Configurando o Cisco VPN 3000 Concentrator 4.7.x para obter um certificado digital e um certificado SSL

Opções de download

  • PDF     (633.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (840.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:21 de Abril de 2008
ID do documento:4123

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento inclui instruções passo a passo sobre como configurar os Cisco VPN 3000 Series Concentrators para autenticar com o uso de certificados digitais ou de identidade e certificados SSL.

Observação: no VPN Concentrator, o balanceamento de carga deve ser desabilitado antes de gerar outro certificado SSL, pois isso impede a geração do certificado.

Consulte Como obter um certificado digital de uma CA do Microsoft Windows usando o ASDM em um ASA para saber mais sobre o mesmo cenário com o PIX/ASA 7.x.

Consulte Exemplo de Configuração de Inscrição de Certificado do Cisco IOS Usando Comandos de Inscrição Avançados para saber mais sobre o mesmo cenário com as Plataformas Cisco IOS®.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco VPN 3000 Concentrator que executa a versão 4.7.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Instalar certificados digitais no VPN Concentrator

Conclua estes passos:

  1. Escolha Administration > Certificate Management > Enroll para selecionar a solicitação de certificado digital ou de identidade.

    installdigital-16.gif

  2. Escolha Administration > Certificate Management > Enrollment > Identity Certificate e clique em Enroll via PKCS10 Request(Manual).

    installdigital-17.gif

  3. Preencha os campos solicitados e clique em Inscrever.

    Esses campos são preenchidos neste exemplo.

    • Nome comum — altiga30

    • Unidade organizacional—IPSECCERT (a OU deve corresponder ao nome de grupo IPsec configurado)

    • Organização — Cisco Systems

    • Localidade — RTP

    • Estado/Província — Carolina do Norte

    • País — EUA

    • Nome de domínio totalmente qualificado —(não usado aqui)

    • Tamanho da chave — 512

    Observação: se você solicitar um certificado SSL ou um certificado de identidade usando o Simple Certificate Enrollment Protocol (SCEP), essas são as únicas opções RSA disponíveis.

    • RSA 512 bits

    • RSA 768 bits

    • RSA 1024 bits

    • RSA 2048 bits

    • DSA 512 bits

    • DSA 768 bits

    • DSA 1024 bits

    installdigital_01.gif

  4. Depois de clicar em Inscrever-se, várias janelas serão exibidas. A primeira janela confirma que você solicitou um certificado.

    installdigital_02.gif

    Uma nova janela do navegador também é aberta e exibe seu arquivo de solicitação PKCS.

    installdigital_02a.gif

  5. No servidor da Autoridade de Certificação (AC), realce a solicitação e cole-a no servidor da AC para enviar sua solicitação. Clique em Next.

    installdigital_03.gif

  6. Selecione Solicitação avançada e clique em Avançar.

    installdigital_04.gif

  7. Selecione Submit a certificate request using a base64 encoded PKCS #10 file or a renew request using a base64 encoded PKCS #7 file e clique em Next.

    installdigital_05.gif

  8. Corte e cole seu arquivo PKCS no campo de texto na seção Solicitação salva. Em seguida, clique em Enviar.

    installdigital_06.gif

  9. Emita o certificado de identidade no servidor CA.

    installdigital_07.gif

  10. Faça o download da raiz e dos certificados de identidade. No servidor CA, selecione Verificar um certificado pendente e clique em Avançar.

    installdigital_08.gif

  11. Selecione Base 64 codificada e clique em Download de certificado CA no servidor CA.

    installdigital_09.gif

  12. Salve o certificado de identidade na unidade local.

    installdigital_10.gif

  13. No servidor CA, selecione Recuperar o certificado CA ou a lista de revogação de certificado para obter o certificado raiz. Em seguida, clique em Avançar.

    installdigital_11.gif

  14. Salve o certificado raiz na unidade local.

    installdigital_12.gif

  15. Instale os certificados raiz e de identidade no VPN 3000 Concentrator. Para fazer isso, selecione Administration > Certificate Manager > Installation > Install certificate obtido por meio da inscrição. Em Status da inscrição, clique em Instalar.

    installdigital_13.gif

  16. Clique em Carregar arquivo da estação de trabalho.

    installdigital_14.gif

  17. Clique em Procurar e selecione o arquivo de certificado raiz que você salvou na unidade local.

    Selecione Instalar para instalar o certificado de identidade no VPN Concentrator. A Administração | A janela Gerenciamento de certificados é exibida como uma confirmação e seu novo certificado de identidade é exibido na tabela Certificados de identidade.

    installdigital_15.gif

    Nota: Conclua estes passos para gerar um novo certificado se o certificado falhar.

    1. Selecione Administration > Certificate Management.

    2. Clique em Excluir na caixa Ações da listagem Certificado SSL.

    3. Selecione Administration > System Reboot.

    4. Selecione Salvar a configuração ativa no momento da reinicialização, escolha Agora e clique em Aplicar. Agora você pode gerar um novo certificado após a conclusão do recarregamento.

Instalar certificados SSL no VPN Concentrator

Se você usar uma conexão segura entre seu navegador e o VPN Concentrator, o VPN Concentrator exigirá um certificado SSL. Você também precisa de um certificado SSL na interface que usa para gerenciar o VPN Concentrator e para WebVPN, e para cada interface que termina os túneis WebVPN.

Os certificados SSL da interface, se não existirem, são gerados automaticamente quando o VPN 3000 Concentrator é reinicializado após a atualização do software VPN 3000 Concentrator. Como um certificado autoassinado é gerado automaticamente, esse certificado não é verificável. Nenhuma autoridade de certificação garantiu sua identidade. Mas esse certificado permite que você faça contato inicial com o VPN Concentrator usando o navegador. Para substituí-lo por outro certificado SSL autoassinado, faça o seguinte:

  1. Escolha Administration > Certificate Management.

    installdigital-18.gif

  2. Clique em Gerar para exibir o novo certificado na tabela Certificado SSL e substituir o certificado existente.

    Essa janela permite configurar campos para certificados SSL que o VPN Concentrator gera automaticamente. Esses certificados SSL são para interfaces e para balanceamento de carga.

    installdigital-19.gif

    Se quiser obter um certificado SSL verificável (isto é, um certificado emitido por uma autoridade de certificação), consulte a seção Instalar certificados digitais no VPN Concentrator deste documento para usar o mesmo procedimento usado para obter certificados de identidade. Mas desta vez, na janela Administração > Gerenciamento de Certificados > Inscrever, clique em Certificado SSL (em vez de Certificado de Identidade).

    Observação: consulte a Administração | Seção de gerenciamento de certificado do VPN 3000 Concentrator Reference Volume II: Administration and Monitoring Release 4.7 para obter informações completas sobre certificados digitais e SSL.

Renovar certificados SSL no VPN Concentrator

Esta seção descreve como renovar os certificados SSL:

Se for para o certificado SSL gerado pelo VPN Concentrator, vá para Administration > Certificate Management na seção SSL. Clique na opção renovar e ela renovará o certificado SSL.

Se for para um certificado concedido por um servidor de CA externo, faça o seguinte:

  1. Escolha Administração > Gerenciamento de Certificados >Excluir em Certificados SSL para excluir os certificados expirados da interface pública.

    installdigital-20.gif

    Clique em Sim para confirmar a exclusão do certificado SSL.

    installdigital-21.gif

  2. Escolha Administration > Certificate Management > Generate para gerar o novo certificado SSL.

    installdigital-22.gif

    O novo certificado SSL para a interface pública é exibido.

    installdigital-23.gif

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
21-Apr-2008
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos