Configurer ASA : Installation et renouvellement du certificat numérique SSL

Introduction

Ce document décrit l'installation d'un certificat numérique SSL de confiance tiers sur l'ASA pour les connexions SSLVPN sans client et AnyConnect.

Informations générales

Un certificat GoDaddy est utilisé dans cet exemple. Chaque étape contient la procédure ASDM (Adaptive Security Device Manager) et l'équivalent CLI.

Conditions préalables

Conditions requises

Ce document nécessite l'accès à une autorité de certification tierce de confiance pour l'inscription de certificat. Parmi les fournisseurs de CA tiers, citons, mais sans s'y limiter, Baltimore, Cisco, Entrust, Geotrust, G, Microsoft, RSA, Thawte et VeriSign.

Avant de démarrer, vérifiez que l'ASA a l'heure, la date et le fuseau horaire corrects. Avec l'authentification par certificat, il est recommandé d'utiliser un serveur NTP (Network Time Protocol) pour synchroniser l'heure sur l'ASA. Le Guide de configuration de l'interface de ligne de commande des opérations générales de la gamme Cisco ASA, version 9.1 décrit les étapes à suivre pour configurer correctement l'heure et la date sur l'ASA.

Components Used

Ce document utilise un ASA 5500-X qui exécute le logiciel version 9.4.1 et ASDM version 7.4(1).

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configuration

Le protocole SSL exige que le serveur SSL fournisse au client un certificat de serveur permettant au client d'effectuer l'authentification du serveur. Cisco ne recommande pas l'utilisation d'un certificat auto-signé en raison de la possibilité qu'un utilisateur puisse configurer par inadvertance un navigateur pour faire confiance à un certificat d'un serveur non autorisé. Les utilisateurs doivent également répondre à un avertissement de sécurité lorsqu'ils se connectent à la passerelle sécurisée. Il est recommandé d'utiliser des autorités de certification tierces de confiance pour émettre des certificats SSL à l'ASA à cette fin.

Le cycle de vie d'un certificat tiers sur l'ASA se déroule essentiellement en procédant comme suit :

Génération CSR

La génération CSR est la première étape du cycle de vie de tout certificat numérique X.509.

Une fois que la paire de clés privée/publique Rivest-Shamir-Adleman (RSA) ou Elliptic Curve Digital Signature Algorithm (ECDSA) est générée (l'annexe A détaille la différence entre l'utilisation de RSA ou ECDSA), une demande de signature de certificat (CSR) est créée.

Un CSR est un message formaté PKCS10 qui contient la clé publique et les informations d'identité de l'hôte qui envoie la demande. Formats de données PKI Explique les différents formats de certificat applicables à l'ASA et à Cisco IOS^®.

Remarques :
1. Vérifiez auprès de l'autorité de certification la taille de paire de clés requise. Le forum CA/navigateur a demandé que tous les certificats générés par leurs CA membres aient une taille minimale de 2 048 bits.
2. ASA ne prend actuellement pas en charge les clés 4096 bits (ID de bogue Cisco CSCut53512) pour l'authentification du serveur SSL. Cependant, IKEv2 prend en charge l'utilisation de certificats de serveur 4096 bits sur les plates-formes ASA 5580, 5585 et 5500-X seules.
3. Utilisez le nom DNS de l'ASA dans le champ FQDN du CSR afin d'empêcher les avertissements de certificat non approuvé et de réussir le contrôle de certificat strict.

Il existe trois méthodes pour générer une RSE.

• Configurer avec ASDM
• Configuration avec l'interface de ligne de commande ASA
• Utiliser OpenSSL pour générer le CSR

1. Configurer avec l'ASDM

1. Accéder à Configuration > Remote Access VPN > Certificate Management, puis sélectionnez Identity Certificates.
2. Cliquez sur Add.

   

3. Définissez un nom de point de confiance dans le champ de saisie Nom de point de confiance.
4. Cliquez sur le boutonAdd a new identity certificatebouton radio.
5. Pour la paire de clés, cliquez surNew.

   

6. Sélectionnez le type de clé - RSA ou ECDSA. (Voir l'annexe A pour comprendre les différences.)
7. Cliquez sur le boutonEnter new key pair namebouton radio. Identifiez le nom de la paire de clés à des fins de reconnaissance.
8. ChoisissezKey Size. ChoisirGeneral Purpose for Usage si vous utilisez RSA.
9. Cliquez surGenerate Now. La paire de clés est créée.
10. Pour définir le DN du sujet du certificat, cliquez surSelectet configurez les attributs répertoriés dans ce tableau :

    

    Pour configurer ces valeurs, choisissez une valeur dans la liste déroulante Attribut, saisissez la valeur, puis cliquez sur Ajouter.

    

    Note: Certains fournisseurs tiers exigent l'inclusion d'attributs particuliers avant la délivrance d'un certificat d'identité. Si vous n'êtes pas sûr des attributs requis, consultez le fournisseur pour plus de détails.

11. Après avoir ajouté les valeurs appropriées, cliquez surOK. La boîte de dialogue Ajouter un certificat d'identité apparaît avec le certificatSubject DN field populated.
12. Cliquez sur Advanced.

