配置ASA ：SSL数字证书安装和续订

简介

本文描述多种操作成功安装和使用在可适应安全工具(ASA)的一第三方委托安全套接字层SSL数字证书无客户端SSLVPN和AnyConnect客户端连接。GoDaddy证书用于此示例。每个步骤包含可适应安全设备管理器(ASDM)步骤和CLI等同。

先决条件

要求

本文要求对一委托第三方Certificate Authority (CA)的访问证书登记的。第三方CA供应商示例包括，但是没有被限制对，巴尔的摩、思科、Entrust、Geotrust、G、Microsoft、RSA、Thawte和Verisign。

在您开始前，请验证ASA有正确时钟时间，定日期和时间区域。使用证书验证，推荐使用网络时间协议(NTP)服务器同步在ASA的时间。思科ASA系列一般操作CLI配置指南， 9.1在ASA选派步骤采取为了正确地设置时间与日期。

使用的组件

运行软件版本9.4.1和ASDM版本7.4(1)的本文使用ASA 5500-X。 

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

SSL协议要求SSL服务器提供客户端服务器证书为客户端进行服务器验证。思科不推荐使用自签名证书由于可能性用户可能疏忽地配置浏览器委托从一个恶意服务器的一证书。当连接到安全网关时，也有不便给必须的用户响应到安全警告。推荐使用委托第三方CA为此发行SSL证书到ASA。

一第三方证书的生命周期在ASA的根本发生与这些步骤：

CSR生成

这是在所有X.509数字证书生命周期的第一步。一旦私有/公共Rivest Shamir Adelman (RSA)或椭圆曲线数字签名算法(ECDSA)密钥对生成(附录A选派在使用RSA或ECDSA之间的区别)， Certficate署名请求(CSR)创建。CSR基本上是包含请求的主机的公共密钥和身份信息的PKCS10格式化信息。PKI数据格式解释不同的身份验证格式可适用对ASA和Cisco IOS。

注意：
1.检查与在需要的密钥对大小的CA。CA/Browser论坛要求他们的成员生成的所有证书CA有最小尺寸2048个位。
2. ASA当前不支持4096位密钥(Cisco Bug ID CSCut53512) SSL服务器验证的。然而， IKEv2支持使用在单独ASA 5580， 5585和5500-X平台的4096位服务器证书。
3.在CSR的FQDN字段请使用ASA的DNS名为了防止不信任证书警告和通过严格证书检查。

您能生成与这三个方法之一的CSR ：

1. 配置与ASDM

1. 导航对Configuration>远程访问VPN > Certificate Management，并且选择身份证书。
2. 单击 Add。

   

3. 定义信任点名称在信任点名称下。
4. 单击 Add a new identity certificate 单选按钮。
5. 对于 Key Pair，单击 New。

   

6. 选择关键类型- RSA或ECDSA。(参考的附录A为了了解他们之间的差异。)
7. 单击 Enter new key pair name 单选按钮。请显然地识别识别目的密钥对名称。
8. 选择密钥大小。并且，如果使用RSA，请选择使用情况的一般用途。
9. 单击 Generate Now。现在应已创建密钥对。
10. 要定义 Certificate Subject DN，请单击 Select，然后配置下表中列出的属性：

    

    要配置这些值，可以从 Attribute 下拉列表中选择值或输入值，然后单击 Add。

    

    注意：在身份证书发出前，一些第三方供应商需要将包括的特定的属性。如果不确定对需要的属性，请与供应商协商关于详细信息。

11. 添加相应的值之后，单击 OK。将会出现 Add Identity Certificate 对话框，并显示已填入的 Certificate Subject DN。
12. 单击 Advanced。

    

13. 在使用访问从互联网的设备的FQDN字段，请输入FQDN。单击 Ok。
14. 留下在基本限制条件分机选项的Enable (event) CA标志被检查。没有CA标志的默认情况下证书在ASA不可能当前安装作为CA证书。基本限制条件分机识别证书的主题是否是CA和包括此证书的最大深度有效证书路径。通过不选定选项绕过此需求。
15. 单击 OK，然后单击 Add Certificate。提示符显示为了保存CSR到在本地设备的一个文件。

