La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive come richiedere, installare, considerare attendibili e rinnovare alcuni tipi di certificati su software Cisco ASA gestito con ASDM.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
I tipi di certificati a cui si riferisce il documento sono:
SSL (Secure Sockets Layer), TLS (Transport Layer Security) e IKEv2 rfc7296 per i protocolli di autenticazione EAP richiedono che il server SSL/TLS/IKEv2 fornisca al client un certificato server per eseguire l'autenticazione del server. A tale scopo, è consigliabile utilizzare CA di terze parti attendibili per rilasciare certificati SSL all'appliance ASA.
Cisco sconsiglia di utilizzare un certificato autofirmato perché potrebbe essere impossibile configurare inavvertitamente un browser per considerare attendibile un certificato rilasciato da un server non autorizzato. Vi è inoltre l'inconveniente per gli utenti di dover rispondere a un avviso di sicurezza quando si connette al gateway sicuro.
È possibile richiedere un certificato a un'Autorità di certificazione (CA) e installarlo su un'appliance ASA in due modi:
Sul dispositivo viene creato un CSR che richiede un certificato di identità. Utilizzare una coppia di chiavi creata sul dispositivo.
Un CSR contiene:
Il CSR viene passato all'Autorità di certificazione (CA), in modo che lo firmi, in un formato PKCS#10.
Il certificato firmato viene restituito dalla CA in un modulo PEM.
Nota: quando firma il CSR e crea un certificato di identità firmato, CA può modificare i parametri FQDN e Nome soggetto definiti nel Trustpoint.
Nota: per impostazione predefinita, viene utilizzata la chiave RSA con il nome Default-RSA-Key e una dimensione di 2048; tuttavia, si consiglia di utilizzare una coppia di chiavi pubblica/privata univoca per ciascun certificato di identità.
Attenzione: il parametro FQDN deve corrispondere all'FQDN o all'indirizzo IP dell'interfaccia ASA per cui viene utilizzato il certificato di identità. Questo parametro imposta l'estensione SAN (Subject Alternative Name) richiesta per il certificato di identità. L'estensione SAN viene utilizzata dal client SSL/TLS/IKEv2 per verificare se il certificato corrisponde all'FQDN a cui si connette.
Attributo | Descrizione |
---|---|
CN | Il nome attraverso il quale è possibile accedere al firewall (in genere il nome di dominio completo, ad esempio vpn.example.com). |
UO | Il nome del reparto all'interno dell'organizzazione |
O | La ragione sociale legalmente registrata dell'azienda |
C | Codice paese (codice a 2 lettere senza punteggiatura) |
ST | Stato in cui si trova l'organizzazione. |
L | Città in cui si trova l'organizzazione. |
EA | Indirizzo email |
Nota: nessuno dei valori dei campi precedenti può superare il limite di 64 caratteri. Un valore più lungo può causare problemi con l'installazione del certificato di identità. Inoltre, non è necessario definire tutti gli attributi DN.
Dopo aver aggiunto tutti gli attributi, fare clic su OK.
Fare clic su Sfoglia, scegliere il percorso in cui salvare il CSR e salvare il file con estensione txt.
Nota: quando il file viene salvato con estensione .txt, è possibile aprire e visualizzare la richiesta PKCS#10 con un editor di testo, ad esempio Blocco note.
Nelle procedure di installazione si presuppone che l'autorità di certificazione abbia firmato il CSR e abbia fornito un certificato di identità con codifica PEM (.pem, .cer, .crt) e un bundle di certificati CA.
Nota: installare il certificato CA che ha firmato il CSR e utilizzare lo stesso nome del trust point del certificato di identità. Gli altri certificati CA di livello superiore nella gerarchia PKI possono essere installati in punti di attendibilità separati.
Scegliere il certificato di identità creato in precedenza durante la generazione di CSR. Fare clic su Install (Installa).
Nota: il campo Rilasciato da del certificato di identità può essere Non disponibile e il campo Data scadenza può essere impostato su In sospeso.
Nota: il certificato di identità può essere in formato .pem, .cer, .crt da installare.
Selezionare Configurazione > VPN ad accesso remoto > Avanzate > Impostazioni SSL.
In Certificati scegliere l'interfaccia utilizzata per terminare le sessioni WebVPN. nell'esempio viene usata l'interfaccia esterna.
Fare clic su Modifica.Nell'elenco a discesa Certificato scegliere il certificato appena installato.
Fare clic su OK.
Fare clic su Apply (Applica).
A questo punto il nuovo certificato di identità è in uso.
Il file PKCS12 (formato .p12 o .pfx) contiene il certificato di identità, la coppia di chiavi e i certificati CA. Viene creata dalla CA, ad esempio in caso di certificato con caratteri jolly, o esportata da un dispositivo diverso. Si tratta di un file binario, che non può essere visualizzato con un editor di testo.
Nota: quando si importa un PKCS12 con una catena di certificati CA, ASDM crea automaticamente i trust CA a monte con nomi con suffisso -number aggiunto.
Selezionare Configurazione > VPN ad accesso remoto > Avanzate > Impostazioni SSL.
In Certificati selezionare l'interfaccia utilizzata per terminare le sessioni WebVPN. nell'esempio viene usata l'interfaccia esterna.
Fare clic su Modifica.Nell'elenco a discesa Certificato scegliere il certificato appena installato.
Fare clic su OK.
Fare clic su Apply (Applica).
A questo punto il nuovo certificato di identità è in uso.
Il rinnovo del certificato del certificato registrato CSR richiede la creazione e la registrazione di un nuovo punto di attendibilità. Deve avere un nome diverso, ad esempio vecchio con suffisso anno di registrazione. Può utilizzare gli stessi parametri e la stessa coppia di chiavi del certificato precedente oppure diversi.
Nota: per impostazione predefinita, viene utilizzata la chiave RSA con il nome Default-RSA-Key e una dimensione di 2048; tuttavia, si consiglia di utilizzare una coppia di chiavi pubblica/privata univoca per ciascun certificato di identità.
Attenzione: il parametro FQDN deve corrispondere all'FQDN o all'indirizzo IP dell'interfaccia ASA per cui viene utilizzato il certificato. Questo parametro imposta il nome alternativo del soggetto (SAN) per il certificato. Il campo SAN viene utilizzato dal client SSL/TLS/IKEv2 per verificare se il certificato corrisponde all'FQDN a cui si connette.
Nota: quando firma il CSR e crea un certificato di identità firmato, CA può modificare i parametri FQDN e Nome soggetto definiti nel trust point.
Attributo |
Descrizione |
---|---|
CN |
Il nome attraverso il quale è possibile accedere al firewall (in genere il nome di dominio completo, ad esempio vpn.example.com). |
UO |
Il nome del reparto all'interno dell'organizzazione |
O |
La ragione sociale legalmente registrata dell'azienda |
C |
Codice paese (codice a 2 lettere senza punteggiatura) |
ST |
Stato in cui si trova l'organizzazione. |
L |
Città in cui si trova l'organizzazione. |
EA |
Indirizzo email |
Nota: nessuno dei campi precedenti può superare il limite di 64 caratteri. Un valore più lungo può causare problemi con l'installazione del certificato di identità. Inoltre, non è necessario definire tutti gli attributi DN.
Dopo aver aggiunto tutti gli attributi, fare clic su OK.
Scegliere Sfoglia. Scegliere un percorso in cui salvare il CSR e salvare il file con estensione .txt.
Nota: quando il file viene salvato con estensione .txt, è possibile aprire e visualizzare la richiesta PKCS#10 con un editor di testo, ad esempio Blocco note.
Nelle procedure di installazione si presuppone che l'autorità di certificazione abbia firmato il CSR e abbia fornito un nuovo certificato di identità e un bundle di certificati CA codificati PEM (.pem, .cer, .crt).
Nota: installare il certificato intermedio con lo stesso nome del trust point del certificato di identità, se il certificato di identità è firmato da un certificato CA intermedio.
Nell'esempio il nuovo certificato è firmato con lo stesso certificato CA del precedente. Lo stesso certificato CA è ora associato a due Trustpoint.
Scegliere il certificato di identità creato in precedenza con la generazione di CSR. Fare clic su Install (Installa).
Nota: il campo Rilasciato da del certificato di identità può essere Non disponibile e il campo Data scadenza può essere impostato su In sospeso.
Nota: il certificato di identità può essere in formato .pem, .cer, .crt da installare.
Dopo l'installazione, sono presenti certificati di identità vecchi e nuovi.
Selezionare Configurazione > VPN ad accesso remoto > Avanzate > Impostazioni SSL.
In Certificati scegliere l'interfaccia utilizzata per terminare le sessioni WebVPN. nell'esempio viene usata l'interfaccia esterna.
Fare clic su Modifica.Nell'elenco a discesa Certificato scegliere il certificato appena installato.
Fare clic su OK.
Fare clic su Apply (Applica). A questo punto il nuovo certificato di identità è in uso.