    

13. Dans laFQDN, saisissez le nom de domaine complet utilisé pour accéder au périphérique à partir d'Internet. Cliquez surOK.
14. Laissez l'indicateur Activer l'autorité de certification dans l'option d'extension des contraintes de base cochée. Par défaut, les certificats sans indicateur d'autorité de certification ne peuvent pas être installés sur l'ASA en tant que certificats d'autorité de certification. L'extension des contraintes de base identifie si l'objet du certificat est une autorité de certification et la profondeur maximale des chemins de certification valides qui incluent ce certificat. Désactivez l'option permettant de contourner cette condition.
15. Cliquez surOK, puis cliquez surAdd Certificate. Une invite s'affiche afin d'enregistrer le CSR dans un fichier sur l'ordinateur local.

    

16. Cliquez surBrowse, choisissez l'emplacement dans lequel enregistrer le CSR et enregistrez le fichier avec l'extension .txt.

    Note: Lorsque le fichier est enregistré avec une extension .txt, la requête PKCS#10 peut être ouverte et affichée avec un éditeur de texte (tel que le Bloc-notes).

2. Configuration avec l'interface de ligne de commande ASA

Dans l'ASDM, le point de confiance est automatiquement créé lorsqu'un CSR est généré ou lorsque le certificat de l'autorité de certification est installé. Dans l'interface de ligne de commande, le point de confiance doit être créé manuellement.

  
! Generates 2048 bit RSA key pair with label SSL-Keypair. 

MainASA(config)# crypto key generate rsa label SSL-Keypair modulus 2048

INFO: The name for the keys will be: SSL-Keypair
Keypair generation process begin. Please wait...

 ! Define trustpoint with attributes to be used on the SSL certificate 

MainASA(config)# crypto ca trustpoint SSL-Trustpoint
MainASA(config-ca-trustpoint)# enrollment terminal
MainASA(config-ca-trustpoint)# fqdn vpn.remoteasa.com
MainASA(config-ca-trustpoint)# subject-name CN=vpn.remoteasa.com,O=Company Inc,C=US,
St=California,L=San Jose
MainASA(config-ca-trustpoint)# keypair SSL-Keypair
MainASA(config-ca-trustpoint)# exit

 ! Initiates certificate signing request. This is the request to be submitted via Web or
 Email to the third party vendor. 

MainASA(config)# crypto ca enroll SSL-Trustpoint

WARNING: The certificate enrollment is configured with an fqdn
that differs from the system fqdn. If this certificate will be
used for VPN authentication this may cause connection problems.

Would you like to continue with this enrollment? [yes/no]: yes
% Start certificate enrollment ..
% The subject name in the certificate will be: subject-name CN=vpn.remoteasa.com,
O=Company Inc,C=US,St=California,L=San Jose

% The fully-qualified domain name in the certificate will be: vpn.remoteasa.com

% Include the device serial number in the subject name? [yes/no]: no

Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Redisplay enrollment request? [yes/no]: no

 ! Displays the PKCS#10 enrollment request to the terminal. Copy this from the terminal
 to a text file to submit to the third party CA.  

3. Utiliser OpenSSL pour générer le CSR

OpenSSL utiliseOpenSSL configpour extraire les attributs à utiliser dans la génération CSR. Ce processus génère une CSR et une clé privée.

Attention : Vérifiez que la clé privée générée n'est partagée avec personne d'autre car elle compromet l'intégrité du certificat.

1. Vérifiez qu'OpenSSL est installé sur le système sur lequel ce processus est exécuté. Pour les utilisateurs de Mac OSX et GNU/Linux, ceci est installé par défaut.
2. Basculer vers un répertoire de travail.

   Sous Windows : Par défaut, les utilitaires sont installés dans C:\Openssl\bin. Ouvrez une invite de commande à cet emplacement.

   Sur Mac OSX/Linux : Ouvrez la fenêtre Terminal dans le répertoire nécessaire pour créer le CSR.

3. Créez un fichier de configuration OpenSSL à l'aide d'un éditeur de texte avec les attributs fournis . Une fois terminé, enregistrez le fichier sous openssl.cnf à l'emplacement indiqué à l'étape précédente (Si vous version 0.9.8h et ultérieure, le fichier estopenssl.cfg)

    [req]
   default_bits = 2048
   default_keyfile = privatekey.key
   distinguished_name = req_distinguished_name
   req_extensions = req_ext
   
   [req_distinguished_name]
   commonName = Common Name (eg, YOUR name)
   commonName_default = vpn.remoteasa.com
   
   countryName = Country Name (2 letter code)
   countryName_default = US
   
   stateOrProvinceName = State or Province Name (full name)
   stateOrProvinceName_default = California
   
   localityName = Locality Name (eg, city)
   localityName_default = San Jose
   
   0.organizationName = Organization Name (eg, company)
   0.organizationName_default = Company Inc
   
   [req_ext]
   subjectAltName = @alt_names
   
   [alt_names]
   DNS.1 = *.remoteasa.com 

4. Générez la CSR et la clé privée avec cette commande :

   openssl req -new -nodes -out CSR.csr -config openssl.cnf

    # Sample CSR Generation: 
   
    openssl req -new -nodes -out CSR.csr -config openssl.cnf
   
   Generating a 2048 bit RSA private key
   ...................................................................................+++
   ........................................+++
   writing new private key to 'privatekey.key'
   -----
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Common Name (eg, YOUR name) [vpn.remoteasa.com]:
   Country Name (2 letter code) [US]:
   State or Province Name (full name) [California]:
   Locality Name (eg, city) [San Jose]:
   Organization Name (eg, company) [Company Inc]: 

   Envoyez le CSR enregistré au fournisseur de CA tiers. Une fois le certificat émis, l'autorité de certification fournit le certificat d'identité et le certificat d'autorité de certification à installer sur l'ASA.