    

16. 单击 Browse，选择用于保存 CSR 的位置，然后使用 .txt 扩展名保存文件。

    注意：当文件保存与.txt分机时， PKCS-10请求可以打开和查看与文本编辑(例如Notepad)。

2. 配置与ASA CLI

在ASDM，信任点自动地创建，当CSR生成时或，当CA证书安装时。在 CLI 中，必须手动创建信任点。

  
! Generates 2048 bit RSA key pair with label SSL-Keypair. 

MainASA(config)# crypto key generate rsa label SSL-Keypair modulus 2048

INFO: The name for the keys will be: SSL-Keypair
Keypair generation process begin. Please wait...

 ! Define trustpoint with attributes to be used on the SSL certificate 

MainASA(config)# crypto ca trustpoint SSL-Trustpoint
MainASA(config-ca-trustpoint)# enrollment terminal
MainASA(config-ca-trustpoint)# fqdn vpn.remoteasa.com
MainASA(config-ca-trustpoint)# subject-name CN=vpn.remoteasa.com,O=Company Inc,C=US,
St=California,L=San Jose
MainASA(config-ca-trustpoint)# keypair SSL-Keypair
MainASA(config-ca-trustpoint)# exit

 ! Initiates certificate signing request. This is the request to be submitted via Web or
 Email to the third party vendor. 

MainASA(config)# crypto ca enroll SSL-Trustpoint

WARNING: The certificate enrollment is configured with an fqdn
that differs from the system fqdn. If this certificate will be
used for VPN authentication this may cause connection problems.

Would you like to continue with this enrollment? [yes/no]: yes
% Start certificate enrollment ..
% The subject name in the certificate will be: subject-name CN=vpn.remoteasa.com,
O=Company Inc,C=US,St=California,L=San Jose

% The fully-qualified domain name in the certificate will be: vpn.remoteasa.com

% Include the device serial number in the subject name? [yes/no]: no

Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Redisplay enrollment request? [yes/no]: no

 ! Displays the PKCS#10 enrollment request to the terminal. Copy this from the terminal
 to a text file to submit to the third party CA.  

3. 请使用Openssl生成CSR

Openssl利用Openssl配置文件请求用于CSR生成的属性。此进程导致CSR和专用密钥的生成。

警告：保证生成的专用密钥没有共享与任何人，这也许减弱证书的完整性。

1. 保证Openssl在系统安装此进程运行。默认情况下对于Mac OSX和GNU/Linux用户，这将安装。
2. 对工作目录的交换机。

   在Windows ：默认情况下，工具在C:\Openssl\bin安装。在此位置打开一prompt命令。

   在Mac OSX/Linux ：打开在必要的目录的终端窗口创建CSR。

3. 创建Openssl配置文件使用与下面给的属性的文本编辑。一旦完成，请保存文件作为openssl.cnf在上一步提及的位置(如果版本0.9.8h和以上，文件是openssl.cfg)

    [req]
   default_bits = 2048
   default_keyfile = privatekey.key
   distinguished_name = req_distinguished_name
   req_extensions = req_ext
   
   [req_distinguished_name]
   commonName = Common Name (eg, YOUR name)
   commonName_default = vpn.remoteasa.com
   
   countryName = Country Name (2 letter code)
   countryName_default = US
   
   stateOrProvinceName = State or Province Name (full name)
   stateOrProvinceName_default = California
   
   localityName = Locality Name (eg, city)
   localityName_default = San Jose
   
   0.organizationName = Organization Name (eg, company)
   0.organizationName_default = Company Inc
   
   [req_ext]
   subjectAltName = @alt_names
   
   [alt_names]
   DNS.1 = *.remoteasa.com 

4. 生成CSR和专用密钥用此命令：

   openssl req -新节点- CSR.csr -请配置openssl.cnf

    # Sample CSR Generation: 
   
    openssl req -new -nodes -out CSR.csr -config openssl.cnf
   
   Generating a 2048 bit RSA private key
   ...................................................................................+++
   ........................................+++
   writing new private key to 'privatekey.key'
   -----
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Common Name (eg, YOUR name) [vpn.remoteasa.com]:
   Country Name (2 letter code) [US]:
   State or Province Name (full name) [California]:
   Locality Name (eg, city) [San Jose]:
   Organization Name (eg, company) [Company Inc]: 

   提交已保存CSR给第三方CA供应商。一旦证书发出， CA提供在ASA和CA证书将安装的身份证书。

SSL在CA的证书生成

下一步是从CA获得CSR签字。CA提供或者一最近生成的PEM编码的身份证书或PKCS12证书与CA证书套件一起。

如果CSR ASA的外部生成(通过Openssl或在CA)， PEM编码与专用密钥的身份证书，并且CA证书将是可用的作为分离文件。附录B提供步骤一起捆绑这些元素到单个PKCS12文件(.p12或.pfx格式)。

在本文中， GoDaddy CA用于得为例发行身份证书到ASA。此进程在其他CA供应商也许有所不同。仔细阅读通过CA文档，在您将来前发生。

SSL在GoDaddy CA的证书生成示例

在采购和SSL证书的初始设置相位，导航对GoDaddy帐户并且查看SSL证书后。必须有新证书。单击设法为了继续。

这然后启动页如在此镜像中看到提供CSR。基于被输入的CSR， CA确定证书将发出的域名。验证这匹配ASA的FQDN。

注意： GoDaddy和多数其他CA用SHA-2或SHA256作为默认证书签名算法。ASA向前支持SHA-2签名算法由8.2(5) [pre-8.3版本]和8.4(1) [post-8.3版本开始] (Cisco Bug ID CSCti30937)。如果比8.2(5)或8.4(1)使用，请选择SHA-1签名算法旧版本。

一旦请求提交， GoDaddy验证请求，在发行证书前。

在证书请求验证后， GoDaddy发行证书对帐户。证书可以为ASA的安装然后下载。点击在页的下载为了将来发生。

选择其他作为服务器类型并且下载证书邮政编码套件。

.zip文件包含身份证书和GoDaddy CA证书一系列套件作为两个独立的.crt文件。继续到SSL认证安装为了安装在ASA的这些证书。

ASA的SSL认证安装

SSL证书在与ASDM或CLI的ASA可以安装用两种方式：

1. 分开导入CA和身份证书在PEM格式。
2. 或者请导入PKCS12文件(为CLI编码的base64)，身份证书、CA证书和专用密钥在PKCS12文件被捆绑。

   注意： 如果CA提供CA证书一系列，只有安装在层级的立即半成品CA证书在信任点曾经生成CSR。根CA证书和所有其他中间CA证书在新的信任点可以安装。

1.1身份证书的安装在PEM格式的与ASDM

给的安装步骤假设， CA提供一个PEM编码的(.pem， .cer， .crt)身份证书和CA证书套件。

1. 导航对Configuration>远程访问VPN > Certificate Management，并且选择CA证书。
2. 在文本编辑的PEM编码的证书和复制和插入第三方供应商提供的base64 CA证书到文本字段。

   

3. 单击 Install Certificate。
4. 导航对Configuration>远程访问VPN > Certificate Management，并且选择身份证书。
5. 选择以前创建的身份证书。单击 Install。
6. 或者请点击从file单选按钮的选项安装并且选择PEM编码的身份证书或，打开在文本编辑的PEM编码的证书并且复制和插入第三方供应商提供的base64身份证书到文本字段。

   

7. 单击添加证书。

   

8. 导航对Configuration>远程访问VPN >Advanced > SSL设置。
9. 在证书下，请选择使用终止WebVPN会话的接口。在本例中，使用外部接口。
10. 单击 Edit。
11. 在证书下拉列表中，最近请选择预装证书。

    

12. 单击 Ok。
13. 单击 Apply。应该为在指定的接口终止的所有WebVPN会话当前使用新证书。

1.2. PEM证书的安装与CLI的

 MainASA(config)# crypto ca authenticate SSL-Trustpoint
 
 Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself


-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit

INFO: Certificate has the following attributes:
Fingerprint:     96c25031 bc0dc35c fba72373 1e1b4140
Do you accept this certificate? [yes/no]: yes

Trustpoint 'SSL-Trustpoint' is a subordinate CA and holds a non self-signed certificate.

