De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u bepaalde typen certificaten kunt aanvragen, installeren, vertrouwen en verlengen op Cisco ASA-software die met ASDM wordt beheerd.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Het soort certificaten dat in dit document wordt vermeld, is:
De Secure Socket Layer (SSL), Transport Layer Security (TLS) en IKEv2 rfc7296 voor EAP-verificatieprotocollen schrijven voor dat de SSL/TLS/IKEv2-server de client een servercertificaat biedt waarmee de client serververificatie kan uitvoeren. Het wordt aanbevolen vertrouwde externe CA’s in te schakelen voor het verstrekken van SSL-certificaten voor de ASA.
Cisco raadt het gebruik van een zelfondertekend certificaat niet aan, omdat een gebruiker daarbij per ongeluk een browser kan configureren om het certificaat van een onbetrouwbare server te vertrouwen. Bovendien moeten gebruikers dan reageren op een security waarschuwing wanneer verbinding wordt gemaakt met de beveiligde gateway.
Een certificaat kan worden aangevraagd bij een certificeringsinstantie (CA) en op twee manieren worden geïnstalleerd op een ASA:
Er wordt een CSR gemaakt op het apparaat dat een identiteitscertificaat nodig heeft, gebruik een sleutelpaar dat op het apparaat is gemaakt.
Een MVO bevat:
De CSR wordt doorgegeven aan de certificeringsinstantie (CA), zodat deze deze ondertekent, in een PKCS#10-formulier.
Het ondertekende certificaat wordt door CA teruggestuurd in een PEM-formulier.
Opmerking: CA kan de FQDN- en onderwerpnaamparameters die in het Trustpoint zijn gedefinieerd, wijzigen wanneer het de CSR ondertekent en een ondertekend identiteitscertificaat aanmaakt.
Opmerking: standaard wordt de RSA-toets met de naam Default-RSA-Key en een grootte van 2048 gebruikt. Het wordt echter aanbevolen om voor elk Identity Certificate een uniek privaat/publiek sleutelpaar te gebruiken.
Waarschuwing: de FQDN-parameter moet overeenkomen met de FQDN of het IP-adres van de ASA-interface waarvoor het identiteitscertificaat wordt gebruikt. Deze parameter stelt de gevraagde extensie voor de alternatieve onderwerpnaam (SAN) voor het identiteitscertificaat in. De SAN-extensie wordt gebruikt door SSL/TLS/IKEv2-client om te controleren of het certificaat overeenkomt met de FQDN waarmee verbinding wordt gemaakt.
Kenmerk | Beschrijving |
---|---|
CN | De naam waardoor de firewall kan worden benaderd (meestal de volledig gekwalificeerde domeinnaam, bijvoorbeeld vpn.example.com). |
OU | De naam van uw afdeling binnen de organisatie |
O | De wettelijk geregistreerde naam van uw organisatie/bedrijf |
C | Landnummer (2-lettercode zonder punctuatie) |
ST | De staat waarin uw organisatie is gevestigd. |
L | De stad waar uw organisatie zich bevindt. |
EA | E-mailadres |
N.B.: Geen van de vorige veldwaarden kan een tekenlimiet van 64 tekens overschrijden. Een langere waarde kan problemen opleveren met de installatie van het identiteitscertificaat. Het is ook niet nodig om alle DN-kenmerken te definiëren.
Klik op OK nadat alle kenmerken zijn toegevoegd.
Klik op Browse (Bladeren), selecteer de locatie waar u de CSR wilt opslaan en sla het bestand op met de extensie .txt.
Opmerking: Wanneer het bestand met de extensie .txt wordt opgeslagen, kan het PKCS#10-verzoek worden geopend en bekeken met een teksteditor (zoals Kladblok).
De installatiestappen gaan ervan uit dat de CA de CSR heeft ondertekend en een PEM-gecodeerd identiteitscertificaat en CA-certificaatbundel (pem, .cer, .crt) heeft geleverd.
Opmerking: Installeer het CA-certificaat dat de CSR heeft ondertekend en gebruik dezelfde naam als het Identity Certificate. De andere CA-certificaten hoger in de PKI-hiërarchie kunnen in afzonderlijke Trust Points worden geïnstalleerd.