Il rinnovo del certificato di un certificato registrato PKCS12 richiede la creazione e la registrazione di un nuovo trust point. Deve avere un nome diverso, ad esempio vecchio con suffisso anno di registrazione.
Il file PKCS12 (formato .p12 o .pfx) contiene il certificato di identità, la coppia di chiavi e i certificati CA. Viene creata dalla CA, ad esempio in caso di certificato con caratteri jolly, oppure esportata da un dispositivo diverso. Si tratta di un file binario e non può essere visualizzato con un editor di testo.
Nota: quando si importa una catena di certificati PKCS12 con CA, ASDM crea automaticamente i trust CA a monte con nomi con suffisso -number aggiunto.
Selezionare Configurazione > VPN ad accesso remoto > Avanzate > Impostazioni SSL.
In Certificati scegliere l'interfaccia utilizzata per terminare le sessioni WebVPN. nell'esempio viene usata l'interfaccia esterna.
Fare clic su Modifica.Nell'elenco a discesa Certificato scegliere il certificato appena installato.
Fare clic su OK.
Fare clic su Apply (Applica).
A questo punto il nuovo certificato di identità è in uso.
Utilizzare questa procedura per verificare la corretta installazione del certificato del fornitore di terze parti e utilizzarlo per le connessioni VPN SSL.
Questo comando debug deve essere raccolto nella CLI in caso di errore durante l'installazione di un certificato SSL.
D. Che cos'è un PKCS12?
A.In crittografia, PKCS12 definisce un formato di file di archivio creato per archiviare molti oggetti di crittografia come un unico file. Viene in genere utilizzato per includere una chiave privata nel relativo certificato X.509 o per includere tutti i membri di una catena di attendibilità.
D. Che cos'è un CSR?
A. Nei sistemi con infrastruttura a chiave pubblica (PKI), una richiesta di firma del certificato (anche CSR o richiesta di certificazione) è un messaggio inviato da un richiedente a un'autorità di registrazione dell'infrastruttura a chiave pubblica per richiedere un certificato di identità digitale. In genere contiene la chiave pubblica per la quale è possibile rilasciare il certificato, le informazioni utilizzate per identificare il certificato firmato (ad esempio un nome di dominio in Oggetto) e la protezione dell'integrità (ad esempio, una firma digitale).
D. Dov'è la password di PKCS12?
A.Quando i certificati e le coppie di chiavi vengono esportati in un file PKCS12, la password viene specificata nel comando di esportazione. Per importare un file pkcs12, la password deve essere recapitata dal proprietario del server CA o dalla persona che ha esportato il PKCS12 da un altro dispositivo.
D.Qual è la differenza tra la radice e l'identità?
A.Nella crittografia e nella protezione del computer, un certificato radice è un certificato a chiave pubblica che identifica un'Autorità di certificazione (CA) radice. I certificati radice sono autofirmati (ed è possibile che un certificato abbia più percorsi di attendibilità, ad esempio se è stato rilasciato da una radice con firma incrociata) e costituiscono la base di un'infrastruttura a chiave pubblica (PKI) basata su X.509. Un certificato a chiave pubblica, noto anche come certificato digitale o certificato di identità, è un documento elettronico utilizzato per provare la proprietà di una chiave pubblica. Il certificato include informazioni sulla chiave, informazioni sull'identità del proprietario (denominato soggetto) e la firma digitale di un'entità che ha verificato il contenuto del certificato (denominata emittente). Se la firma è valida e il software che esamina il certificato considera attendibile l'emittente, può utilizzare tale chiave per comunicare in modo sicuro con il soggetto del certificato.
D.Ho installato il certificato. Perché non funziona?
R.Ciò può essere dovuto a diversi motivi, ad esempio:
1. Il certificato e il trust point sono configurati, ma non sono stati associati al processo che deve utilizzarli. Ad esempio, il trust point da utilizzare non è associato all'interfaccia esterna che termina i client Anyconnect.
2. È installato un file PKCS12, ma vengono restituiti errori dovuti alla mancanza del certificato CA intermedio nel file PKCS12. I client in cui il certificato CA intermedio è considerato attendibile, ma il certificato CA radice non è considerato attendibile, non sono in grado di verificare l'intera catena di certificati e segnalare il certificato di identità del server come non attendibile.
3. Un certificato contenente attributi non corretti può causare errori di installazione o errori sul lato client. Alcuni attributi, ad esempio, potrebbero essere codificati utilizzando un formato non corretto. Un altro motivo è che nel certificato di identità manca il nome alternativo del soggetto (SAN) oppure il nome di dominio utilizzato per accedere al server non è presente come SAN.
