mundial de Cisco.
También puede visitar la Comunidad VPN de Cisco aquí.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
06-Mar-2025
|
Versión inicial |