配置ASA :SSL数字证书安装和续订
简介
本文描述多种操作成功安装和使用在可适应安全工具(ASA)的一第三方委托安全套接字层SSL数字证书无客户端SSLVPN和AnyConnect客户端连接。GoDaddy证书用于此示例。每个步骤包含可适应安全设备管理器(ASDM)步骤和CLI等同。
先决条件
要求
本文要求对一委托第三方Certificate Authority (CA)的访问证书登记的。第三方CA供应商示例包括,但是没有被限制对,巴尔的摩、思科、Entrust、Geotrust、G、Microsoft、RSA、Thawte和Verisign。
在您开始前,请验证ASA有正确时钟时间,定日期和时间区域。使用证书验证,推荐使用网络时间协议(NTP)服务器同步在ASA的时间。思科ASA系列一般操作CLI配置指南, 9.1在ASA选派步骤采取为了正确地设置时间与日期。
使用的组件
运行软件版本9.4.1和ASDM版本7.4(1)的本文使用ASA 5500-X。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置
SSL协议要求SSL服务器提供客户端服务器证书为客户端进行服务器验证。思科不推荐使用自签名证书由于可能性用户可能疏忽地配置浏览器委托从一个恶意服务器的一证书。当连接到安全网关时,也有不便给必须的用户响应到安全警告。推荐使用委托第三方CA为此发行SSL证书到ASA。
一第三方证书的生命周期在ASA的根本发生与这些步骤:
CSR生成
这是在所有X.509数字证书生命周期的第一步。一旦私有/公共Rivest Shamir Adelman (RSA)或椭圆曲线数字签名算法(ECDSA)密钥对生成(附录A选派在使用RSA或ECDSA之间的区别), Certficate署名请求(CSR)创建。CSR基本上是包含请求的主机的公共密钥和身份信息的PKCS10格式化信息。PKI数据格式解释不同的身份验证格式可适用对ASA和Cisco IOS。
您能生成与这三个方法之一的CSR :
1. 配置与ASDM
- 导航对Configuration>远程访问VPN > Certificate Management,并且选择身份证书。
- 单击 Add。
- 定义信任点名称在信任点名称下。
- 单击 Add a new identity certificate 单选按钮。
- 对于 Key Pair,单击 New。
- 选择关键类型- RSA或ECDSA。(参考的附录A为了了解他们之间的差异。)
- 单击 Enter new key pair name 单选按钮。请显然地识别识别目的密钥对名称。
- 选择密钥大小。并且,如果使用RSA,请选择使用情况的一般用途。
- 单击 Generate Now。现在应已创建密钥对。
- 要定义 Certificate Subject DN,请单击 Select,然后配置下表中列出的属性:
要配置这些值,可以从 Attribute 下拉列表中选择值或输入值,然后单击 Add。
- 添加相应的值之后,单击 OK。将会出现 Add Identity Certificate 对话框,并显示已填入的 Certificate Subject DN。
- 单击 Advanced。
- 在使用访问从互联网的设备的FQDN字段,请输入FQDN。单击 Ok。
- 留下在基本限制条件分机选项的Enable (event) CA标志被检查。没有CA标志的默认情况下证书在ASA不可能当前安装作为CA证书。基本限制条件分机识别证书的主题是否是CA和包括此证书的最大深度有效证书路径。通过不选定选项绕过此需求。
- 单击 OK,然后单击 Add Certificate。提示符显示为了保存CSR到在本地设备的一个文件。
- 单击 Browse,选择用于保存 CSR 的位置,然后使用 .txt 扩展名保存文件。
2. 配置与ASA CLI
在ASDM,信任点自动地创建,当CSR生成时或,当CA证书安装时。在 CLI 中,必须手动创建信任点。
! Generates 2048 bit RSA key pair with label SSL-Keypair. MainASA(config)# crypto key generate rsa label SSL-Keypair modulus 2048 INFO: The name for the keys will be: SSL-Keypair Keypair generation process begin. Please wait... ! Define trustpoint with attributes to be used on the SSL certificate MainASA(config)# crypto ca trustpoint SSL-Trustpoint MainASA(config-ca-trustpoint)# enrollment terminal MainASA(config-ca-trustpoint)# fqdn vpn.remoteasa.com MainASA(config-ca-trustpoint)# subject-name CN=vpn.remoteasa.com,O=Company Inc,C=US,
St=California,L=San Jose MainASA(config-ca-trustpoint)# keypair SSL-Keypair MainASA(config-ca-trustpoint)# exit ! Initiates certificate signing request. This is the request to be submitted via Web or
Email to the third party vendor. MainASA(config)# crypto ca enroll SSL-Trustpoint WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems. Would you like to continue with this enrollment? [yes/no]: yes % Start certificate enrollment .. % The subject name in the certificate will be: subject-name CN=vpn.remoteasa.com,
O=Company Inc,C=US,St=California,L=San Jose % The fully-qualified domain name in the certificate will be: vpn.remoteasa.com % Include the device serial number in the subject name? [yes/no]: no Display Certificate Request to terminal? [yes/no]: yes Certificate Request follows: -----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST----- Redisplay enrollment request? [yes/no]: no ! Displays the PKCS#10 enrollment request to the terminal. Copy this from the terminal
to a text file to submit to the third party CA.