Trustpoint CA certificate accepted.

% Certificate successfully imported

!!! - Installing Next-level SubCA in the PKI hierarchy.
!!! - Create a separate trustpoint to install the next subCA certificate (if present)
 in the hierarchy leading up to the Root CA (including the Root CA certificate)

MainASA(config)#crypto ca trustpoint SSL-Trustpoint-1
MainASA(config-ca-trustpoint)#enrollment terminal
MainASA(config-ca-trustpoint)#exit
MainASA(config)#
MainASA(config)# crypto ca authenticate SSL-Trustpoint-1
Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself


-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit

INFO: Certificate has the following attributes:
Fingerprint:     81528b89 e165204a 75ad85e8 c388cd68 
Do you accept this certificate? [yes/no]: yes

Trustpoint 'SSL-Trustpoint-1' is a subordinate CA and holds a non self-signed certificate.

Trustpoint CA certificate accepted.

% Certificate successfully imported
BGL-G-17-ASA5500-8(config)#

!!! - Similarly create additional trustpoints (of the name "SSL-Trustpoint-n",
 where n is number thats incremented for every level in the PKI hierarchy) to
 import the CA certificates leading up to the Root CA certificate.


!!! - Importing identity certificate (import it in the first trustpoint that was
 created namely "SSL-Trustpoint")

MainASA(config)# crypto ca import SSL-Trustpoint certificate

WARNING: The certificate enrollment is configured with an fqdn
that differs from the system fqdn. If this certificate will be
used for VPN authentication this may cause connection problems.

Would you like to continue with this enrollment? [yes/no]: yes

% The fully-qualified domain name in the certificate will be: vpn.remoteasa.com


Enter the base 64 encoded certificate.
End with the word "quit" on a line by itself

----BEGIN CERTIFICATE-----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<snip>
CCsGAQUFBwIBFitodHRwOi8vY2VydGlmaWNhdGVzLmdvZGFkZHkuY29tL3JlcG9z
aXRvcnkvMHYGCCsGAQUFBwEBBGowaDAkBggrBgEFBQcwAYYYaHR0cDovL29jc3Au
Z29kYWRkeS5jb20vMEAGCCsGAQUFBzAChjRodHRwOi8vY2VydGlmaWNhdGVzLmdv
ZGFkZHkuY29tL3JlcG9zaXRvcnkvZ2RpZzIuY3J0MB8GA1UdIwQYMBaAFEDCvSeO
zDSDMKIz1/tss/C0LIDOMEYGA1UdEQQ/MD2CEXZwbi5yZW1vdGVhc2EuY29tghV3
d3cudnBuLnJlbW90ZWFzYS5jb22CEXZwbi5yZW1vdGVhc2EuY29tMB0GA1UdDgQW
BBT7en7YS3PH+s4z+wTRlpHr2tSzejANBgkqhkiG9w0BAQsFAAOCAQEAO9H8TLNx
2Y0rYdI6gS8n4imaSYg9Ni/9Nb6mote3J2LELG9HY9m/zUCR5yVktra9azdrNUAN
1hjBJ7kKQScLC4sZLONdqG1uTP5rbWR0yikF5wSzgyMWd03kOR+vM8q6T57vRst5
69vzBUuJc5bSu1IjyfPP19z1l+B2eBwUFbVfXLnd9bTfiG9mSmC+4V63TXFxt1Oq
xkGNys3GgYuCUy6yRP2cAUV1lc2tYtaxoCL8yo72YUDDgZ3a4PyO1EvC1FOaUtgv
6QNEOYwmbJkyumdPUwko6wGOC0WLumzv5gHnhil68HYSZ/4XIlp3B9Y8yfG5pwbn
7puhazH+xgQRdg==
-----END CERTIFICATE-----
quit
INFO: Certificate successfully imported

 ! Apply the newly installed SSL certificate to the interface accepting SSL connections 

MainASA(config)# ssl trust-point SSL-Trustpoint outside
 

2.1 PKCS12证书的安装与ASDM的

在CSR在ASA没有生成，例如一旦通配符证书处或，当UC证书生成时，与专用密钥一起的一身份证书也许接收作为分离文件或单个被捆绑的PKCS12文件(.p12或pfx格式)。为了安装此种证书，请遵从这些步骤。

1. 身份证书、CA证书和专用密钥需要被捆绑到单个PKCS12文件。附录B提供步骤执行此与Openssl。如果已经捆绑由CA，请继续对下一步。
2. 导航对Configuration>远程访问VPN > Certificate Management，并且选择身份证书。
3. 单击 Add。
4. 指定信任点名称。
5. 点击导入从file单选按钮的身份证书。
6. 输入用于的密码短语创建PKCS12文件。浏览并且选择PKCS12文件。输入证书密码短语。

   

7. 单击添加证书。

   

8. 导航对Configuration>远程访问VPN >Advanced，并且选择SSL设置。
9. 在证书下，请选择使用终止WebVPN会话的接口。在本例中，使用外部接口。
10. 单击 Edit。
11. 在证书下拉列表中，最近请选择预装证书。

    

12. 单击 Ok。
13. 单击 Apply。应该为在指定的接口终止的所有WebVPN会话当前使用新证书。

2.2 PKCS12证书的安装与CLI的

  MainASA(config)# crypto ca trustpoint SSL-Trustpoint-PKCS12
MainASA(config-ca-trustpoint)# enrollment terminal
MainASA(config-ca-trustpoint)# exit

MainASA(config)# crypto ca import SSL-Trustpoint-PKCS12 pkcs12 cisco123

Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
-----BEGIN PKCS12-----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<snip>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-----END PKCS12-----
quit
INFO: Import PKCS12 operation completed successfully

!!! Link the SSL trustpoint to the appropriate interface
MainASA(config)# ssl trust-point SSL-Trustpoint-PKCS12 outside
  

验证

请使用这些步骤为了验证第三方供应商证书和使用的成功的安装SSLVPN连接的。

通过ASDM查看已安装证书

1. 导航对Configuration>远程访问VPN > Certificate Management，并且选择身份证书。
2. 第三方供应商发出的身份证书应该出现。

   

通过CLI查看已安装证书

 MainASA(config)# show crypto ca certificate

Certificate
  Status: Available
  Certificate Serial Number: 25cd73a984070605
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=Go Daddy Secure Certificate Authority - G2
    ou=http://certs.godaddy.com/repository/
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  Subject Name:
    cn=vpn.remoteasa.com
    ou=Domain Control Validated
  OCSP AIA:
    URL: http://ocsp.godaddy.com/
  CRL Distribution Points:
    [1]  http://crl.godaddy.com/gdig2s1-96.crl
  Validity Date:
    start date: 12:04:38 UTC Jul 22 2015
    end   date: 12:04:38 UTC Jul 22 2016
  Associated Trustpoints: SSL-Trustpoint

CA Certificate
  Status: Available
  Certificate Serial Number: 07
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=Go Daddy Root Certificate Authority - G2
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  Subject Name:
    cn=Go Daddy Secure Certificate Authority - G2
    ou=http://certs.godaddy.com/repository/
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  OCSP AIA:
    URL: http://ocsp.godaddy.com/
  CRL Distribution Points:
    [1]  http://crl.godaddy.com/gdroot-g2.crl
  Validity Date:
    start date: 07:00:00 UTC May 3 2011
    end   date: 07:00:00 UTC May 3 2031
  Associated Trustpoints: SSL-Trustpoint