Génération de certificats SSL sur l'autorité de certification

L'étape suivante consiste à obtenir la signature du CSR de la CA. L'autorité de certification fournit soit un nouveau certificat d'identité codé PEM, soit un certificat PKCS12 avec l'ensemble de certificats de l'autorité de certification.

Si le CSR est généré en dehors de l'ASA (via OpenSSL ou sur l'autorité de certification elle-même), le certificat d'identité codé par le PEM avec la clé privée et le certificat de l'autorité de certification sont disponibles sous forme de fichiers séparés. L'annexe B décrit les étapes à suivre pour regrouper ces éléments dans un fichier PKCS12 unique (format .p12 ou .pfx).

Dans ce document, l'autorité de certification GoDaddy est utilisée comme exemple pour délivrer des certificats d'identité à l'ASA. Ce processus peut différer d'autres fournisseurs de CA.Lisez attentivement la documentation de CA avant de continuer.

Exemple de génération de certificat SSL sur l'autorité de certification GoDaddy

Après l'achat et la phase de configuration initiale du certificat SSL, accédez au compte GoDaddy et affichez les certificats SSL. Il doit y avoir un nouveau certificat. Cliquez surManage pour continuer.

Ceci ouvre ensuite une page pour fournir la CSR telle qu'elle apparaît dans cette image.

En fonction de la CSR saisie, l'autorité de certification détermine le nom de domaine auquel le certificat doit être délivré.

Vérifiez que cela correspond au nom de domaine complet de l'ASA.

Remarque : GoDaddy et la plupart des autres autorités de certification utilisent SHA-2 ou SHA256 comme algorithme de signature de certificat par défaut. ASA prend en charge l'algorithme de signature SHA-2 à partir de 8.2(5) [versions antérieures à 8.3] et 8.4(1) [versions postérieures à 8.3] à partir de (ID de bogue Cisco CSCti30937 ). Choisissez l'algorithme de signature SHA-1 si une version antérieure à 8.2(5) ou 8.4(1) est utilisée.

Une fois la demande envoyée, GoDaddy vérifie la demande avant de délivrer le certificat.

Une fois la demande de certificat validée, GoDaddy délivre le certificat au compte.

Le certificat peut ensuite être téléchargé pour installation sur l'ASA. Cliquez surDownload pour continuer.

ChoisirOther comme type de serveur et téléchargez l'ensemble zip de certificat.

Le fichier .zip contient le certificat d'identité et les ensembles de chaînes de certificats de l'autorité de certification GoDaddy sous la forme de deux fichiers .crt distincts. Passez à l'installation du certificat SSL pour installer ces certificats sur l'ASA.

Installation du certificat SSL sur l'ASA

Le certificat SSL peut être installé sur l'ASA avec ASDM ou CLI de deux manières :

1. Importez séparément l'autorité de certification et le certificat d'identité dans les formats PEM.
2. Vous pouvez également importer le fichier PKCS12 (codé en base64 pour CLI) dans lequel le certificat d'identité, le certificat d'autorité de certification et la clé privée sont regroupés dans le fichier PKCS12.

   Remarque : si l'autorité de certification fournit une chaîne de certificats d'autorité de certification, installez uniquement le certificat d'autorité de certification intermédiaire immédiat dans la hiérarchie sur le point de confiance utilisé pour générer le CSR. Le certificat d'autorité de certification racine et tout autre certificat d'autorité de certification intermédiaire peuvent être installés dans de nouveaux points de confiance.

1.1 Installation du certificat d'identité au format PEM avec ASDM

Les étapes d'installation indiquées supposent que l'autorité de certification fournit un certificat d'identité codé par PEM (.pem, .cer, .crt) et un ensemble de certificats CA.

1. Accéder à Configuration > Remote Access VPN > Certificate Management, puis sélectionnez Certificats CA.
2. Le certificat codé PEM dans un éditeur de texte et copiez et collez le certificat d'autorité de certification base64 fourni par le fournisseur tiers dans le champ de texte.

   

3. Cliquez sur Install Certificate.
4. Accéder àConfiguration > Remote Access VPN > Certificate Management, puis sélectionnez Certificats d'identité.
5. Sélectionnez le certificat d'identité créé précédemment. Cliquez sur Install.
6. Cliquez sur l'optionInstall from a file et sélectionnez le certificat d'identité codé PEM ou, ouvrez le certificat codé PEM dans un éditeur de texte et copiez et collez le certificat d'identité base64 fourni par le fournisseur tiers dans le champ de texte.

   

7. Cliquez surAdd Certificate.

   

8. Accéder àConfiguration > Remote Access VPN > Advanced > SSL Settings.
9. Sous Certificats, sélectionnez l'interface utilisée pour terminer les sessions WebVPN. Dans cet exemple, l'interface externe est utilisée.
10. Cliquez surEdit.
11. Dans la liste déroulante Certificat, sélectionnez le certificat nouvellement installé.

    

12. Cliquez surOK.
13. Cliquez surApply. Le nouveau certificat est maintenant utilisé pour toutes les sessions WebVPN qui se terminent sur l'interface spécifiée.