Kies het identiteitscertificaat dat eerder tijdens de MVO-generatie is gemaakt. Klik op Install (Installeren).
Opmerking: het identiteitscertificaat kan per veld zijn afgegeven als niet beschikbaar en het veld Vervaldatum als hangend.
Opmerking: identiteitscertificaat kan worden geïnstalleerd in .pem, .cer, .crt formaat.
Ga naar Configuration > Remote Access VPN > Advanced > SSL Settings (Configuratie > VPN voor externe toegang > Geavanceerd > SSL-instellingen).
Selecteer onder Certificates (Certificaten) de interface waarop WebVPN-sessies moeten eindigen. In dit voorbeeld wordt de buiteninterface gebruikt.
Klik op Edit (Bewerken).Kies in de vervolgkeuzelijst Certificate (Certificaat) het nieuw geïnstalleerde certificaat.
Klik op OK.
Klik op Apply (Toepassen).
Nu wordt het nieuwe identiteitsbewijs gebruikt.
Het PKCS12-bestand (.p12- of .pfx-formaat) bevat identiteitsbewijs, sleutelpaar en CA-certificaat(en). Het wordt gemaakt door de CA, bijvoorbeeld in het geval van wildcard certificaat, of geëxporteerd van een ander apparaat. Het is een binair bestand, kan niet worden bekeken met teksteditor.
Opmerking: Wanneer u een PKCS12 met CA-certificatenketen importeert, creëert de ASDM automatisch de upstream CA-trustpoints met namen met een -nummer-achtervoegsel.
Ga naar Configuration > Remote Access VPN > Advanced > SSL Settings (Configuratie > VPN voor externe toegang > Geavanceerd > SSL-instellingen).
Selecteer onder Certificates (Certificaten) de interface waarop WebVPN-sessies moeten eindigen. In dit voorbeeld wordt de buiteninterface gebruikt.
Klik op Edit (Bewerken).Kies in de vervolgkeuzelijst Certificate (Certificaat) het nieuw geïnstalleerde certificaat.
Klik op OK.
Klik op Apply (Toepassen).
Nu wordt het nieuwe identiteitsbewijs gebruikt.
Certificaatverlenging van CSR-ingeschreven certificaat vereist om een nieuw Trustpoint te creëren en in te schrijven. Het moet een andere naam hebben (bijvoorbeeld oude naam met jaarachtervoegsel inschrijven). Het kan dezelfde parameters en sleutelpaar gebruiken als het oude certificaat, of verschillende.
Opmerking: standaard wordt de RSA-toets met de naam Default-RSA-Key en een grootte van 2048 gebruikt. Het wordt echter aanbevolen om voor elk Identity Certificate een uniek privaat/publiek sleutelpaar te gebruiken.
Waarschuwing: de FQDN-parameter moet overeenkomen met de FQDN of het IP-adres van de ASA-interface waarvoor het certificaat wordt gebruikt. Deze parameter stelt de alternatieve onderwerpnaam (SAN) voor het certificaat in. Het SAN-veld wordt gebruikt door SSL/TLS/IKEv2-client om te controleren of het certificaat overeenkomt met de FQDN waarmee verbinding is gemaakt.
Opmerking: CA kan de FQDN- en onderwerpnamen die in het trustpoint zijn gedefinieerd, wijzigen wanneer het de CSR ondertekent en een ondertekend identiteitscertificaat aanmaakt.
Kenmerk |
Beschrijving |
---|---|
CN |
De naam waardoor de firewall kan worden benaderd (meestal de volledig gekwalificeerde domeinnaam, bijvoorbeeld vpn.example.com). |
OU |
De naam van uw afdeling binnen de organisatie |
O |
De wettelijk geregistreerde naam van uw organisatie/bedrijf |
C |
Landnummer (2-lettercode zonder punctuatie) |
ST |
De staat waarin uw organisatie is gevestigd. |
L |
De stad waar uw organisatie zich bevindt. |
EA |
E-mailadres |
N.B.: Geen van de vorige velden kan een waarde van 64 tekens overschrijden. Een langere waarde kan problemen opleveren met de installatie van het identiteitscertificaat. Het is ook niet nodig om alle DN-kenmerken te definiëren.