3. 请使用Openssl生成CSR
Openssl利用Openssl配置文件请求用于CSR生成的属性。此进程导致CSR和专用密钥的生成。
- 保证Openssl在系统安装此进程运行。默认情况下对于Mac OSX和GNU/Linux用户,这将安装。
- 对工作目录的交换机。
在Windows :默认情况下,工具在C:\Openssl\bin安装。在此位置打开一prompt命令。
在Mac OSX/Linux :打开在必要的目录的终端窗口创建CSR。
- 创建Openssl配置文件使用与下面给的属性的文本编辑。一旦完成,请保存文件作为openssl.cnf在上一步提及的位置(如果版本0.9.8h和以上,文件是openssl.cfg)
[req] default_bits = 2048 default_keyfile = privatekey.key distinguished_name = req_distinguished_name req_extensions = req_ext [req_distinguished_name] commonName = Common Name (eg, YOUR name) commonName_default = vpn.remoteasa.com countryName = Country Name (2 letter code) countryName_default = US stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = California localityName = Locality Name (eg, city) localityName_default = San Jose 0.organizationName = Organization Name (eg, company) 0.organizationName_default = Company Inc [req_ext] subjectAltName = @alt_names
[alt_names] DNS.1 = *.remoteasa.com - 生成CSR和专用密钥用此命令:
openssl req -新节点- CSR.csr -请配置openssl.cnf
# Sample CSR Generation: openssl req -new -nodes -out CSR.csr -config openssl.cnf
Generating a 2048 bit RSA private key ...................................................................................+++ ........................................+++ writing new private key to 'privatekey.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg, YOUR name) [vpn.remoteasa.com]: Country Name (2 letter code) [US]: State or Province Name (full name) [California]: Locality Name (eg, city) [San Jose]: Organization Name (eg, company) [Company Inc]:提交已保存CSR给第三方CA供应商。一旦证书发出, CA提供在ASA和CA证书将安装的身份证书。
SSL在CA的证书生成
下一步是从CA获得CSR签字。CA提供或者一最近生成的PEM编码的身份证书或PKCS12证书与CA证书套件一起。
如果CSR ASA的外部生成(通过Openssl或在CA), PEM编码与专用密钥的身份证书,并且CA证书将是可用的作为分离文件。附录B提供步骤一起捆绑这些元素到单个PKCS12文件(.p12或.pfx格式)。
在本文中, GoDaddy CA用于得为例发行身份证书到ASA。此进程在其他CA供应商也许有所不同。仔细阅读通过CA文档,在您将来前发生。
SSL在GoDaddy CA的证书生成示例
在采购和SSL证书的初始设置相位,导航对GoDaddy帐户并且查看SSL证书后。必须有新证书。单击设法为了继续。
这然后启动页如在此镜像中看到提供CSR。基于被输入的CSR, CA确定证书将发出的域名。验证这匹配ASA的FQDN。
一旦请求提交, GoDaddy验证请求,在发行证书前。
在证书请求验证后, GoDaddy发行证书对帐户。证书可以为ASA的安装然后下载。点击在页的下载为了将来发生。
选择其他作为服务器类型并且下载证书邮政编码套件。
.zip文件包含身份证书和GoDaddy CA证书一系列套件作为两个独立的.crt文件。继续到SSL认证安装为了安装在ASA的这些证书。
ASA的SSL认证安装
SSL证书在与ASDM或CLI的ASA可以安装用两种方式:
- 分开导入CA和身份证书在PEM格式。
- 或者请导入PKCS12文件(为CLI编码的base64),身份证书、CA证书和专用密钥在PKCS12文件被捆绑。
1.1身份证书的安装在PEM格式的与ASDM
给的安装步骤假设, CA提供一个PEM编码的(.pem, .cer, .crt)身份证书和CA证书套件。
- 导航对Configuration>远程访问VPN > Certificate Management,并且选择CA证书。
- 在文本编辑的PEM编码的证书和复制和插入第三方供应商提供的base64 CA证书到文本字段。
- 单击 Install Certificate。
- 导航对Configuration>远程访问VPN > Certificate Management,并且选择身份证书。
- 选择以前创建的身份证书。单击 Install。
- 或者请点击从file单选按钮的选项安装并且选择PEM编码的身份证书或,打开在文本编辑的PEM编码的证书并且复制和插入第三方供应商提供的base64身份证书到文本字段。
- 单击添加证书。
- 导航对Configuration>远程访问VPN >Advanced > SSL设置。
- 在证书下,请选择使用终止WebVPN会话的接口。在本例中,使用外部接口。
- 单击 Edit。
- 在证书下拉列表中,最近请选择预装证书。
- 单击 Ok。
- 单击 Apply。应该为在指定的接口终止的所有WebVPN会话当前使用新证书。
1.2. PEM证书的安装与CLI的
MainASA(config)# crypto ca authenticate SSL-Trustpoint
Enter the base 64 encoded CA certificate. End with the word "quit" on a line by itself