1.2. Installation d'un certificat PEM avec l'interface de ligne de commande

MainASA(config)# crypto ca authenticate SSL-Trustpoint
 
 Enter the base 64 encoded CA certificate.
End with the word"quit"on a line by itself

-----BEGIN CERTIFICATE----- MIIEADCCAuigAwIBAgIBADANBgkqhkiG9w0BAQUFADBjMQswCQYDVQQGEwJVUzEh MB8GA1UEChMYVGhlIEdvIERhZGR5IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBE YWRkeSBDbGFzcyAyIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTA0MDYyOTE3 MDYyMFoXDTM0MDYyOTE3MDYyMFowYzELMAkGA1UEBhMCVVMxITAfBgNVBAoTGFRo ZSBHbyBEYWRkeSBHcm91cCwgSW5jLjExMC8GA1UECxMoR28gRGFkZHkgQ2xhc3Mg MiBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eTCCASAwDQYJKoZIhvcNAQEBBQADggEN ADCCAQgCggEBAN6d1+pXGEmhW+vXX0iG6r7d/+TvZxz0ZWizV3GgXne77ZtJ6XCA PVYYYwhv2vLM0D9/AlQiVBDYsoHUwHU9S3/Hd8M+eKsaA7Ugay9qK7HFiH7Eux6w wdhFJ2+qN1j3hybX2C32qRe3H3I2TqYXP2WYktsqbl2i/ojgC95/5Y0V4evLOtXi EqITLdiOr18SPaAIBQi2XKVlOARFmR6jYGB0xUGlcmIbYsUfb18aQr4CUWWoriMY avx4A6lNf4DD+qta/KFApMoZFv6yyO9ecw3ud72a9nmYvLEHZ6IVDd2gWMZEewo+ YihfukEHU1jPEX44dMX4/7VpkI+EdOqXG68CAQOjgcAwgb0wHQYDVR0OBBYEFNLE sNKR1EwRcbNhyz2h/t2oatTjMIGNBgNVHSMEgYUwgYKAFNLEsNKR1EwRcbNhyz2h /t2oatTjoWekZTBjMQswCQYDVQQGEwJVUzEhMB8GA1UEChMYVGhlIEdvIERhZGR5 IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBEYWRkeSBDbGFzcyAyIENlcnRpZmlj YXRpb24gQXV0aG9yaXR5ggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEFBQAD ggEBADJL87LKPpH8EsahB4yOd6AzBhRckB4Y9wimPQoZ+YeAEW5p5JYXMP80kWNy OO7MHAGjHZQopDH2esRU1/blMVgDoszOYtuURXO1v0XJJLXVggKtI3lpjbi2Tc7P TMozI+gciKqdi0FuFskg5YmezTvacPd+mSYgFFQlq25zheabIZ0KbIIOqPjCDPoQ HmyW74cNxA9hi63ugyuV+I6ShHI56yDqg+2DzZduCLzrTia2cyvk0/ZM/iZx4mER dEr/VxqHD3VILs9RaRegAhJhldXRQLIQTO7ErBBDpqWeCtWVYpoNz4iCxTIM5Cuf ReYNnyicsbkqWletNw+vHX/bvZ8= -----END CERTIFICATE----- quit INFO: Certificate has the following attributes: Fingerprint: 96c25031 bc0dc35c fba72373 1e1b4140 Do you accept this certificate? [yes/no]: yes Trustpoint 'SSL-Trustpoint' is a subordinate CA and holds a non self-signed certificate. Trustpoint CA certificate accepted. % Certificate successfully imported

!!! - Installing Next-level SubCA in the PKI hierarchy.
!!! - Create a separate trustpoint to install the next subCA certificate (if present)
in the hierarchy leading up to the Root CA (including the Root CA certificate)

MainASA(config)#crypto ca trustpoint SSL-Trustpoint-1
MainASA(config-ca-trustpoint)#enrollment terminal
MainASA(config-ca-trustpoint)#exit
MainASA(config)#
MainASA(config)# crypto ca authenticate SSL-Trustpoint-1
Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself


-----BEGIN CERTIFICATE-----
MIIEfTCCA2WgAwIBAgIDG+cVMA0GCSqGSIb3DQEBCwUAMGMxCzAJBgNVBAYTAlVT
MSEwHwYDVQQKExhUaGUgR28gRGFkZHkgR3JvdXAsIEluYy4xMTAvBgNVBAsTKEdv
IERhZGR5IENsYXNzIDIgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTQwMTAx
MDcwMDAwWhcNMzEwNTMwMDcwMDAwWjCBgzELMAkGA1UEBhMCVVMxEDAOBgNVBAgT
B0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAYBgNVBAoTEUdvRGFkZHku
Y29tLCBJbmMuMTEwLwYDVQQDEyhHbyBEYWRkeSBSb290IENlcnRpZmljYXRlIEF1
dGhvcml0eSAtIEcyMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAv3Fi
CPH6WTT3G8kYo/eASVjpIoMTpsUgQwE7hPHmhUmfJ+r2hBtOoLTbcJjHMgGxBT4H
Tu70+k8vWTAi56sZVmvigAf88xZ1gDlRe+X5NbZ0TqmNghPktj+pA4P6or6KFWp/
3gvDthkUBcrqw6gElDtGfDIN8wBmIsiNaW02jBEYt9OyHGC0OPoCjM7T3UYH3go+
6118yHz7sCtTpJJiaVElBWEaRIGMLKlDliPfrDqBmg4pxRyp6V0etp6eMAo5zvGI
gPtLXcwy7IViQyU0AlYnAZG0O3AqP26x6JyIAX2f1PnbU21gnb8s51iruF9G/M7E
GwM8CetJMVxpRrPgRwIDAQABo4IBFzCCARMwDwYDVR0TAQH/BAUwAwEB/zAOBgNV
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFDqahQcQZyi27/a9BUFuIMGU2g/eMB8GA1Ud
IwQYMBaAFNLEsNKR1EwRcbNhyz2h/t2oatTjMDQGCCsGAQUFBwEBBCgwJjAkBggr
BgEFBQcwAYYYaHR0cDovL29jc3AuZ29kYWRkeS5jb20vMDIGA1UdHwQrMCkwJ6Al
oCOGIWh0dHA6Ly9jcmwuZ29kYWRkeS5jb20vZ2Ryb290LmNybDBGBgNVHSAEPzA9
MDsGBFUdIAAwMzAxBggrBgEFBQcCARYlaHR0cHM6Ly9jZXJ0cy5nb2RhZGR5LmNv
bS9yZXBvc2l0b3J5LzANBgkqhkiG9w0BAQsFAAOCAQEAWQtTvZKGEacke+1bMc8d
H2xwxbhuvk679r6XUOEwf7ooXGKUwuN+M/f7QnaF25UcjCJYdQkMiGVnOQoWCcWg
OJekxSOTP7QYpgEGRJHjp2kntFolfzq3Ms3dhP8qOCkzpN1nsoX+oYggHFCJyNwq
9kIDN0zmiN/VryTyscPfzLXs4Jlet0lUIDyUGAzHHFIYSaRt4bNYC8nY7NmuHDKO
KHAN4v6mF56ED71XcLNa6R+ghlO773z/aQvgSMO3kwvIClTErF0UZzdsyqUvMQg3
qm5vjLyb4lddJIGvl5echK1srDdMZvNhkREg5L4wn3qkKQmw4TRfZHcYQFHfjDCm
rw==
-----END CERTIFICATE-----
quit