Klik op OK nadat alle kenmerken zijn toegevoegd.
Klik op Bladeren. Kies een locatie waar u de CSR wilt opslaan en sla het bestand op met de extensie .txt.
Opmerking: Wanneer het bestand met de extensie .txt wordt opgeslagen, kan het PKCS#10-verzoek worden geopend en bekeken met een teksteditor (zoals Kladblok).
De installatiestappen gaan ervan uit dat de CA de CSR heeft ondertekend en een PEM-gecodeerd pakket (.pem, .cer, .crt) heeft geleverd met een nieuw identiteitscertificaat en CA-certificaatbundel.
Opmerking: Installeer het tussentijdse certificaat met dezelfde vertrouwenspuntnaam als de vertrouwenspuntnaam van het identiteitsbewijs, indien het identiteitsbewijs is ondertekend door een tussenliggend CA-certificaat.
In het voorbeeld wordt het nieuwe certificaat ondertekend met hetzelfde CA-certificaat als het oude. Hetzelfde CA-certificaat is nu gekoppeld aan twee Trustpoints.
Kies het identiteitscertificaat dat eerder met de MVO-generatie is gemaakt. Klik op Install (Installeren).
Opmerking: het identiteitscertificaat kan per veld zijn afgegeven als niet beschikbaar, en het veld Vervaldatum als hangend.
Opmerking: identiteitscertificaat kan worden geïnstalleerd in .pem, .cer, .crt formaat.
Na de installatie zijn er oude en nieuwe identiteitsbewijzen aanwezig.
Ga naar Configuration > Remote Access VPN > Advanced > SSL Settings (Configuratie > VPN voor externe toegang > Geavanceerd > SSL-instellingen).
Selecteer onder Certificates (Certificaten) de interface waarop WebVPN-sessies moeten eindigen. In dit voorbeeld wordt de buiteninterface gebruikt.
Klik op Edit (Bewerken).Kies in de vervolgkeuzelijst Certificate (Certificaat) het nieuw geïnstalleerde certificaat.
Klik op OK.
Klik op Apply (Toepassen). Nu wordt het nieuwe identiteitsbewijs gebruikt.
Certificaat verlenging van PKCS12 ingeschreven certificaat vereist om een nieuw Trustpoint te maken en in te schrijven. Het moet een andere naam hebben (bijvoorbeeld oude naam met jaarachtervoegsel inschrijven).
Het PKCS12-bestand (.p12- of .pfx-formaat) bevat identiteitsbewijs, sleutelpaar en CA-certificaat(en). Het wordt gemaakt door de CA, bijvoorbeeld in het geval van wildcard certificaat, of geëxporteerd van een ander apparaat. Het is een binair bestand en kan niet worden weergegeven met de teksteditor.
Opmerking: Wanneer een PKCS12 met CAs-certificaatketen wordt geïmporteerd, creëert de ASDM automatisch de upstream CAs trustpoints met namen met een -nummer achtervoegsel.
Ga naar Configuration > Remote Access VPN > Advanced > SSL Settings (Configuratie > VPN voor externe toegang > Geavanceerd > SSL-instellingen).
Selecteer onder Certificates (Certificaten) de interface waarop WebVPN-sessies moeten eindigen. In dit voorbeeld wordt de buiteninterface gebruikt.
Klik op Edit (Bewerken).Kies in de vervolgkeuzelijst Certificate (Certificaat) het nieuw geïnstalleerde certificaat.
Klik op OK.
Klik op Apply (Toepassen).
Nu wordt het nieuwe identiteitsbewijs gebruikt.
Gebruik deze stappen om te controleren of de installatie van het leverancierscertificaat van een derde succesvol is en of u SSL VPN-verbindingen gebruikt.
Deze debug-opdracht moet worden verzameld op de CLI in het geval van een fout bij de installatie van een SSL-certificaat.
Q.Wat is een PKCS12?
A.In cryptografie, definieert PKCS12 een archiefbestandsindeling die gemaakt is om vele cryptografische objecten als één bestand op te slaan. Het wordt algemeen gebruikt om een privé sleutel met zijn X.509 certificaat te bundelen of alle leden van een ketting van vertrouwen te bundelen.
V.Wat is een MVO?