CA Certificate
  Status: Available
  Certificate Serial Number: 1be715
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name: 
    ou=Go Daddy Class 2 Certification Authority
    o=The Go Daddy Group\, Inc.
    c=US
  Subject Name: 
    cn=Go Daddy Root Certificate Authority - G2
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  OCSP AIA: 
    URL: http://ocsp.godaddy.com/
  CRL Distribution Points: 
    [1]  http://crl.godaddy.com/gdroot.crl
  Validity Date: 
    start date: 07:00:00 UTC Jan 1 2014
    end   date: 07:00:00 UTC May 30 2031
  Associated Trustpoints: SSL-Trustpoint-1 

...(and the rest of the Sub CA certificates till the Root CA)

 

使用 Web 浏览器验证为 WebVPN 安装的证书

要验证 WebVPN 是否使用新证书，请完成以下步骤：

1. 连接对WebVPN接口通过Web浏览器。与用于的FQDN一起请使用https://为了请求证书(例如， https://vpn.remoteasa.com)。
2. 双击 WebVPN 登录页右下角显示的锁图标。预装证书信息必须出现。
3. 查看内容为了验证它匹配第三方供应商已签发证书。

   

更新在ASA的SSL证书

1. 重新生成CSR在ASA，或者与Openssl或在CA使用属性和旧有证书一样。遵从在CSR生成给的步骤。
2. 提交在CA的CSR并且与CA证书一起生成在PEM格式(.pem的一新的身份证书， .cer， .crt)。一旦PKCS12 certficate也将有一新的专用密钥。

   一旦GoDaddy CA，证书可以重新生成密钥与生成的新的CSR。

   去GoDaddyaccount并且单击管理在SSL证书下。

   

   点击需要的域名的视图状态。

   

   单击设法为了给出重新生成密钥的证书选项。

   

   展开选项键变更证书并且添加新的CSR。

   

   保存并且继续对下一步。GoDaddy将发出根据CSR的新证书提供。

3. 如ASA部分的， SSL认证安装所显示安装在一新的信任点的新证书。

常见问题

1.什么是转接身份证书的最佳方法从在不同的ASA上的一个ASA当中？

与密钥一起导出证书到PKCS12文件。

请使用此命令为了通过从原始ASA的CLI导出证书：

ASA(config)#crypto ca export <trust-point-name> pkcs12 <passphrase>

对应的ASDM配置：

请使用此命令为了通过CLI导入证书到目标ASA ：

ASA(config)#crypto ca import <trust-point-name> pkcs12 <passphrase>

对应的ASDM配置：

这可能通过在ASDM的备份/恢复功能也也执行与这些步骤：

1. 登陆对ASA通过ASDM并且选择Tools>备份配置。
2. 备份所有配置或身份证书。
3. 在目标ASA，请打开ASDM并且选择Tools>恢复配置。

2.如何生成SSL证书为了用在VPN负载均衡ASA上？

有能使用设置与SSL证书的ASA VPN负载均衡环境的多种方法。

1. 请使用有负载平衡FQDN作为DN和其中每一个ASA FQDN的单个统一通信/多个域证书(UCC)，因为一分开的附属的替代方案名称(SAN)。有支持这样证书的几著名的CA类似GoDaddy、Entrust，科莫多和其他。当您选择此方法时，请记住ASA当前不支持CSR的创建与多个SAN字段的。这在增强Cisco Bug ID CSCso70867描述了。在这种情况下有两个选项生成CSR
   1. 通过CLI或ASDM。当CSR提交对CA时，请添加在CA门户的多个SAN。
   2. 如此部分所显示，请使用Openssl为了生成CSR和包括多个SAN在openssl.cnf文件。

   一旦CSR提交对CA和生成的证书，请导入此PEM证书对生成CSR的ASA。如上一个问题所显示，一旦完成，请导出并且导入在PKCS12格式的此证书在另一个成员ASA上。

