配置 ASA：SSL 数字证书安装和续约

简介

本文档介绍在ASA上为无客户端SSLVPN和AnyConnect连接安装第三方受信任SSL数字证书。

背景信息

本示例中使用GoDaddy证书。每个步骤都包含自适应安全设备管理器(ASDM)过程和CLI等效过程。

先决条件

要求

本文档要求访问受信任的第三方证书颁发机构(CA)进行证书注册。第三方CA供应商的示例包括（但不限于）Baltimore、Cisco、Entrust、Geotrust、G、Microsoft、RSA、Thawte和VeriSign。

在开始之前，验证ASA是否具有正确的时钟时间、日期和时区。对于证书身份验证，建议使用网络时间协议(NTP)服务器来同步ASA上的时间。《Cisco ASA系列一般操作CLI配置指南9.1》详细介绍了在ASA上正确设置时间和日期所需的步骤。

使用的组件

本文档使用运行软件版本9.4.1和ASDM版本7.4(1)的ASA 5500-X。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

SSL协议要求SSL服务器为客户端提供服务器证书，以便客户端执行服务器身份验证。思科不建议使用自签名证书，因为用户可能会无意中将浏览器配置为信任来自欺诈服务器的证书。用户在连接到安全网关时必须响应安全警告也会带来不便。为此，建议使用受信任的第三方CA向ASA颁发SSL证书。

ASA上第三方证书的生命周期基本上通过以下步骤进行：

CSR生成

CSR生成是任何X.509数字证书生命周期中的第一步。

一旦生成专用/公共Rivest-Shamir-Adleman(RSA)或椭圆曲线数字签名算法(ECDSA)密钥对(附录A详细说明了RSA或ECDSA的使用之间的区别)，就会创建证书签名请求(CSR)。

CSR是PKCS10格式的消息，包含发送请求的主机的公钥和身份信息。 PKI数据格式 说明适用于ASA和Cisco IOS的不同证书格式^®。

注意：
1.检查CA所需密钥对大小。CA/浏览器论坛要求其成员CA生成的所有证书的最小大小为2048位。
2. ASA目前不支持4096位密钥(Cisco Bug ID CSCut53512)用于SSL服务器身份验证。但是，IKEv2仅支持在ASA 5580、5585和5500-X平台上使用4096位服务器证书。
3.在CSR的FQDN字段中使用ASA的DNS名称，以防止出现不受信任的证书警告并通过严格证书检查。

生成CSR有三种方法。

• 使用ASDM配置
• 使用ASA CLI配置
• 使用OpenSSL生成CSR

1.使用ASDM配置

1. 导航至 Configuration > Remote Access VPN > Certificate Management，然后选择 Identity Certificates。
2. 单击 Add。

   

3. 在Trustpoint Name输入字段中定义信任点名称。
4. 单击Add a new identity certificate单选按钮.
5. 对于密钥对，单击New。

   

6. 选择密钥类型 — RSA或ECDSA。(请参阅附录A了解差异。)
7. 单击Enter new key pair name单选按钮.识别密钥对名称以便识别。
8. 选择Key Size。选择General Purpose for Usage 如果使用RSA。
9. 单击Generate Now。密钥对已创建。
10. 要定义证书使用者DN，请点击Select，并配置下表中列出的属性：

    

    要配置这些值，请从属性下拉列表中选择一个值，输入该值，然后单击添加。

    

    注意：某些第三方供应商要求在颁发身份证书之前包含特定属性。如果不确定所需属性，请咨询供应商以了解详细信息。

11. 添加适当的值后，单击OK。系统将显示Add Identity Certificate对话框，其中包含CertificateSubject DN field populated.
12. 单击 Advanced。

    

13. 如果FQDN字段，输入用于从Internet访问设备的FQDN。单击OK。
14. 保留Enable CA flag in basic constraints extension选项处于选中状态。默认情况下，无CA标志的证书现在无法作为CA证书安装在ASA上。基本约束扩展确定证书的使用者是否是CA以及包含此证书的有效证书路径的最大深度。取消选中此选项以绕过此要求。
15. 单击OK，然后单击Add Certificate. 系统将显示提示，以将CSR保存到本地计算机上的文件。

    

16. 单击Browse，选择保存CSR的位置，并以.txt扩展名保存文件。

    注意：当文件以.txt扩展名保存时，可以打开PKCS#10请求并使用文本编辑器（如记事本）查看。

2.使用ASA CLI配置

在ASDM中，当生成CSR或安装CA证书时，会自动创建信任点。在 CLI 中，必须手动创建信任点。

  
! Generates 2048 bit RSA key pair with label SSL-Keypair. 