INFO: Certificate has the following attributes:
Fingerprint:     81528b89 e165204a 75ad85e8 c388cd68 
Do you accept this certificate? [yes/no]: yes

Trustpoint 'SSL-Trustpoint-1' is a subordinate CA and holds a non self-signed certificate.

Trustpoint CA certificate accepted.

% Certificate successfully imported
BGL-G-17-ASA5500-8(config)#

!!! - Similarly create additional trustpoints (of the name "SSL-Trustpoint-n",
where n is number thats incremented for every level in the PKI hierarchy) to
import the CA certificates leading up to the Root CA certificate.


!!! - Importing identity certificate (import it in the first trustpoint that was
created namely "SSL-Trustpoint") MainASA(config)# crypto ca import SSL-Trustpoint certificate
WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems. Would you like to continue with this enrollment? [yes/no]: yes % The fully-qualified domain name in the certificate will be: vpn.remoteasa.com Enter the base 64 encoded certificate. End with the word "quit" on a line by itself ----BEGIN CERTIFICATE----- MIIFRjCCBC6gAwIBAgIIJc1zqYQHBgUwDQYJKoZIhvcNAQELBQAwgbQxCzAJBgNV BAYTAlVTMRAwDgYDVQQIEwdBcml6b25hMRMwEQYDVQQHEwpTY290dHNkYWxlMRow GAYDVQQKExFHb0RhZGR5LmNvbSwgSW5jLjEtMCsGA1UECxMkaHR0cDovL2NlcnRz LmdvZGFkZHkuY29tL3JlcG9zaXRvcnkvMTMwMQYDVQQDEypHbyBEYWRkeSBTZWN1 cmUgQ2VydGlmaWNhdGUgQXV0aG9yaXR5IC0gRzIwHhcNMTUwNzIyMTIwNDM4WhcN MTYwNzIyMTIwNDM4WjA/MSEwHwYDVQQLExhEb21haW4gQ29udHJvbCBWYWxpZGF0 ZWQxGjAYBgNVBAMTEXZwbi5yZW1vdGVhc2EuY29tMIIBIjANBgkqhkiG9w0BAQEF AAOCAQ8AMIIBCgKCAQEArrY2Fv2S2Uq5HdDhOaSzK5Eyok2tv2Rem8DofbTQ+4F9 C9IXitWdLAo6a7dzyfB4S9hx1VZXoHMGGNd6i9NWLXsWU1Nx5pRMaKR4h1cL6bDW ITt5GzKdL93ibMxYmau+uwM3OkBb8QxLNNxr4G+oXtfavctTxWy/o6LzKWFyj0XP tta9FZW07c0MNvKiUL1v9WBcy4GK1xyvN9RtWebtVkM5/iOv0ReBTBfFxCJ1YQAG UWteu1ikWAGj1qomZGnZgAFDWJ4/hxjesG2BGMtwX5L1O8cbmbi/u/vnmZ5Xhiqx <snip> CCsGAQUFBwIBFitodHRwOi8vY2VydGlmaWNhdGVzLmdvZGFkZHkuY29tL3JlcG9z aXRvcnkvMHYGCCsGAQUFBwEBBGowaDAkBggrBgEFBQcwAYYYaHR0cDovL29jc3Au Z29kYWRkeS5jb20vMEAGCCsGAQUFBzAChjRodHRwOi8vY2VydGlmaWNhdGVzLmdv ZGFkZHkuY29tL3JlcG9zaXRvcnkvZ2RpZzIuY3J0MB8GA1UdIwQYMBaAFEDCvSeO zDSDMKIz1/tss/C0LIDOMEYGA1UdEQQ/MD2CEXZwbi5yZW1vdGVhc2EuY29tghV3 d3cudnBuLnJlbW90ZWFzYS5jb22CEXZwbi5yZW1vdGVhc2EuY29tMB0GA1UdDgQW BBT7en7YS3PH+s4z+wTRlpHr2tSzejANBgkqhkiG9w0BAQsFAAOCAQEAO9H8TLNx 2Y0rYdI6gS8n4imaSYg9Ni/9Nb6mote3J2LELG9HY9m/zUCR5yVktra9azdrNUAN 1hjBJ7kKQScLC4sZLONdqG1uTP5rbWR0yikF5wSzgyMWd03kOR+vM8q6T57vRst5 69vzBUuJc5bSu1IjyfPP19z1l+B2eBwUFbVfXLnd9bTfiG9mSmC+4V63TXFxt1Oq xkGNys3GgYuCUy6yRP2cAUV1lc2tYtaxoCL8yo72YUDDgZ3a4PyO1EvC1FOaUtgv 6QNEOYwmbJkyumdPUwko6wGOC0WLumzv5gHnhil68HYSZ/4XIlp3B9Y8yfG5pwbn 7puhazH+xgQRdg== -----END CERTIFICATE----- quit INFO: Certificate successfully imported ! Apply the newly installed SSL certificate to the interface accepting SSL connections MainASA(config)# ssl trust-point SSL-Trustpoint outside 