-----BEGIN CERTIFICATE----- MIIEADCCAuigAwIBAgIBADANBgkqhkiG9w0BAQUFADBjMQswCQYDVQQGEwJVUzEh MB8GA1UEChMYVGhlIEdvIERhZGR5IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBE YWRkeSBDbGFzcyAyIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTA0MDYyOTE3 MDYyMFoXDTM0MDYyOTE3MDYyMFowYzELMAkGA1UEBhMCVVMxITAfBgNVBAoTGFRo ZSBHbyBEYWRkeSBHcm91cCwgSW5jLjExMC8GA1UECxMoR28gRGFkZHkgQ2xhc3Mg MiBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eTCCASAwDQYJKoZIhvcNAQEBBQADggEN ADCCAQgCggEBAN6d1+pXGEmhW+vXX0iG6r7d/+TvZxz0ZWizV3GgXne77ZtJ6XCA PVYYYwhv2vLM0D9/AlQiVBDYsoHUwHU9S3/Hd8M+eKsaA7Ugay9qK7HFiH7Eux6w wdhFJ2+qN1j3hybX2C32qRe3H3I2TqYXP2WYktsqbl2i/ojgC95/5Y0V4evLOtXi EqITLdiOr18SPaAIBQi2XKVlOARFmR6jYGB0xUGlcmIbYsUfb18aQr4CUWWoriMY avx4A6lNf4DD+qta/KFApMoZFv6yyO9ecw3ud72a9nmYvLEHZ6IVDd2gWMZEewo+ YihfukEHU1jPEX44dMX4/7VpkI+EdOqXG68CAQOjgcAwgb0wHQYDVR0OBBYEFNLE sNKR1EwRcbNhyz2h/t2oatTjMIGNBgNVHSMEgYUwgYKAFNLEsNKR1EwRcbNhyz2h /t2oatTjoWekZTBjMQswCQYDVQQGEwJVUzEhMB8GA1UEChMYVGhlIEdvIERhZGR5 IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBEYWRkeSBDbGFzcyAyIENlcnRpZmlj YXRpb24gQXV0aG9yaXR5ggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEFBQAD ggEBADJL87LKPpH8EsahB4yOd6AzBhRckB4Y9wimPQoZ+YeAEW5p5JYXMP80kWNy OO7MHAGjHZQopDH2esRU1/blMVgDoszOYtuURXO1v0XJJLXVggKtI3lpjbi2Tc7P TMozI+gciKqdi0FuFskg5YmezTvacPd+mSYgFFQlq25zheabIZ0KbIIOqPjCDPoQ HmyW74cNxA9hi63ugyuV+I6ShHI56yDqg+2DzZduCLzrTia2cyvk0/ZM/iZx4mER dEr/VxqHD3VILs9RaRegAhJhldXRQLIQTO7ErBBDpqWeCtWVYpoNz4iCxTIM5Cuf ReYNnyicsbkqWletNw+vHX/bvZ8= -----END CERTIFICATE----- quit INFO: Certificate has the following attributes: Fingerprint: 96c25031 bc0dc35c fba72373 1e1b4140 Do you accept this certificate? [yes/no]: yes Trustpoint 'SSL-Trustpoint' is a subordinate CA and holds a non self-signed certificate. Trustpoint CA certificate accepted. % Certificate successfully imported
!!! - Installing Next-level SubCA in the PKI hierarchy.
!!! - Create a separate trustpoint to install the next subCA certificate (if present)
in the hierarchy leading up to the Root CA (including the Root CA certificate)
MainASA(config)#crypto ca trustpoint SSL-Trustpoint-1
MainASA(config-ca-trustpoint)#enrollment terminal
MainASA(config-ca-trustpoint)#exit
MainASA(config)#
MainASA(config)# crypto ca authenticate SSL-Trustpoint-1
Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit
INFO: Certificate has the following attributes:
Fingerprint: 81528b89 e165204a 75ad85e8 c388cd68
Do you accept this certificate? [yes/no]: yes
Trustpoint 'SSL-Trustpoint-1' is a subordinate CA and holds a non self-signed certificate.
Trustpoint CA certificate accepted.
% Certificate successfully imported
BGL-G-17-ASA5500-8(config)#
!!! - Similarly create additional trustpoints (of the name "SSL-Trustpoint-n",
where n is number thats incremented for every level in the PKI hierarchy) to
import the CA certificates leading up to the Root CA certificate.