MainASA(config)# crypto key generate rsa label SSL-Keypair modulus 2048

INFO: The name for the keys will be: SSL-Keypair
Keypair generation process begin. Please wait...

 ! Define trustpoint with attributes to be used on the SSL certificate 

MainASA(config)# crypto ca trustpoint SSL-Trustpoint
MainASA(config-ca-trustpoint)# enrollment terminal
MainASA(config-ca-trustpoint)# fqdn vpn.remoteasa.com
MainASA(config-ca-trustpoint)# subject-name CN=vpn.remoteasa.com,O=Company Inc,C=US,
St=California,L=San Jose
MainASA(config-ca-trustpoint)# keypair SSL-Keypair
MainASA(config-ca-trustpoint)# exit

 ! Initiates certificate signing request. This is the request to be submitted via Web or
 Email to the third party vendor. 

MainASA(config)# crypto ca enroll SSL-Trustpoint

WARNING: The certificate enrollment is configured with an fqdn
that differs from the system fqdn. If this certificate will be
used for VPN authentication this may cause connection problems.

Would you like to continue with this enrollment? [yes/no]: yes
% Start certificate enrollment ..
% The subject name in the certificate will be: subject-name CN=vpn.remoteasa.com,
O=Company Inc,C=US,St=California,L=San Jose

% The fully-qualified domain name in the certificate will be: vpn.remoteasa.com

% Include the device serial number in the subject name? [yes/no]: no

Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Redisplay enrollment request? [yes/no]: no

 ! Displays the PKCS#10 enrollment request to the terminal. Copy this from the terminal
 to a text file to submit to the third party CA.  

3.使用OpenSSL生成CSR

OpenSSL使用OpenSSL config文件，以提取要在CSR生成中使用的属性。此过程会生成CSR和私钥。

警告：验证生成的私钥是否未与任何其他人共享，因为它会损害证书的完整性。

1. 确保在运行此进程的系统上安装了OpenSSL。对于Mac OSX和GNU/Linux用户，默认情况下会安装此软件。
2. 切换到工作目录。

   在Windows上：默认情况下，实用程序安装在 C:\Openssl\bin。在此位置打开命令提示符。

   在Mac OSX/Linux上：打开创建CSR所需目录中的Terminal窗口。

3. 使用具有给定属性的文本编辑器创建OpenSSL配置文件。完成后，将文件另存为上一步中提到的位置(如果您的版本为0.9.8h及更高版本，则文件为openssl.cfg)

    [req]
   default_bits = 2048
   default_keyfile = privatekey.key
   distinguished_name = req_distinguished_name
   req_extensions = req_ext
   
   [req_distinguished_name]
   commonName = Common Name (eg, YOUR name)
   commonName_default = vpn.remoteasa.com
   
   countryName = Country Name (2 letter code)
   countryName_default = US
   
   stateOrProvinceName = State or Province Name (full name)
   stateOrProvinceName_default = California
   
   localityName = Locality Name (eg, city)
   localityName_default = San Jose
   
   0.organizationName = Organization Name (eg, company)
   0.organizationName_default = Company Inc
   
   [req_ext]
   subjectAltName = @alt_names
   
   [alt_names]
   DNS.1 = *.remoteasa.com 

4. 使用以下命令生成CSR和私钥：

   openssl req -new -nodes -out CSR.csr -config openssl.cnf

    # Sample CSR Generation: 
   
    openssl req -new -nodes -out CSR.csr -config openssl.cnf
   
   Generating a 2048 bit RSA private key
   ...................................................................................+++
   ........................................+++
   writing new private key to 'privatekey.key'
   -----
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Common Name (eg, YOUR name) [vpn.remoteasa.com]:
   Country Name (2 letter code) [US]:
   State or Province Name (full name) [California]:
   Locality Name (eg, city) [San Jose]:
   Organization Name (eg, company) [Company Inc]: 

   将保存的CSR提交给第三方CA供应商。颁发证书后，CA将提供要安装在ASA上的身份证书和CA证书。

在CA上生成SSL证书

下一步是从CA签名CSR。CA提供新生成的PEM编码身份证书或PKCS12证书以及CA证书捆绑包。

如果CSR在ASA外部（通过OpenSSL或在CA自身上）生成，则PEM编码的带私钥和CA证书的身份证书可作为单独文件提供。 附录B提供了将这些元素捆绑到单个PKCS12文件（.p12或.pfx格式）中的步骤。

在本文档中，GoDaddy CA用作向ASA颁发身份证书的示例。此过程可能与其他CA供应商不同。请仔细阅读CA文档，然后继续。

在GoDaddy CA上生成SSL证书的示例

在购买SSL证书并进入初始设置阶段后，导航至GoDaddy Account并查看SSL Certificates。必须有新证书。单击Manage 继续。

然后会显示一个页面，提供此图中所示的CSR。

CA根据输入的CSR确定要向其颁发证书的域名。

验证这是否与ASA的FQDN匹配。

注意：  GoDaddy和大多数其他CA使用SHA-2或SHA256作为默认证书签名算法。ASA支持从8.2(5)[8.3之前版本]到8.4(1)[8.3之后版本](Cisco Bug ID CSCti30937)开始的SHA-2签名算法。 如果使用的版本早于8.2(5)或8.4(1)，请选择SHA-1签名算法。

提交请求后，GoDaddy会先验证请求，然后再颁发证书。

验证证书请求后，GoDaddy向帐户颁发证书。

然后，可下载证书以在ASA上安装。单击Download 以继续。

选择Other 下载证书压缩捆绑包。

.zip文件包含身份证书和GoDaddy CA证书链捆绑包，作为两个单独的.crt文件。继续SSL证书安装，以在ASA上安装这些证书。

ASA上的SSL证书安装

SSL证书可通过两种方式安装在ASDM或CLI的ASA上：

1. 以PEM格式分别导入CA和身份证书。
2. 或导入PKCS12文件（为CLI编码的base64），其中身份证书、CA证书和私钥捆绑在PKCS12文件中。

   注意：  如果CA提供CA证书链，则仅在用于生成CSR的信任点上的层次结构中安装直接中间CA证书。根CA证书和任何其他中间CA证书都可以安装在新信任点中。

1.1使用ASDM以PEM格式安装身份证书

给定的安装步骤假设CA提供PEM编码(.pem、.cer、.crt)身份证书和CA证书捆绑包。

1. 导航至 Configuration > Remote Access VPN > Certificate Management，然后选择CA证书。
2. PEM在文本编辑器中编码证书，并将第三方供应商提供的base64 CA证书复制并粘贴到文本字段中。

   

3. 单击 Install Certificate。
4. 导航至Configuration > Remote Access VPN > Certificate Management，然后选择身份证书。
5. 选择之前创建的身份证书。单击 Install。
6. 单击选项Install from a file 单选按钮，选择PEM编码身份证书或，在文本编辑器中打开PEM编码证书，并将第三方供应商提供的base64身份证书复制并粘贴到文本字段。

   

7. 单击Add Certificate。

   

8. 导航至Configuration > Remote Access VPN > Advanced > SSL Settings。
9. 在Certificates下，选择用于终止WebVPN会话的接口。在本例中，使用外部接口。
10. 单击Edit。
11. 在Certificate下拉列表中，选择新安装的证书。

    

12. 单击OK。
13. 单击Apply。现在，新证书将用于在指定接口上终止的所有WebVPN会话。

1.2.使用CLI安装PEM证书

MainASA(config)# crypto ca authenticate SSL-Trustpoint
 
 Enter the base 64 encoded CA certificate.
End with the word"quit"on a line by itself

-----BEGIN CERTIFICATE----- MIIEADCCAuigAwIBAgIBADANBgkqhkiG9w0BAQUFADBjMQswCQYDVQQGEwJVUzEh MB8GA1UEChMYVGhlIEdvIERhZGR5IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBE YWRkeSBDbGFzcyAyIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTA0MDYyOTE3 MDYyMFoXDTM0MDYyOTE3MDYyMFowYzELMAkGA1UEBhMCVVMxITAfBgNVBAoTGFRo ZSBHbyBEYWRkeSBHcm91cCwgSW5jLjExMC8GA1UECxMoR28gRGFkZHkgQ2xhc3Mg MiBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eTCCASAwDQYJKoZIhvcNAQEBBQADggEN ADCCAQgCggEBAN6d1+pXGEmhW+vXX0iG6r7d/+TvZxz0ZWizV3GgXne77ZtJ6XCA PVYYYwhv2vLM0D9/AlQiVBDYsoHUwHU9S3/Hd8M+eKsaA7Ugay9qK7HFiH7Eux6w wdhFJ2+qN1j3hybX2C32qRe3H3I2TqYXP2WYktsqbl2i/ojgC95/5Y0V4evLOtXi EqITLdiOr18SPaAIBQi2XKVlOARFmR6jYGB0xUGlcmIbYsUfb18aQr4CUWWoriMY avx4A6lNf4DD+qta/KFApMoZFv6yyO9ecw3ud72a9nmYvLEHZ6IVDd2gWMZEewo+ YihfukEHU1jPEX44dMX4/7VpkI+EdOqXG68CAQOjgcAwgb0wHQYDVR0OBBYEFNLE sNKR1EwRcbNhyz2h/t2oatTjMIGNBgNVHSMEgYUwgYKAFNLEsNKR1EwRcbNhyz2h /t2oatTjoWekZTBjMQswCQYDVQQGEwJVUzEhMB8GA1UEChMYVGhlIEdvIERhZGR5 IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBEYWRkeSBDbGFzcyAyIENlcnRpZmlj YXRpb24gQXV0aG9yaXR5ggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEFBQAD ggEBADJL87LKPpH8EsahB4yOd6AzBhRckB4Y9wimPQoZ+YeAEW5p5JYXMP80kWNy OO7MHAGjHZQopDH2esRU1/blMVgDoszOYtuURXO1v0XJJLXVggKtI3lpjbi2Tc7P TMozI+gciKqdi0FuFskg5YmezTvacPd+mSYgFFQlq25zheabIZ0KbIIOqPjCDPoQ HmyW74cNxA9hi63ugyuV+I6ShHI56yDqg+2DzZduCLzrTia2cyvk0/ZM/iZx4mER dEr/VxqHD3VILs9RaRegAhJhldXRQLIQTO7ErBBDpqWeCtWVYpoNz4iCxTIM5Cuf ReYNnyicsbkqWletNw+vHX/bvZ8= -----END CERTIFICATE----- quit INFO: Certificate has the following attributes: Fingerprint: 96c25031 bc0dc35c fba72373 1e1b4140 Do you accept this certificate? [yes/no]: yes Trustpoint 'SSL-Trustpoint' is a subordinate CA and holds a non self-signed certificate. Trustpoint CA certificate accepted. % Certificate successfully imported

!!! - Installing Next-level SubCA in the PKI hierarchy.
!!! - Create a separate trustpoint to install the next subCA certificate (if present)
in the hierarchy leading up to the Root CA (including the Root CA certificate)

MainASA(config)#crypto ca trustpoint SSL-Trustpoint-1
MainASA(config-ca-trustpoint)#enrollment terminal
MainASA(config-ca-trustpoint)#exit
MainASA(config)#
MainASA(config)# crypto ca authenticate SSL-Trustpoint-1
Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself


-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit

INFO: Certificate has the following attributes:
Fingerprint:     81528b89 e165204a 75ad85e8 c388cd68 
Do you accept this certificate? [yes/no]: yes

Trustpoint 'SSL-Trustpoint-1' is a subordinate CA and holds a non self-signed certificate.

Trustpoint CA certificate accepted.

% Certificate successfully imported
BGL-G-17-ASA5500-8(config)#

!!! - Similarly create additional trustpoints (of the name "SSL-Trustpoint-n",
where n is number thats incremented for every level in the PKI hierarchy) to
import the CA certificates leading up to the Root CA certificate.


!!! - Importing identity certificate (import it in the first trustpoint that was
created namely "SSL-Trustpoint") MainASA(config)# crypto ca import SSL-Trustpoint certificate
WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems. Would you like to continue with this enrollment? [yes/no]: yes % The fully-qualified domain name in the certificate will be: vpn.remoteasa.com Enter the base 64 encoded certificate. End with the word "quit" on a line by itself ----BEGIN CERTIFICATE----- MIIFRjCCBC6gAwIBAgIIJc1zqYQHBgUwDQYJKoZIhvcNAQELBQAwgbQxCzAJBgNV BAYTAlVTMRAwDgYDVQQIEwdBcml6b25hMRMwEQYDVQQHEwpTY290dHNkYWxlMRow GAYDVQQKExFHb0RhZGR5LmNvbSwgSW5jLjEtMCsGA1UECxMkaHR0cDovL2NlcnRz LmdvZGFkZHkuY29tL3JlcG9zaXRvcnkvMTMwMQYDVQQDEypHbyBEYWRkeSBTZWN1 cmUgQ2VydGlmaWNhdGUgQXV0aG9yaXR5IC0gRzIwHhcNMTUwNzIyMTIwNDM4WhcN MTYwNzIyMTIwNDM4WjA/MSEwHwYDVQQLExhEb21haW4gQ29udHJvbCBWYWxpZGF0 ZWQxGjAYBgNVBAMTEXZwbi5yZW1vdGVhc2EuY29tMIIBIjANBgkqhkiG9w0BAQEF AAOCAQ8AMIIBCgKCAQEArrY2Fv2S2Uq5HdDhOaSzK5Eyok2tv2Rem8DofbTQ+4F9 C9IXitWdLAo6a7dzyfB4S9hx1VZXoHMGGNd6i9NWLXsWU1Nx5pRMaKR4h1cL6bDW ITt5GzKdL93ibMxYmau+uwM3OkBb8QxLNNxr4G+oXtfavctTxWy/o6LzKWFyj0XP tta9FZW07c0MNvKiUL1v9WBcy4GK1xyvN9RtWebtVkM5/iOv0ReBTBfFxCJ1YQAG UWteu1ikWAGj1qomZGnZgAFDWJ4/hxjesG2BGMtwX5L1O8cbmbi/u/vnmZ5Xhiqx <snip> CCsGAQUFBwIBFitodHRwOi8vY2VydGlmaWNhdGVzLmdvZGFkZHkuY29tL3JlcG9z aXRvcnkvMHYGCCsGAQUFBwEBBGowaDAkBggrBgEFBQcwAYYYaHR0cDovL29jc3Au Z29kYWRkeS5jb20vMEAGCCsGAQUFBzAChjRodHRwOi8vY2VydGlmaWNhdGVzLmdv ZGFkZHkuY29tL3JlcG9zaXRvcnkvZ2RpZzIuY3J0MB8GA1UdIwQYMBaAFEDCvSeO zDSDMKIz1/tss/C0LIDOMEYGA1UdEQQ/MD2CEXZwbi5yZW1vdGVhc2EuY29tghV3 d3cudnBuLnJlbW90ZWFzYS5jb22CEXZwbi5yZW1vdGVhc2EuY29tMB0GA1UdDgQW BBT7en7YS3PH+s4z+wTRlpHr2tSzejANBgkqhkiG9w0BAQsFAAOCAQEAO9H8TLNx 2Y0rYdI6gS8n4imaSYg9Ni/9Nb6mote3J2LELG9HY9m/zUCR5yVktra9azdrNUAN 1hjBJ7kKQScLC4sZLONdqG1uTP5rbWR0yikF5wSzgyMWd03kOR+vM8q6T57vRst5 69vzBUuJc5bSu1IjyfPP19z1l+B2eBwUFbVfXLnd9bTfiG9mSmC+4V63TXFxt1Oq xkGNys3GgYuCUy6yRP2cAUV1lc2tYtaxoCL8yo72YUDDgZ3a4PyO1EvC1FOaUtgv 6QNEOYwmbJkyumdPUwko6wGOC0WLumzv5gHnhil68HYSZ/4XIlp3B9Y8yfG5pwbn 7puhazH+xgQRdg== -----END CERTIFICATE----- quit INFO: Certificate successfully imported ! Apply the newly installed SSL certificate to the interface accepting SSL connections MainASA(config)# ssl trust-point SSL-Trustpoint outside 

2.1使用ASDM安装PKCS12证书

在ASA上未生成CSR的情况下，如通配符证书或UC证书生成时，身份证书和私钥可能会作为单独文件或单个捆绑的PKCS12文件（.p12或pfx格式）接收。 要安装此类型的证书，请执行以下步骤。

1. 身份证书，将CA证书和私钥捆绑到单个PKCS12文件中。 附录B提供了使用OpenSSL执行此操作的步骤。如果CA已捆绑，请继续下一步。
2. 导航至Configuration > Remote Access VPN > Certificate Management, 选择 Identity Certificates.
3. 单击Add。
4. 指定信任点名称。
5. 单击 Import the identity certificate from a file单选按钮.
6. 输入用于创建PKCS12文件的口令。浏览并选择PKCS12文件。输入证书密码。

   

7. 单击“Add Certificate”。

   

8. 导航至Configuration > Remote Access VPN > Advanced，然后选择 SSL Settings.
9. 在Certificates下，选择用于终止WebVPN会话的接口。在本例中，使用外部接口。
10. 单击Edit。
11. 在Certificate下拉列表中，选择新安装的证书。

    

12. 单击OK。
13. 单击Apply。现在，新证书将用于在指定接口上终止的所有WebVPN会话。

2.2使用CLI安装PKCS12证书

  MainASA(config)# crypto ca trustpoint SSL-Trustpoint-PKCS12
MainASA(config-ca-trustpoint)# enrollment terminal
MainASA(config-ca-trustpoint)# exit

MainASA(config)# crypto ca import SSL-Trustpoint-PKCS12 pkcs12 cisco123

Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
-----BEGIN PKCS12-----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<snip>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-----END PKCS12-----
quit
INFO: Import PKCS12 operation completed successfully

!!! Link the SSL trustpoint to the appropriate interface
MainASA(config)# ssl trust-point SSL-Trustpoint-PKCS12 outside
  

验证

使用以下步骤验证第三方供应商证书的安装是否成功并用于SSLVPN连接。

通过ASDM查看已安装的证书

1. 导航至Configuration > Remote Access VPN > Certificate Management,选择 Identity Certificates.
2. 系统将显示由第三方供应商颁发的身份证书。

   

通过CLI查看安装的证书

 MainASA(config)# show crypto ca certificate

Certificate
  Status: Available
  Certificate Serial Number: 25cd73a984070605
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=Go Daddy Secure Certificate Authority - G2
    ou=http://certs.godaddy.com/repository/
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  Subject Name:
    cn=vpn.remoteasa.com
    ou=Domain Control Validated
  OCSP AIA:
    URL: http://ocsp.godaddy.com/
  CRL Distribution Points:
    [1]  http://crl.godaddy.com/gdig2s1-96.crl
  Validity Date:
    start date: 12:04:38 UTC Jul 22 2015
    end   date: 12:04:38 UTC Jul 22 2016
  Associated Trustpoints: SSL-Trustpoint

CA Certificate
  Status: Available
  Certificate Serial Number: 07
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=Go Daddy Root Certificate Authority - G2
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  Subject Name:
    cn=Go Daddy Secure Certificate Authority - G2
    ou=http://certs.godaddy.com/repository/
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  OCSP AIA:
    URL: http://ocsp.godaddy.com/
  CRL Distribution Points:
    [1]  http://crl.godaddy.com/gdroot-g2.crl
  Validity Date:
    start date: 07:00:00 UTC May 3 2011
    end   date: 07:00:00 UTC May 3 2031
  Associated Trustpoints: SSL-Trustpoint