2.1 Installation d'un certificat PKCS12 avec ASDM

Dans les cas où la CSR n'est pas générée sur l'ASA, par exemple dans le cas d'un certificat générique ou lorsqu'un certificat UC est généré, un certificat d'identité accompagné de la clé privée peut être reçu sous forme de fichiers séparés ou d'un fichier PKCS12 groupé unique (format .p12 ou pfx). Pour installer ce type de certificat, procédez comme suit.

1. Le certificat d'identité regroupe le certificat d'autorité de certification et la clé privée dans un fichier PKCS12 unique. L'Annexe B fournit les étapes nécessaires pour cela avec OpenSSL. Si l'autorité de certification l'a déjà intégré, passez à l'étape suivante.
2. Accéder àConfiguration > Remote Access VPN > Certificate Management, et choisissez Identity Certificates.
3. Cliquez surAdd.
4. Spécifiez un nom de point de confiance.
5. Cliquez sur le bouton Import the identity certificate from a filebouton radio.
6. Saisissez la phrase de passe utilisée pour créer le fichier PKCS12. Parcourez et sélectionnez le fichier PKCS12. Saisissez la phrase de passe du certificat.

   

7. Cliquez sur Ajouter un certificat.

   

8. Accéder àConfiguration > Remote Access VPN > Advanced, puis sélectionnez SSL Settings.
9. Sous Certificats, sélectionnez l'interface utilisée pour terminer les sessions WebVPN. Dans cet exemple, l'interface externe est utilisée.
10. Cliquez surEdit.
11. Dans la liste déroulante Certificat, sélectionnez le nouveau certificat installé.

    

12. Cliquez surOK.
13. Cliquez surApply. Le nouveau certificat est maintenant utilisé pour toutes les sessions WebVPN qui se terminent sur l'interface spécifiée.

2.2 Installation d'un certificat PKCS12 avec l'interface de ligne de commande

  MainASA(config)# crypto ca trustpoint SSL-Trustpoint-PKCS12
MainASA(config-ca-trustpoint)# enrollment terminal
MainASA(config-ca-trustpoint)# exit

MainASA(config)# crypto ca import SSL-Trustpoint-PKCS12 pkcs12 cisco123

Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
-----BEGIN PKCS12-----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<snip>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-----END PKCS12-----
quit
INFO: Import PKCS12 operation completed successfully

!!! Link the SSL trustpoint to the appropriate interface
MainASA(config)# ssl trust-point SSL-Trustpoint-PKCS12 outside
  

Vérification

Utilisez ces étapes afin de vérifier l'installation réussie du certificat de fournisseur tiers et l'utilisation pour les connexions SSLVPN.

Afficher les certificats installés via ASDM

1. Accéder àConfiguration > Remote Access VPN > Certificate Management,et choisissez Identity Certificates.
2. Le certificat d'identité émis par le fournisseur tiers apparaît.

   

Afficher les certificats installés via l'interface de ligne de commande

 MainASA(config)# show crypto ca certificate

Certificate
  Status: Available
  Certificate Serial Number: 25cd73a984070605
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=Go Daddy Secure Certificate Authority - G2
    ou=http://certs.godaddy.com/repository/
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  Subject Name:
    cn=vpn.remoteasa.com
    ou=Domain Control Validated
  OCSP AIA:
    URL: http://ocsp.godaddy.com/
  CRL Distribution Points:
    [1]  http://crl.godaddy.com/gdig2s1-96.crl
  Validity Date:
    start date: 12:04:38 UTC Jul 22 2015
    end   date: 12:04:38 UTC Jul 22 2016
  Associated Trustpoints: SSL-Trustpoint

CA Certificate
  Status: Available
  Certificate Serial Number: 07
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=Go Daddy Root Certificate Authority - G2
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  Subject Name:
    cn=Go Daddy Secure Certificate Authority - G2
    ou=http://certs.godaddy.com/repository/
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  OCSP AIA:
    URL: http://ocsp.godaddy.com/
  CRL Distribution Points:
    [1]  http://crl.godaddy.com/gdroot-g2.crl
  Validity Date:
    start date: 07:00:00 UTC May 3 2011
    end   date: 07:00:00 UTC May 3 2031
  Associated Trustpoints: SSL-Trustpoint