D. L'installazione di un nuovo certificato richiede una finestra di manutenzione o causa tempi di inattività?
R. L'installazione di un nuovo certificato (identità o CA) non è intrusiva e non deve causare tempi di inattività o richiedere un intervento di manutenzione. L'abilitazione di un nuovo certificato da utilizzare per un servizio esistente è una modifica e potrebbe richiedere una finestra di richiesta di modifica o di manutenzione.
D. È possibile aggiungere o modificare un certificato per disconnettere gli utenti connessi?
A.No, gli utenti attualmente connessi rimangono connessi. Il certificato viene utilizzato al momento della connessione. Una volta riconnessi gli utenti, verrà utilizzato il nuovo certificato.
D.Come creare un CSR con un carattere jolly? O un nome alternativo del soggetto (SAN)?
R.Al momento, l'ASA/FTD non può creare un CSR con caratteri jolly; tuttavia, questa procedura può essere eseguita con OpenSSL. Per generare la chiave CSR e ID, è possibile eseguire i comandi seguenti:
openssl genrsa -out id.key 2048
openssl req -out id.csr -key id.key -new
Quando un trust point è configurato con l'attributo FQDN (Fully Qualified Domain Name), il CSR creato da ASA/FTD contiene la SAN con tale valore. La CA può aggiungere altri attributi SAN quando firma il CSR oppure è possibile creare il CSR con OpenSSL
Q. La sostituzione del certificato è immediata?
R. Il nuovo certificato di identità del server viene utilizzato solo per le nuove connessioni. Il nuovo certificato è pronto per essere utilizzato subito dopo la modifica, ma viene utilizzato con le nuove connessioni.
D.Come posso verificare se l'installazione ha funzionato?
A.Il comando CLI da verificare: show crypto ca cert <trustpointname>
D.Come generare PKCS12 da un certificato di identità, un certificato CA e una chiave privata?
A. PKCS12 può essere creato con OpenSSL, con il comando:
openssl pkcs12 -export -out p12.pfx -inkey id.key -in id.crt -certfile ca.crt
D. Come esportare un certificato per installarlo in una nuova appliance ASA?
R.
Con CLI: utilizzare il comando crypto ca export <nometrust> pkcs12 <password>
Con ASDM:
Il certificato esportato può trovarsi sul disco del computer. Prendere nota della passphrase in un luogo sicuro, il file è inutile senza di essa.
D.Se vengono utilizzate chiavi ECDSA, il processo di generazione del certificato SSL è diverso?
A.L'unica differenza di configurazione è rappresentata dalla fase di generazione della coppia di chiavi, in cui è possibile generare una coppia di chiavi ECDSA anziché una coppia di chiavi RSA. Il resto dei gradini rimane lo stesso.
D.È sempre necessario generare una nuova coppia di chiavi?
A. Il passo di generazione della coppia di chiavi è facoltativo. È possibile utilizzare una coppia di chiavi esistente oppure, nel caso di PKCS12, tale coppia viene importata con il certificato. Vedere la sezione Selezionare il nome della coppia di chiavi per il rispettivo tipo di registrazione/ri-registrazione.
D.È sicuro generare una nuova coppia di chiavi per un nuovo certificato di identità?
A. Il processo è sicuro se si utilizza un nuovo nome di coppia di chiavi. In questo caso, le vecchie coppie di chiavi non vengono modificate.
D.È necessario generare nuovamente la chiave quando si sostituisce un firewall (come RMA)?
A.Il nuovo firewall non dispone per impostazione predefinita di una coppia di chiavi sul firewall precedente.
Il backup della configurazione corrente non contiene le coppie di chiavi.
Il backup completo eseguito con ASDM può contenere le coppie di chiavi.
È possibile esportare i certificati di identità da un'appliance ASA con ASDM o CLI prima che si verifichi un errore.
In caso di coppia di failover, i certificati e le coppie di chiavi vengono sincronizzati su un'unità in standby con il comando write standby. In caso di sostituzione di un nodo di coppia di failover, è sufficiente configurare il failover di base ed eseguire il push della configurazione sul nuovo dispositivo.
Se una coppia di chiavi viene persa con il dispositivo e non è disponibile alcun backup, è necessario firmare un nuovo certificato con la coppia di chiavi presente nel nuovo dispositivo.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
2.0 |
22-Apr-2023 |
Elenco collaboratori aggiornato. |
1.0 |
19-Apr-2023 |
Versione iniziale |