CA Certificate
  Status: Available
  Certificate Serial Number: 1be715
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name: 
    ou=Go Daddy Class 2 Certification Authority
    o=The Go Daddy Group\, Inc.
    c=US
  Subject Name: 
    cn=Go Daddy Root Certificate Authority - G2
    o=GoDaddy.com\, Inc.
    l=Scottsdale
    st=Arizona
    c=US
  OCSP AIA: 
    URL: http://ocsp.godaddy.com/
  CRL Distribution Points: 
    [1]  http://crl.godaddy.com/gdroot.crl
  Validity Date: 
    start date: 07:00:00 UTC Jan 1 2014
    end   date: 07:00:00 UTC May 30 2031
  Associated Trustpoints: SSL-Trustpoint-1 

...(and the rest of the Sub CA certificates till the Root CA)

 

使用 Web 浏览器验证为 WebVPN 安装的证书

验证WebVPN是否使用新证书。

1. 通过Web浏览器连接到WebVPN界面。将https://和用于请求证书的FQDN(例如，https://vpn.remoteasa.com)。
2. 双击 WebVPN 登录页右下角显示的锁图标。必须显示已安装的证书信息。
3. 查看内容以验证其是否与第三方供应商颁发的证书匹配。

   

在ASA上更新SSL证书

1. 使用与旧证书相同的属性在ASA上、使用OpenSSL或在CA上重新生成CSR。按照CSR生成中提供的步骤。
2. 在CA上提交CSR，并生成PEM格式(.pem、.cer、.crt)的新身份证书以及CA证书。如果是PKCS12证书，还会有新的私钥。

   在GoDaddy CA的情况下，证书可以用生成的新CSR重新加密。

   转到GoDaddyaccount并单击SSL Certificates下的Manage。

   

   单击View Status以查看所需的域名。

   

   单击Manage以提供选项以重新对证书进行密钥生成。

   

   展开选项Re-Key certificate并添加新CSR。

   

   保存并继续执行下一步。GoDaddy将根据提供的CSR颁发新证书。

3. 在新信任点上安装新证书，如ASA上的SSL证书安装部分所示。

常见问题

1.将身份证书从一个ASA传输到另一个ASA的最佳方式是什么？

将证书连同密钥一起导出到PKCS12文件。

使用以下命令可通过CLI从原始ASA导出证书：

ASA(config)#crypto ca export 
     
     
       pkcs12 
       
     

相应的ASDM配置：

使用以下命令可通过CLI将证书导入目标ASA:

ASA(config)#crypto ca import 
     
     
       pkcs12 
       
     

相应的ASDM配置：

这也可以通过ASDM上的备份/恢复功能完成，步骤如下：

1. 通过ASDM登录ASA并选择Tools > Backup Configuration。
2. 备份所有配置或仅备份身份证书。
3. 在目标ASA上，打开ASDM并选择Tools > Restore Configuration.

2.如何生成SSL证书以用于VPN负载均衡ASA?

有多种方法可用于为VPN负载均衡环境设置带SSL证书的ASA。

1. 使用单个统一通信/多域证书(UCC)，该证书将负载均衡FQDN作为DN，将每个ASA FQDN作为单独的主题备用名称(SAN)。 GoDaddy、Entrust、Comodo等知名CA支持此类证书。选择此方法时，必须记住，ASA当前不支持创建具有多个SAN字段的CSR。这已记录在增强版Cisco Bug ID CSCso70867中。在这种情况下，有两个选项可用于生成CSR
   1. 通过CLI或ASDM。当CSR提交到CA时，在CA门户上添加多个SAN。
   2. 使用OpenSSL生成CSR并将多个SAN包含在openssl.cnf文件中。