CA Certificate
  Status: Available
  Certificate Serial Number: 1be715
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name: 
    ou=Go Daddy Class 2 Certification Authority
    o=The Go Daddy Group\, Inc.
    c=US
  Subject Name: 
    cn=Go Daddy Root Certificate Authority - G2
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  OCSP AIA: 
    URL: http://ocsp.godaddy.com/
  CRL Distribution Points: 
    [1]  http://crl.godaddy.com/gdroot.crl
  Validity Date: 
    start date: 07:00:00 UTC Jan 1 2014
    end   date: 07:00:00 UTC May 30 2031
  Associated Trustpoints: SSL-Trustpoint-1 

...(and the rest of the Sub CA certificates till the Root CA)

 

Vérification du certificat installé pour WebVPN à l'aide d'un navigateur Web

Vérifiez que WebVPN utilise le nouveau certificat.

1. Connectez-vous à l'interface WebVPN via un navigateur Web. Utilisez https:// avec le nom de domaine complet utilisé pour demander le certificat (par exemple, https://vpn.remoteasa.com).
2. Double-cliquez sur l'icône de verrouillage qui apparaît dans le coin inférieur droit de la page de connexion WebVPN. Les informations de certificat installées doivent apparaître.
3. Vérifiez le contenu afin de vérifier qu'il correspond au certificat émis par un fournisseur tiers.

   

Renouveler le certificat SSL sur l'ASA

1. Régénérer le CSR soit sur l'ASA, soit avec OpenSSL ou sur l'AC en utilisant les mêmes attributs que l'ancien certificat. Suivez les étapes indiquées dans Génération CSR.
2. Envoyez la CSR sur l'autorité de certification et générez un nouveau certificat d'identité au format PEM (.pem, .cer, .crt) avec le certificat de l'autorité de certification. Dans le cas d'un certificat PKCS12, il y aura également une nouvelle clé privée.

   Dans le cas de la CA GoDaddy, le certificat peut être modifié à l'aide d'une nouvelle CSR générée.

   Accédez au compte GoDaddyaccount et cliquez sur Gérer sous Certificats SSL.

   

   Cliquez sur Afficher l'état pour le nom de domaine requis.

   

   Cliquez sur Gérer afin de donner des options pour reculer le certificat.

   

   Développez l'option Re-Key certificate et ajoutez le nouveau CSR.

   

   Enregistrez et passez à l'étape suivante. GoDaddy émettra un nouveau certificat basé sur le CSR fourni.

3. Installez le nouveau certificat sur un nouveau point de confiance, comme indiqué dans l'installation du certificat SSL dans la section ASA.

Forum aux questions

1. Quel est le meilleur moyen de transférer des certificats d'identité d'un ASA vers un ASA différent ?

Exporter le certificat avec les clés dans un fichier PKCS12.

Utilisez cette commande afin d'exporter le certificat via l'interface de ligne de commande à partir de l'ASA d'origine :

ASA(config)#crypto ca export 
     
     
       pkcs12 
       
     

Configuration ASDM correspondante :

Utilisez cette commande afin d'importer le certificat via CLI vers l'ASA cible :

ASA(config)#crypto ca import 
     
     
       pkcs12 
       
     

Configuration ASDM correspondante :

Vous pouvez également effectuer cette opération via la fonction de sauvegarde/restauration de l'ASDM en procédant comme suit :

1. Connectez-vous à ASA via ASDM et choisissezTools > Backup Configuration.
2. Sauvegardez toutes les configurations ou uniquement les certificats d'identité.
3. Sur l'ASA cible, ouvrez l'ASDM et choisissezTools > Restore Configuration.

2. Comment générer des certificats SSL pour une utilisation avec des ASA d'équilibrage de charge VPN ?

Plusieurs méthodes peuvent être utilisées pour configurer des ASA avec des certificats SSL pour un environnement d'équilibrage de charge VPN.

1. Utilisez un seul certificat UCC (Unified Communications/Multiple Domains Certificate) dont le nom de domaine complet d'équilibrage de charge est le DN et chacun des noms de domaine complet ASA comme nom de domaine secondaire (SAN) distinct. Il existe plusieurs CA bien connues comme GoDaddy, Entrust, Comodo et d'autres qui prennent en charge de tels certificats. Lorsque vous choisissez cette méthode, il est important de se rappeler que l'ASA ne prend actuellement pas en charge la création d'un CSR avec plusieurs champs SAN. Ceci a été documenté dans l'amélioration de l'ID de bogue Cisco CSCso70867 . Dans ce cas, il existe deux options pour générer le CSR
   1. Via l'interface de ligne de commande ou l'ASDM. Lorsque le CSR est envoyé à l'autorité de certification, ajoutez les multiples SAN sur le portail de l'autorité de certification lui-même.
   2. Utilisez OpenSSL pour générer le CSR et inclure les multiples SAN dans le fichier openssl.cnf.

   Une fois que le CSR a été envoyé à l'autorité de certification et que le certificat a été généré, importez ce certificat PEM à l'ASA qui a généré le CSR. Une fois terminé, exportez et importez ce certificat au format PKCS12 sur les autres ASA membres.