A. In PKI-systemen (public key infrastructure) is een verzoek om een certificaat te ondertekenen (ook CSR of certificeringsverzoek) een bericht dat door een aanvrager wordt verzonden naar een registratieautoriteit van de openbare sleutelinfrastructuur om een digitaal identiteitscertificaat aan te vragen. Het bevat gewoonlijk de openbare sleutel waarvoor het certificaat kan worden afgegeven, informatie die wordt gebruikt om het ondertekende certificaat te identificeren (zoals een domeinnaam in Onderwerp) en integriteitsbescherming (bijvoorbeeld een digitale handtekening).
Q.Waar is het wachtwoord van de PKCS12?
A.Wanneer certificaten en sleutelparen naar een PKCS12-bestand worden geëxporteerd, wordt het wachtwoord gegeven in de opdracht Exporteren. Voor het importeren van een pkcs12-bestand moet het wachtwoord worden geleverd door de eigenaar van de CA-server of de persoon die de PKCS12 heeft geëxporteerd van een ander apparaat.
Q.Wat is het verschil tussen de wortel en de identiteit?
A. In cryptografie en computerbeveiliging is een basiscertificaat een publiek sleutelcertificaat dat een basiscertificeringsinstantie (CA) identificeert. De certificaten van de wortel zijn zelf-ondertekend (en het is mogelijk voor een certificaat om meerdere vertrouwenswegen te hebben, zeg als het certificaat door een wortel werd uitgegeven die) werd dwars-ondertekend en de basis van een op X.509-gebaseerde openbare zeer belangrijke infrastructuur (PKI) vormde. Een public key certificate, ook wel bekend als een digital certificate of Identity Certificate, is een elektronisch document dat gebruikt wordt om het eigendom van een publieke sleutel te bewijzen. Het certificaat bevat informatie over de sleutel, informatie over de identiteit van de eigenaar (het onderwerp genoemd), en de digitale handtekening van een entiteit die de inhoud van het certificaat heeft geverifieerd (de emittent genoemd). Als de handtekening geldig is, en de software die het certificaat onderzoekt de emittent vertrouwt, dan kan het die sleutel gebruiken om veilig met het onderwerp van het certificaat te communiceren.
Q.I installeerde de cert, waarom het niet werkt?
A.Dit kan te wijten zijn aan vele redenen, bijvoorbeeld:
1. Het certificaat en trustpoint worden geconfigureerd, maar zijn niet gebonden aan het proces dat het moet gebruiken. Bijvoorbeeld, het te gebruiken trustpoint is niet gebonden aan de buiteninterface die AnyConnect-clients beëindigt.
2. Er wordt een PKCS12-bestand geïnstalleerd, maar dit bevat fouten als gevolg van het ontbreken van een tussentijds CA-certificaat in het PKCS12-bestand. De klanten die het tussenliggende CA-certificaat als betrouwbaar hebben, maar geen basiscertificaat van CA als betrouwbaar hebben, kunnen de gehele certificaatketen niet verifiëren en het server Identity Certificate niet als betrouwbaar rapporteren.
3. Een certificaat met onjuiste kenmerken kan installatiefouten of fouten aan de clientzijde veroorzaken. Bepaalde eigenschappen kunnen bijvoorbeeld met een verkeerd formaat worden gecodeerd. Een andere reden is dat het Identity Certificate ontbreekt. Alternatieve naam (SAN) ontbreekt, of dat de domeinnaam die gebruikt wordt om toegang te krijgen tot de server niet aanwezig is als SAN.
Q. Vereist een installatie van een nieuwe cert een onderhoudsvenster of veroorzaakt onderbreking?
A. De installatie van een nieuw certificaat (identiteit of CA) is niet opdringerig en zou geen onderbreking moeten veroorzaken of een onderhoudsvenster vereisen. Om een nieuw certificaat te kunnen gebruiken voor een service die bestaat, is een wijziging en vereist mogelijk een venster voor wijzigingsaanvraag/onderhoud.
Q.Kan het toevoegen of veranderen van een certificaat de verbonden gebruikers loskoppelen?
A.No, de gebruikers die op dit moment verbonden zijn blijven verbonden. Het certificaat wordt gebruikt in de verbindingsinrichting. Wanneer de gebruikers opnieuw verbinding hebben gemaakt, wordt het nieuwe certificaat gebruikt.