   将CSR提交到CA并生成证书后，将此PEM证书导入到生成CSR的ASA。完成后，以PKCS12格式导出此证书并将其导入到其他成员ASA。

2. 使用通配符证书。与使用UC证书相比，这是一种安全性和灵活性较低的方法。如果CA不支持UC证书，则会在CA上或使用OpenSSL生成CSR，其中FQDN以*.domain.com的形式显示。将CSR提交到CA并生成证书后，将PKCS12证书导入集群中的所有ASA。
3. 对每个成员ASA使用单独的证书，对负载均衡FQDN使用单独的证书。这是最不有效的解决方案。每个ASA的证书可以如本文档所示创建。VPN负载平衡FQDN的证书将在一个ASA上创建，并作为PKCS12证书导出并导入到其他ASA上。

3.证书是否需要从主ASA复制到ASA故障切换对中的辅助ASA?

只要配置了状态故障切换，证书就应在ASA之间同步，因此无需手动将证书从主ASA复制到辅助ASA。如果在初始设置故障切换时，在备用设备上看不到证书，请发出命令write standby以强制同步。

4.如果使用ECDSA密钥，SSL证书生成过程是否不同？

配置中唯一的区别是密钥对生成步骤，在该步骤中将生成ECDSA密钥对，而不是RSA密钥对。其余步骤保持不变。用于生成ECDSA密钥的CLI命令如下所示：

 MainASA(config)# cry key generate ecdsa label SSL-Keypair elliptic-curve 256
INFO: The name for the keys will be: SSL-Keypair
Keypair generation process begin. Please wait... 

故障排除

故障排除命令

在SSL证书安装失败时，将在CLI上收集以下debug命令：

debug crypto ca 255

debug crypto ca messages 255

debug crypto ca transactions 255

常见问题

在运行9.4(1)及更高版本的ASA的外部接口上使用有效的第三方SSL证书时，出现不受信任的证书警告。

解决方案：当RSA密钥对与证书一起使用时，此问题就会出现。在9.4(1)以后的ASA版本上，所有ECDSA和RSA密码都默认启用，最强的密码（通常为ECDSA密码）将用于协商。如果发生这种情况，ASA会提供自签名证书，而不是当前配置的基于RSA的证书。当基于RSA的证书安装在接口上并由Cisco Bug ID CSCuu02848跟踪时，会对行为进行改进。

建议操作：使用以下CLI命令禁用ECDSA密码：

ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:
DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5" 

或者，使用ASDM导航至Configuration > Remote Access VPN > Advanced，然后选择SSL Settings。在“加密”部分下，选择tlsv1.2 Cipher version，并使用自定义字符串AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-AES进行编辑sha:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5

Appendix

附录 A：ECDSA或RSA

ECDSA算法是椭圆曲线加密(ECC)的一部分，它使用椭圆曲线方程来生成公钥，而RSA算法则使用两个质数的乘积加上一个较小的数来生成公钥。这意味着使用ECDSA可以实现与RSA相同级别的安全性，但使用较小的密钥。这可减少计算时间，并增加使用ECDSA证书的站点的连接时间。

有关下一代加密和ASA的文档提供了更深入的信息。

附录 B：使用OpenSSL从身份证书、CA证书和私钥生成PKCS12证书

1. 验证系统上是否安装了OpenSSL，以便运行此进程。对于Mac OSX和GNU/Linux用户，默认情况下将安装此软件。
2. 切换到工作目录。

   在Windows上：默认情况下，实用程序安装在C:\Openssl\bin中。在此位置打开命令提示符。

   在Mac OSX/Linux上：打开创建PKCS12证书所需的目录中的Terminal窗口。

3. 在上一步中提到的目录中，保存私钥(privateKey.key)、身份证书(certificate.crt)和根CA证书链(CACert.crt)文件。

   将私钥、身份证书和根CA证书链合并到PKCS12文件中。输入密码以保护您的PKCS12证书。

   strong> openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt 

4. 将生成的PKCS12证书转换为Base64编码的证书：

   openssl base64 -in certificate.pfx -out certificate.p12

接下来，导入在最后一步中生成的用于SSL的证书。

相关信息

• ASA 9.x配置指南 — 配置数字证书
• 如何使用 ASA 上的 ASDM 从 Microsoft Windows CA 获得数字证书
• 技术支持和文档 - Cisco Systems