2. Utilisez un certificat générique. Il s'agit d'une méthode moins sécurisée et plus flexible que l'utilisation d'un certificat UC. Dans le cas où l'autorité de certification ne prend pas en charge les certificats UC, une CSR est générée soit sur l'autorité de certification, soit avec OpenSSL, où le nom de domaine complet (FQDN) se trouve sous la forme *.domain.com. Une fois que le CSR a été envoyé à l'autorité de certification et le certificat généré, importez le certificat PKCS12 à tous les ASA du cluster.
3. Utilisez un certificat distinct pour chacun des ASA membres et pour le FQDN d'équilibrage de charge. C'est la solution la moins efficace. Les certificats de chacun des ASA individuels peuvent être créés comme indiqué dans ce document. Le certificat du nom de domaine complet d'équilibrage de charge VPN sera créé sur un ASA et exporté et importé en tant que certificat PKCS12 sur les autres ASA.

3. Les certificats doivent-ils être copiés de l'ASA principal vers l'ASA secondaire dans une paire de basculement ASA ?

Il n'est pas nécessaire de copier manuellement les certificats de l'ASA principal vers l'ASA secondaire, car les certificats doivent être synchronisés entre les ASA tant que le basculement dynamique est configuré. Si lors de la configuration initiale du basculement, les certificats ne sont pas visibles sur le périphérique de secours, émettez la commande write standby afin de forcer une synchronisation.

4. Si les clés ECDSA sont utilisées, le processus de génération de certificat SSL est-il différent ?

La seule différence de configuration est l'étape de génération de la paire de clés, où une paire de clés ECDSA sera générée au lieu d'une paire de clés RSA. Les autres étapes restent les mêmes. La commande CLI pour la génération des clés ECDSA s'affiche ici :

 MainASA(config)# cry key generate ecdsa label SSL-Keypair elliptic-curve 256
INFO: The name for the keys will be: SSL-Keypair
Keypair generation process begin. Please wait... 

Dépannage

Dépannage des commandes

Ces commandes de débogage doivent être collectées sur l'interface de ligne de commande en cas d'échec de l'installation du certificat SSL :

debug crypto ca 255

debug crypto ca messages 255

debug crypto ca transactions 255

Problèmes courants

Avertissement de certificat non approuvé lors de l'utilisation d'un certificat SSL tiers valide sur l'interface externe d'ASA exécutant la version 9.4(1) et ultérieure.

Solution : Ce problème se présente lorsqu'une paire de clés RSA est utilisée avec le certificat. Sur les versions ASA à partir de la version 9.4(1), tous les algorithmes de chiffrement ECDSA et RSA sont activés par défaut et le chiffrement le plus puissant (généralement un chiffrement ECDSA) sera utilisé pour la négociation. Si cela se produit, l'ASA présente un certificat auto-signé au lieu du certificat basé sur RSA actuellement configuré. Une amélioration est en place pour modifier le comportement lorsqu'un certificat basé sur RSA est installé sur une interface et est suivi par l'ID de bogue Cisco CSCuu02848.

Action recommandée : Désactivez les chiffrement ECDSA avec les commandes CLI suivantes :

ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:
DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5" 

Ou, avec l'ASDM, accédez àConfiguration > Remote Access VPN > Advanced, puis sélectionnezSSL Settings. Dans la section Chiffrement, sélectionnez tlsv1.2 Version du chiffrement et modifiez-le avec la chaîne personnalisée AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:A DES-CBC-SHA:RC4-SHA:RC4-MD5

Annexe

Annexe A : ECDSA ou RSA

L'algorithme ECDSA fait partie de la cryptographie à courbe elliptique (ECC) et utilise une équation d'une courbe elliptique pour générer une clé publique tandis que l'algorithme RSA utilise le produit de deux nombres premiers plus un nombre plus petit pour générer la clé publique. Cela signifie qu'avec ECDSA, le même niveau de sécurité que RSA peut être atteint, mais avec des clés plus petites. Cela réduit le temps de calcul et augmente les temps de connexion pour les sites qui utilisent des certificats ECDSA.

Le document sur la cryptographie nouvelle génération et l'ASA fournit des informations plus détaillées.

Annexe B : Utiliser OpenSSL pour générer un certificat PKCS12 à partir d'un certificat d'identité, d'un certificat d'autorité de certification et d'une clé privée

1. Vérifiez que OpenSSL est installé sur le système sur lequel ce processus est exécuté. Pour les utilisateurs de Mac OSX et GNU/Linux, ce sera installé par défaut.
2. Basculer vers un répertoire de travail.

   Sous Windows : Par défaut, les utilitaires sont installés dans C:\Openssl\bin. Ouvrez une invite de commande à cet emplacement.

   Sur Mac OSX/Linux : Ouvrez la fenêtre Terminal dans le répertoire nécessaire pour créer le certificat PKCS12.

3. Dans le répertoire mentionné à l'étape précédente, enregistrez les fichiers private key (privateKey.key), identity certificate (certificate.crt) et root CA certificate chain (CACert.crt).

   Combinez la clé privée, le certificat d'identité et la chaîne de certificats de l'autorité de certification racine dans un fichier PKCS12. Saisissez une phrase de passe pour protéger votre certificat PKCS12.

   strong> openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt 

4. Convertir le certificat PKCS12 généré en certificat codé Base64 :

   openssl base64 -in certificate.pfx -out certificate.p12

Ensuite, importez le certificat qui a été généré à la dernière étape pour l'utiliser avec SSL.

Informations connexes

• Guide de configuration ASA 9.x : configuration des certificats numériques
• Comment obtenir un certificat numérique d'une autorité de certification Microsoft Windows à l'aide d'ASDM sur un dispositif ASA
• Support et documentation techniques - Cisco Systems