!!! - Importing identity certificate (import it in the first trustpoint that was
created namely "SSL-Trustpoint") MainASA(config)# crypto ca import SSL-Trustpoint certificate
WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems. Would you like to continue with this enrollment? [yes/no]: yes % The fully-qualified domain name in the certificate will be: vpn.remoteasa.com Enter the base 64 encoded certificate. End with the word "quit" on a line by itself ----BEGIN CERTIFICATE----- MIIFRjCCBC6gAwIBAgIIJc1zqYQHBgUwDQYJKoZIhvcNAQELBQAwgbQxCzAJBgNV BAYTAlVTMRAwDgYDVQQIEwdBcml6b25hMRMwEQYDVQQHEwpTY290dHNkYWxlMRow GAYDVQQKExFHb0RhZGR5LmNvbSwgSW5jLjEtMCsGA1UECxMkaHR0cDovL2NlcnRz LmdvZGFkZHkuY29tL3JlcG9zaXRvcnkvMTMwMQYDVQQDEypHbyBEYWRkeSBTZWN1 cmUgQ2VydGlmaWNhdGUgQXV0aG9yaXR5IC0gRzIwHhcNMTUwNzIyMTIwNDM4WhcN MTYwNzIyMTIwNDM4WjA/MSEwHwYDVQQLExhEb21haW4gQ29udHJvbCBWYWxpZGF0 ZWQxGjAYBgNVBAMTEXZwbi5yZW1vdGVhc2EuY29tMIIBIjANBgkqhkiG9w0BAQEF AAOCAQ8AMIIBCgKCAQEArrY2Fv2S2Uq5HdDhOaSzK5Eyok2tv2Rem8DofbTQ+4F9 C9IXitWdLAo6a7dzyfB4S9hx1VZXoHMGGNd6i9NWLXsWU1Nx5pRMaKR4h1cL6bDW ITt5GzKdL93ibMxYmau+uwM3OkBb8QxLNNxr4G+oXtfavctTxWy/o6LzKWFyj0XP tta9FZW07c0MNvKiUL1v9WBcy4GK1xyvN9RtWebtVkM5/iOv0ReBTBfFxCJ1YQAG UWteu1ikWAGj1qomZGnZgAFDWJ4/hxjesG2BGMtwX5L1O8cbmbi/u/vnmZ5Xhiqx <snip> CCsGAQUFBwIBFitodHRwOi8vY2VydGlmaWNhdGVzLmdvZGFkZHkuY29tL3JlcG9z aXRvcnkvMHYGCCsGAQUFBwEBBGowaDAkBggrBgEFBQcwAYYYaHR0cDovL29jc3Au Z29kYWRkeS5jb20vMEAGCCsGAQUFBzAChjRodHRwOi8vY2VydGlmaWNhdGVzLmdv ZGFkZHkuY29tL3JlcG9zaXRvcnkvZ2RpZzIuY3J0MB8GA1UdIwQYMBaAFEDCvSeO zDSDMKIz1/tss/C0LIDOMEYGA1UdEQQ/MD2CEXZwbi5yZW1vdGVhc2EuY29tghV3 d3cudnBuLnJlbW90ZWFzYS5jb22CEXZwbi5yZW1vdGVhc2EuY29tMB0GA1UdDgQW BBT7en7YS3PH+s4z+wTRlpHr2tSzejANBgkqhkiG9w0BAQsFAAOCAQEAO9H8TLNx 2Y0rYdI6gS8n4imaSYg9Ni/9Nb6mote3J2LELG9HY9m/zUCR5yVktra9azdrNUAN 1hjBJ7kKQScLC4sZLONdqG1uTP5rbWR0yikF5wSzgyMWd03kOR+vM8q6T57vRst5 69vzBUuJc5bSu1IjyfPP19z1l+B2eBwUFbVfXLnd9bTfiG9mSmC+4V63TXFxt1Oq xkGNys3GgYuCUy6yRP2cAUV1lc2tYtaxoCL8yo72YUDDgZ3a4PyO1EvC1FOaUtgv 6QNEOYwmbJkyumdPUwko6wGOC0WLumzv5gHnhil68HYSZ/4XIlp3B9Y8yfG5pwbn 7puhazH+xgQRdg== -----END CERTIFICATE----- quit INFO: Certificate successfully imported ! Apply the newly installed SSL certificate to the interface accepting SSL connections MainASA(config)# ssl trust-point SSL-Trustpoint outside
2.1 PKCS12证书的安装与ASDM的
在CSR在ASA没有生成,例如一旦通配符证书处或,当UC证书生成时,与专用密钥一起的一身份证书也许接收作为分离文件或单个被捆绑的PKCS12文件(.p12或pfx格式)。为了安装此种证书,请遵从这些步骤。
- 身份证书、CA证书和专用密钥需要被捆绑到单个PKCS12文件。附录B提供步骤执行此与Openssl。如果已经捆绑由CA,请继续对下一步。
- 导航对Configuration>远程访问VPN > Certificate Management,并且选择身份证书。
- 单击 Add。
- 指定信任点名称。
- 点击导入从file单选按钮的身份证书。
- 输入用于的密码短语创建PKCS12文件。浏览并且选择PKCS12文件。输入证书密码短语。
- 单击添加证书。
- 导航对Configuration>远程访问VPN >Advanced,并且选择SSL设置。
- 在证书下,请选择使用终止WebVPN会话的接口。在本例中,使用外部接口。
- 单击 Edit。
- 在证书下拉列表中,最近请选择预装证书。
- 单击 Ok。
- 单击 Apply。应该为在指定的接口终止的所有WebVPN会话当前使用新证书。
2.2 PKCS12证书的安装与CLI的
MainASA(config)# crypto ca trustpoint SSL-Trustpoint-PKCS12 MainASA(config-ca-trustpoint)# enrollment terminal MainASA(config-ca-trustpoint)# exit MainASA(config)# crypto ca import SSL-Trustpoint-PKCS12 pkcs12 cisco123 Enter the base 64 encoded pkcs12. End with the word "quit" on a line by itself: -----BEGIN PKCS12----- MIISNwIBAzCCEfEGCSqGSIb3DQEHAaCCEeIEghHeMIIR2jCCEdYGCSqGSIb3DQEH BqCCEccwghHDAgEAMIIRvAYJKoZIhvcNAQcBMBsGCiqGSIb3DQEMAQMwDQQIWO3D hDti/uECAQGAghGQ9ospee/qtIbVZh2T8/Z+5dxRPBcStDTqyKy7q3+9ram5AZdG Ce9n5UCckqT4WcTjs7XZtCrUrt/LkNbmGDVhwGBmYWiOS7npgaUq0eoqiJRK+Yc7 LN0nbho6I5WfL56/JiceAMlXDLr/IqqLg2QAApGdN+F5vANsHse2GsAATewBDLt7 Jy+SKfoNvvIw9QvzCiUzMjYZBANmBdMCQ13H+YQTHitT3vn2/iCDlzRSuXcqypEV q5e3heiOO75lE8TDLWmO3PMvwIZqi8yzWesjcTt1Kd4FoJBZpB70/v9LntoIUOY7 kIQM8fHb4ga8BYfbgRmG6mkMmO1STtbSvlvTa19WTmdQdTyCa+G5PkrryRsy3Ww1 lkGFMhImmrnNADF7HmzbyslVohQZ7h09iVQY9krJogoXHjmQYxG9brf0oEwxSJDa mGDhhESh+s/WuFSV9Z9kiTXpJNZxpTASoWBQrrwmO5v8ZwbjbVNJ7sVdbwpUl6d+ NNFGR7LTqO8hpupeeJnY9eJc2yYqeAXWXQ5kLOZo6/gBEdGtEaZBgCFK9JZ3bl3A xqxGifanWPnLYG611NKuNjTgbjhnEEYI2uZzU0qxnlKa8zyXw+lzrKuJscDbkAPZ wKtw8K+p4OzXVHhuANo6MDvffNRY1KQDtyK1inoPH5ksVSE5awkVam4+HTcqEUfa 16LMana+4QRgSetJhU0LtSMaQfRJGkha4JLq2t+JrCAPz2osARlTsBOjQBNq6YNj 0uB+gGk2Gl8Q5Nln6K1fz0XBFZLWEDBLsaBRO5MAnE7wWtO0+4awGYqVdmIF1lkf XIRKAiQEr1pZ6BVPuvsCNJxaaUHzufhYI2ZAckasKBZOT8/7YK3fnAaGoBCz4cHa o2EEQhq2aYb6YTv0+wtLEWGHzsbGZEM/u54XmsXAI7g28LGJYdfWi509KyV+Ac1V KzHqXZMM2BbUQCNcTF5JIMiW+r62k42FdahfaQb0vJsIe/IwkAKG7y6DIQFs0hwg ZlPXiDbNr1k4e8L4gqupMKWg853PY+oY22rLDC7bul1CKtixIYBCvbn7dAYsI4GQ l6xXhNu3+iye0HgbUQQCfTU/mBrA0ZO+bpKjWOCfqNBuYnZ6kUEdCI7GFLH9QqtM K7YinFLoHwTWbi3MsmqVv+Z4ttVWy7XmikoO2nMynJMP6/CNV8OMxMKdC2qm+c1j s4QlKcAmFsQmNp/7SIP1wnvOc6JbUmC1O520U/r8ftTzn8C7WL62W79cLK4HOr7J sNsZnOz0JOZ/xdZT+cLTCtVevKJOQMK3vMsiOuy52FkuF3HnfrmBqDkbR7yZxELG RCEL0EDdbp8VP0+IhNlyz1q7975SscdxFSL0TvjnHGFWd14ndoqN+bLhWbdPjQWV l3W2NCI95tmHDLGgp3P0OlS+RjdCEGGMg+9cpgBfFC1JocuTDIEcUbJBY8QRUNiS /ubyUagdzUKt1ecfb9hMLP65ZNQ93VIw/NJKbIm7b4P/1Zp/lFP5eq7LkQPAxE4/ bQ4mHcnwrs+JGFkN19B8hJmmGoowH3p4IEvwZy7CThB3E1ejw5R4enqmrgvHqpQe B7odN1OFLAHdo1G5BsHExluNEsEb4OQ0pmKXidDB5B001bJsr748fZ6L/LGx8Al3 <snip> ijDqxyfQXY4zSytljSMwMtYA9hG5I79Sg7pnME1E9xq1DOoRGg8vgxlwiciKtLxp LL0ReDY31KRYv00vW0gf+tE7lST/3TKZvh0sQ/BE0V3kHnwldejMFH+dvyAA9Y1E c8O+tdafBFX4B/HP46E6heP6ZSt0xAfRW1/JF4ljNvUNVO9VtVfR2FTyWpzZFY8A GG5XPIA80WF6wKEPFHIcN8scY+Vot8kXxG96hwt2Cm5NQ2OnVzxUZQbpKsjs/2jC 3HVFe3UJFBsY9UxTLcPXYBSIG+VeqkI8hWZp6clTfNDLY2ELDylQzp1mBg2FujZa YuE0avjCJzBzZUG2umtS5mHQnwPF+XkOujEyhGMauhGxHp4nghSzrUZrBeuL9lUF 2mbpsOcgZkzxMS/rjdNXjCmPFloRBvKkZSlxHFrE/5ZopAhn4i7YtHQNrz9U4RjQ xo9cUuaJ+LNmvzE8Yg3epAMYZ16UNGQQkVQ6ME4BcjRONzW8BYgTq4+pmT1ZNq1P X87CXCPtYRpHF57eSo+tHDINCgfqYXD6e/7r2ngfiCeUeNDZ4aVl2XxvZDaUlBPP Tx5fMARqx/Z8BdDyBJDVBjdsxmQau9HLkhPvdfGlZIWdTe13CzKqXA5Ppmpjt4q9 GnCpC53m76x9Su4ZDw6aUdBcgCTMvfaqJC9gzObee2Wz+aRRwzSxu6tEWVZolPEM v0AA7po3vPeklgOnLRAwEoTTn4SdgNLWeRoxqZgkw1FC1GrotxF1so7uA+z0aMeU lw73reonsNdZvRAcVX3Y6UNFdyt70Ixvo1H4VLzWm0K/oP62C9/eqqMwZ8zoCMPt ENna7T+7Os66SCbMmXCHwyhO0tygNKZFFw/AATFyjqPMWPAxGuPNOrnB6uYCn0Hk 1BU7tF143RNIZaQQEH3XnaPvUuAA4C0FCoE3h+/tVjtfNKDvFmb6ZLZHYQmUYpyS