2. 请使用一通配符证书。这是较少安全和灵活方法，当与使用UC证书比较。在案件中CA不支持UC证书， CSR可以生成在CA或与FQDN在*.domain.com表的Openssl。一旦CSR提交对CA和生成的证书，请导入PKCS12证书对在集群的所有ASA。
3. 请使用一分开的证书其中每一个成员ASA和为负载平衡FQDN。这是最少有效解决方案。如本文所显示，其中每一的证书个人ASA可以创建。VPN负载均衡的FQDN证书在一个ASA将创建并且导出并且导入作为在其他ASA上的一PKCS12证书。

3.证书是否需要复制从主要的ASA到在ASA故障切换对的第二ASA ？

没有需要手工复制从主要的证书到第二ASA，因为应该同步证书在ASA之间，只要有状态故障切换配置。如果在故障切换初始设置，证书在暂挂设备看不到，请发出write standby命令为了强制同步。

4.如果使用ECDSA密钥， SSL证书生成过程是否是不同的？

唯一的差异在配置方面是密钥对生成步骤， ECDSA密钥对将生成而不是RSA密钥对。步骤的其余依然是同样。CLI命令生成的ECDSA密钥是如下显示：

 MainASA(config)# cry key generate ecdsa label SSL-Keypair elliptic-curve 256
INFO: The name for the keys will be: SSL-Keypair
Keypair generation process begin. Please wait... 

故障排除

故障排除命令

这些调试指令将收集在CLI一旦SSL认证安装失败：

debug crypto ca 255

debug crypto ca消息255

debug crypto ca处理255

常见问题

不信任证书警告，当曾经在外部接口的一有效第三方SSL证书在ASA运行9.4(1)及以后时。

解决方案：当RSA密钥对与证书一起使用时，此问题提交自己。在从9.4(1)的ASA版本向前，所有ECDSA和RSA密码器启用默认情况下，并且最强的密码器(通常ECDSA密码器)将使用协商。如果这发生， ASA提交一自签名证书而不是当前配置的基于RSA的证书。当一基于RSA的证书在接口安装和由Cisco Bug ID CSCuu02848时，跟踪到位有更改行为的增强。

建议操作：有这些CLI命令的禁用ECDSA密码器：

ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:
DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5" 

或者，与ASDM，请导航对Configuration>远程访问VPN >Advanced，并且选择SSL设置。在加密部分下，挑选tlsv1.2密码器版本和编辑它与自定义字符串AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5

附录

附录 A：ECDSA或RSA

ECDSA算法是椭圆曲线加密算法(ECC)的部分并且使用椭圆曲线的等式生成公共密钥，而RSA算法使用产品两填装加上一个更加小的编号生成公共密钥。这意味着用ECDSA安全级别和RSA一样可以完成，但是与更加小的密钥。这减少计算时间并且增加使用ECDSA证书的站点的连接时间。

在下一代加密算法和ASA的本文提供详细信息。

附录 B：请使用Openssl生成从身份证书、CA证书和专用密钥的一PKCS12证书

1. 保证Openssl在系统安装此进程运行。默认情况下对于Mac OSX和GNU/Linux用户，这将安装。
2. 对工作目录的交换机。

   在Windows ：默认情况下，工具在C:\Openssl\bin安装。在此位置打开一prompt命令。

   在Mac OSX/Linux ：打开在必要的目录的终端窗口创建PKCS12证书。

3. 在上一步提及的目录中，请保存专用密钥(privateKey.key)，身份证书(certificate.crt)和根CA证书一系列(CACert.crt)文件。

   结合专用密钥、身份证书和根CA证书一系列到PKCS12文件。将提示您输入密码短语保护您的PKCS12证书。

   strong> openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt 

4. 转换上面PKCS12生成的证书对Base64编码的证书：

   openssl base64 -in certificate.pfx -out certificate.p12

其次，请导入在最后一步生成为了用在SSL上的证书。

相关信息

• ASA 9.x配置指南-配置数字证书
• 如何使用 ASA 上的 ASDM 从 Microsoft Windows CA 获得数字证书
• 技术支持和文档 - Cisco Systems