Q.Hoe kan ik een MVO met een vervanging creëren? Of een alternatieve onderwerpnaam (SAN)?
A. Op dit moment kan de ASA/FTD geen CSR maken met wildcard; dit proces kan echter worden uitgevoerd met OpenSSL. U kunt de opdrachten uitvoeren om de CSR- en ID-toets te genereren:
openssl genrsa - out id.key 2048
openssl req -out id.csr -key id.key -nieuw
Wanneer een trustpoint is geconfigureerd met het FQDN-kenmerk (Fully Qualified Domain Name), bevat de door ASA/FTD gemaakte CSR de SAN met die waarde. Meer SAN-kenmerken kunnen door de CA worden toegevoegd wanneer deze de CSR ondertekent, of de CSR kan worden gemaakt met OpenSSL
Q.Worden certificaten onmiddellijk vervangen?
A. Het nieuwe server Identity Certificate wordt alleen gebruikt voor de nieuwe verbindingen. Het nieuwe certificaat is gereed om onmiddellijk na de wijziging gebruikt te worden, maar wordt daadwerkelijk gebruikt met nieuwe verbindingen.
V.Hoe kan ik controleren of de installatie werkte?
A.De CLI opdracht te verifiëren: toon crypto ca cert <trustpointname>
Q.Hoe te om PKCS12 van het Certificaat van de Identiteit, het certificaat van CA, en privé sleutel te produceren?
A. PKCS12 kan worden gemaakt met OpenSSL, met de opdracht:
openssl pkcs12 -export -p12.pfx -inkey id.key -in id.crt -certfile ca.crt
Q. Hoe een certificaat uit te voeren om het in een nieuwe ASA te installeren?
A.
Met CLI: gebruik de opdracht: crypto kan <trustpointname> pkcs12 <password> exporteren
Met ASDM:
Het geëxporteerde certificaat kan op de computerschijf worden geplaatst. Let op het wachtwoord op een veilige plaats, het bestand is zonder het nutteloos.
Q.Als de sleutels ECDSA worden gebruikt, is het SSL proces van de certificaatgeneratie verschillend?
A.Het enige verschil in configuratie is de keypair generatiestap, waar een ECDSA keypair kan worden gegenereerd in plaats van een RSA keypair. De overige stappen zijn gelijk.
Q.Is het altijd vereist om een nieuw Zeer belangrijk paar te produceren?
A. De stap voor het genereren van het sleutelpaar is optioneel. Bestaand sleutelpaar kan worden gebruikt, of in het geval van PKCS12 wordt het sleutelpaar geïmporteerd met het certificaat. Zie de sectie Selecteer de Key pair Name voor het respectieve inschrijvings-/herinschrijvingstype.
Q.Is het veilig om een nieuw sleutelpaar te genereren voor een nieuw identiteitscertificaat?
A.Het proces is veilig zolang een nieuwe naam van het Zeer belangrijke paar wordt gebruikt. In een dergelijk geval worden de oude Key Pairs niet gewijzigd.
Q.Is het vereist om sleutel opnieuw te produceren wanneer een firewall (zoals RMA) wordt vervangen?
A.De nieuwe firewall door ontwerp heeft geen Key Paren aanwezig op de oude firewall.
De back-up van de actieve configuratie bevat niet de sleutelparen.
De volledige back-up met ASDM kan de sleutelparen bevatten.
De Identity Certificates kunnen worden geëxporteerd van een ASA met ASDM of CLI voordat deze faalt.
In het geval van een failover-paar worden de certificaten en sleutelparen gesynchroniseerd naar een stand-by-eenheid met de opdracht schrijfstand-by. In het geval van één knooppunt van failover-paar wordt vervangen is het voldoende om de basisfailover te configureren en de configuratie naar het nieuwe apparaat te duwen.
Als een sleutelpaar verloren gaat met het apparaat en er geen back-up is, moet een nieuw certificaat worden ondertekend met sleutelpaar aanwezig op het nieuwe apparaat.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
22-Apr-2023 |
Bijgewerkte bijdragerlijst. |
1.0 |
19-Apr-2023 |
Eerste vrijgave |