uhdFEpoDrJH1VmI2Tik/iqYWaZ+oDqXPHQXnJhw25h9ombR4qnD+FCfwFCGtPFON o3QffZ53C95n5jPHVMyUrOxDdpwnvzCQPdj6yQm564TwLAmiz7uDlpqJZJe5QxHD nolv+4MdGSfVtBq+ykFoVCaamqeaq6sKgvAVujLXXEs4KEmIgcPqATVRG49ElndI LO1DEQyKhVoDGebAuVRBjzwAm/qxWxxFv3hrbCjpHCwEYms4Wgt/vKKRFsuWJNZf efHldwlltkd5dKwSvDocPT/7mSLtLJa94c6AfgxXy9zO+FTLDQwzxga7xC2krAN1 yHxR2KHN5YeRL+KDzu+u6dYoKAz+YAgwlW6KbeavALSuH4EYqcvg8hUEhp/ySiSc RDhuygxEovIMGfES4FP5V52lPyDhM3Dqwhn0vuYUmYnX8EXURkay44iwwI5HhqYJ lptWyYo8Bdr4WNwt5xqszGzYR6mmGeAIin7bDunsF1uBHWYF4dyKlz1tsdRNMYqQ +W5q+QjVdrjldWv/bMFOaqEjxeNWBRqjzcff3BxMnwvVxtgqxFvRh+DZxiJoiBG+ yx7x8np2AQ1r0METSSxbnZzfnKZKVvBVMkIC6Jsmt2WEVTQvoFJ8em+nemOWgTi/ hHSBzjE7RhAucnHuifOCXOgvR1SDDqyCQbiduc1QjXN0svA8Fqbea9WEH5khOPv3 pbtsL4gsfl2pv8diBQkVQgiZDi8Wb++7PR6ttiY65kVwrdsoNl1/qq+xWOd3tB4/ zoH9LEMgTy9Sz7myWrB9EOOZ8BIjL1M8oMigEYrTDOc3KbyW1S9dd7QAxiuOBaX1 8J8q1OydvTBzmqcjeSsFH4/1NHn5VnfOZnNpui4uhpOXBG+K2zJUJXm6dq1AHBlE KQFsFZpNNyave0Kk8JzQnLAPd7OUU/IksyOCGQozGBH+HSzVp1RDjrrbC342rkBj wnI+j+/1JdWBmHdJMZCfoMZFLSI9ZBqFirdii1/NRu6jh76TQor5TnNjxIyNREJC FE5FZnMFvhM900LaiUZff8WWCOfeRDMttLXb1nuxPFl+lRk+LNlPLVptWgcxzfsr JXrGiwjxybBB9oCOrACq8fGAtEs8WRxJyDH3Jjmn9i/Gl6J1mMCUF//LxAH2WQx8 Ld/qS5OM2iFCffDQjxAj0K6DEN5pUebBv1Em5SOHXvyq5nxgUh4/y84CWaKjw0MQ 5tbbLMlnc7ALIJ9LxZ97YiXSTyeM6oBXBFx6RpklkDv05mlBghSpVQiMcQ2ORIkh UVVNbSHOl9S3cb5wqxaWqAKBqb4h1uLGVbYWZf2mzLZ8U5U5ioiqoMBqNZbzTXpO EqEFuatTllQvCRbcKS3xou4MAixcYUxKwEhbZA/6hd10XSBJwe7jKBV9M6wliKab UfoJCGTAf3sY68lqrMPrbBt0eeWf1C02Sd9Mn+V/jvnil7mxYFFUpruRq3r1LeqP J5camfTtHwyL8N3Q/Zwp+zQeWZiLA8a/iAVu/hYLR1bpF2WCK0lOtJqkvVmrLVLz maZZjbJeOft5cP/lRxbKlS6Gd5dFTEKDE15c6gWUX8RKZP6Q7iaE5hnGmQjm8Ljl kXwF+ivoxOQ8a+Gg1bVTROc7tqW9e9/ewisV1mwvEB6Ny7TDS1oPUDHM84pY6dqi 1+Oio07Ked4BySwNlYy9yaJtBTZSCstfP+ApLidN7pSBvvXf1aHmeNbkPOZJ+c+t fGpUdL6V2UTXfCsOPHTC0ezA15sOHwCuPchrDIj/eGUwMS3NfS25XgcMuvnLqGVO RzcRzlZIg8G0oLYwOCuzoY0D/m9010O1ahePyA9tmVB7HRRbytLdaW7gYeEikoCv 7qtBqJFF17ntWJ3EpQHZUcVClbHIKqjNqRbDCY7so4AlIW7kSEUGWMIUDhprE8Ks NpnvPH2i9JrYrTeROyUI0tL/7SATd2P0a2lxz/zUWekeqd0bmVCsAgQNbB2XkrR3 XS0B52ol+63e8KDqS2zL2TZd3daDFidHlB8QB26tfbfOAcaObJH5/dWP8ddo8UYo Y3JqTl0malxSJhaMHmQdZIQp49utW3TcjqGllYS4HEmcqtHud0ShaUysC6239jlQ KlFWrwXTlBC5vnq5IcOMqx5zyNbfxXz28969cWoMCyU6+kRw0TyF6kF7EEv6XWca XLEwABx+tKRUKHJ673SyDMu96KMV3yZN+RtKbCjqCPVTP/3ZeIp7nCMUcj5sW9HI N34yeI/0RCLyeGsOEiBLkucikC32LI9ik5HvImVTELQ0Uz3ceFqU/PkasjJUve6S /n/1ZVUHbUk71xKR2bWZgECl7fIel7wlrbjpF3Wbk+Er0kfYcsNRHxeTDpKPSt9s u/UsyQJiyNARG4X3iYQlsTce/06Ycyri6GcLHAu58B02nj4CxolCplABZ2N79HtN /7Kh5L0pS9MwsDCHuUI8KFrTsET7TB1tIU99FdB19L64sl/shYAHbccvVWU50Wht PdLoaErrX81Tof41IxbSZbI8grUC4KfG2sdPLJKu3HVTeQ8LfllbBLxfs8ZBS+Oc v8rHlQ012kY6LsFGLehJ+/yJ/uvXORiv0ESp4EhFpFfkp+o+YcFeLUUPd+jzb62K HfSCCbLpCKyEay80dyWkHfgylqxmb9ud0oMO50aFJyqR0NjNt6pcxBRY2A6AJR5S IIC26YNwbh0GjF9qL2FiUqnNH/7GTqPnd2qmsB6FTIwSBT6d854qN7PRt+ZXgdtQ OjcYt1r9qpWDZpNFK8EzizwKiAYTsiEh2pzPt6YUpksRb6CXTkIzoG+KLsv2m3b8 OHyZ9a8z81/gnxrZlls5SCTfOSU70pHWh8VAYKVHHK+MWgQr0m/2ocV32dkRBLMy 2R6P4WfHyI/+9de1x3PtIuOiv2knpxHv2fKM6sQw45F7XkmwHxjq1YRJ6vIwPTAh MAkGBSsOAwIaBQAEFFTRETzpisHKZR+Kmen68VrTwpV7BBSQi0IesQ4n4E/bSVsd qJSzcwh0hgICBAA= -----END PKCS12----- quit INFO: Import PKCS12 operation completed successfully
!!! Link the SSL trustpoint to the appropriate interface MainASA(config)# ssl trust-point SSL-Trustpoint-PKCS12 outside
验证
请使用这些步骤为了验证第三方供应商证书和使用的成功的安装SSLVPN连接的。
通过ASDM查看已安装证书
- 导航对Configuration>远程访问VPN > Certificate Management,并且选择身份证书。
- 第三方供应商发出的身份证书应该出现。
通过CLI查看已安装证书
MainASA(config)# show crypto ca certificate
Certificate
Status: Available
Certificate Serial Number: 25cd73a984070605
Certificate Usage: General Purpose
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
cn=Go Daddy Secure Certificate Authority - G2
ou=http://certs.godaddy.com/repository/
o=GoDaddy.com\, Inc.
l=Scottsdale
st=Arizona
c=US
Subject Name:
cn=vpn.remoteasa.com
ou=Domain Control Validated
OCSP AIA:
URL: http://ocsp.godaddy.com/
CRL Distribution Points:
[1] http://crl.godaddy.com/gdig2s1-96.crl
Validity Date:
start date: 12:04:38 UTC Jul 22 2015
end date: 12:04:38 UTC Jul 22 2016
Associated Trustpoints: SSL-Trustpoint
CA Certificate
Status: Available
Certificate Serial Number: 07
Certificate Usage: General Purpose
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
cn=Go Daddy Root Certificate Authority - G2
o=GoDaddy.com\, Inc.
l=Scottsdale
st=Arizona
c=US
Subject Name:
cn=Go Daddy Secure Certificate Authority - G2
ou=http://certs.godaddy.com/repository/
o=GoDaddy.com\, Inc.
l=Scottsdale
st=Arizona
c=US
OCSP AIA:
URL: http://ocsp.godaddy.com/
CRL Distribution Points:
[1] http://crl.godaddy.com/gdroot-g2.crl
Validity Date:
start date: 07:00:00 UTC May 3 2011
end date: 07:00:00 UTC May 3 2031
Associated Trustpoints: SSL-Trustpoint
CA Certificate
Status: Available
Certificate Serial Number: 1be715
Certificate Usage: General Purpose
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
ou=Go Daddy Class 2 Certification Authority
o=The Go Daddy Group\, Inc.
c=US
Subject Name:
cn=Go Daddy Root Certificate Authority - G2
o=GoDaddy.com\, Inc.
l=Scottsdale
st=Arizona
c=US
OCSP AIA:
URL: http://ocsp.godaddy.com/
CRL Distribution Points:
[1] http://crl.godaddy.com/gdroot.crl
Validity Date:
start date: 07:00:00 UTC Jan 1 2014
end date: 07:00:00 UTC May 30 2031
Associated Trustpoints: SSL-Trustpoint-1
...(and the rest of the Sub CA certificates till the Root CA)
使用 Web 浏览器验证为 WebVPN 安装的证书
要验证 WebVPN 是否使用新证书,请完成以下步骤:
- 连接对WebVPN接口通过Web浏览器。与用于的FQDN一起请使用https://为了请求证书(例如, https://vpn.remoteasa.com)。
- 双击 WebVPN 登录页右下角显示的锁图标。预装证书信息必须出现。
- 查看内容为了验证它匹配第三方供应商已签发证书。
更新在ASA的SSL证书
- 重新生成CSR在ASA,或者与Openssl或在CA使用属性和旧有证书一样。遵从在CSR生成给的步骤。
- 提交在CA的CSR并且与CA证书一起生成在PEM格式(.pem的一新的身份证书, .cer, .crt)。一旦PKCS12 certficate也将有一新的专用密钥。
一旦GoDaddy CA,证书可以重新生成密钥与生成的新的CSR。
去GoDaddyaccount并且单击管理在SSL证书下。
点击需要的域名的视图状态。
单击设法为了给出重新生成密钥的证书选项。
展开选项键变更证书并且添加新的CSR。
保存并且继续对下一步。GoDaddy将发出根据CSR的新证书提供。
- 如ASA部分的, SSL认证安装所显示安装在一新的信任点的新证书。
常见问题
1.什么是转接身份证书的最佳方法从在不同的ASA上的一个ASA当中?
与密钥一起导出证书到PKCS12文件。
请使用此命令为了通过从原始ASA的CLI导出证书:
ASA(config)#crypto ca export <trust-point-name> pkcs12 <passphrase>
对应的ASDM配置:
请使用此命令为了通过CLI导入证书到目标ASA :
ASA(config)#crypto ca import <trust-point-name> pkcs12 <passphrase>
对应的ASDM配置:
这可能通过在ASDM的备份/恢复功能也也执行与这些步骤:
- 登陆对ASA通过ASDM并且选择Tools>备份配置。
- 备份所有配置或身份证书。
- 在目标ASA,请打开ASDM并且选择Tools>恢复配置。
2.如何生成SSL证书为了用在VPN负载均衡ASA上?
有能使用设置与SSL证书的ASA VPN负载均衡环境的多种方法。
- 请使用有负载平衡FQDN作为DN和其中每一个ASA FQDN的单个统一通信/多个域证书(UCC),因为一分开的附属的替代方案名称(SAN)。有支持这样证书的几著名的CA类似GoDaddy、Entrust,科莫多和其他。当您选择此方法时,请记住ASA当前不支持CSR的创建与多个SAN字段的。这在增强Cisco Bug ID CSCso70867描述了。在这种情况下有两个选项生成CSR
- 通过CLI或ASDM。当CSR提交对CA时,请添加在CA门户的多个SAN。
- 如此部分所显示,请使用Openssl为了生成CSR和包括多个SAN在openssl.cnf文件。
一旦CSR提交对CA和生成的证书,请导入此PEM证书对生成CSR的ASA。如上一个问题所显示,一旦完成,请导出并且导入在PKCS12格式的此证书在另一个成员ASA上。
- 请使用一通配符证书。这是较少安全和灵活方法,当与使用UC证书比较。在案件中CA不支持UC证书, CSR可以生成在CA或与FQDN在*.domain.com表的Openssl。一旦CSR提交对CA和生成的证书,请导入PKCS12证书对在集群的所有ASA。
- 请使用一分开的证书其中每一个成员ASA和为负载平衡FQDN。这是最少有效解决方案。如本文所显示,其中每一的证书个人ASA可以创建。VPN负载均衡的FQDN证书在一个ASA将创建并且导出并且导入作为在其他ASA上的一PKCS12证书。
3.证书是否需要复制从主要的ASA到在ASA故障切换对的第二ASA ?
没有需要手工复制从主要的证书到第二ASA,因为应该同步证书在ASA之间,只要有状态故障切换配置。如果在故障切换初始设置,证书在暂挂设备看不到,请发出write standby命令为了强制同步。
4.如果使用ECDSA密钥, SSL证书生成过程是否是不同的?
唯一的差异在配置方面是密钥对生成步骤, ECDSA密钥对将生成而不是RSA密钥对。步骤的其余依然是同样。CLI命令生成的ECDSA密钥是如下显示:
MainASA(config)# cry key generate ecdsa label SSL-Keypair elliptic-curve 256 INFO: The name for the keys will be: SSL-Keypair Keypair generation process begin. Please wait...
故障排除
故障排除命令
这些调试指令将收集在CLI一旦SSL认证安装失败:
debug crypto ca 255
debug crypto ca消息255
debug crypto ca处理255
常见问题
不信任证书警告,当曾经在外部接口的一有效第三方SSL证书在ASA运行9.4(1)及以后时。
解决方案:当RSA密钥对与证书一起使用时,此问题提交自己。在从9.4(1)的ASA版本向前,所有ECDSA和RSA密码器启用默认情况下,并且最强的密码器(通常ECDSA密码器)将使用协商。如果这发生, ASA提交一自签名证书而不是当前配置的基于RSA的证书。当一基于RSA的证书在接口安装和由Cisco Bug ID CSCuu02848时,跟踪到位有更改行为的增强。
建议操作:有这些CLI命令的禁用ECDSA密码器:
ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:
DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"
或者,与ASDM,请导航对Configuration>远程访问VPN >Advanced,并且选择SSL设置。在加密部分下,挑选tlsv1.2密码器版本和编辑它与自定义字符串AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5
附录
附录 A:ECDSA或RSA
ECDSA算法是椭圆曲线加密算法(ECC)的部分并且使用椭圆曲线的等式生成公共密钥,而RSA算法使用产品两填装加上一个更加小的编号生成公共密钥。这意味着用ECDSA安全级别和RSA一样可以完成,但是与更加小的密钥。这减少计算时间并且增加使用ECDSA证书的站点的连接时间。
在下一代加密算法和ASA的本文提供详细信息。
附录 B:请使用Openssl生成从身份证书、CA证书和专用密钥的一PKCS12证书
- 保证Openssl在系统安装此进程运行。默认情况下对于Mac OSX和GNU/Linux用户,这将安装。
- 对工作目录的交换机。
在Windows :默认情况下,工具在C:\Openssl\bin安装。在此位置打开一prompt命令。
在Mac OSX/Linux :打开在必要的目录的终端窗口创建PKCS12证书。
- 在上一步提及的目录中,请保存专用密钥(privateKey.key),身份证书(certificate.crt)和根CA证书一系列(CACert.crt)文件。
结合专用密钥、身份证书和根CA证书一系列到PKCS12文件。将提示您输入密码短语保护您的PKCS12证书。
strong> openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
- 转换上面PKCS12生成的证书对Base64编码的证书:
openssl base64 -in certificate.pfx -out certificate.p12
其次,请导入在最后一步生成为了用在SSL上的证书。
相关信息
反馈