配置ASASSL数字证书安装和续订-Cisco.PDFVIP

目录 简介 先决条件 要求 使用的组件 规则 配置 CSR生成 1. 使用ASDM，配置 2. 使用ASA Line命令，配置 3. 使用生成的Openssl CSR SSL在CA的证书生成 SSL在GoDaddy CA的证书生成示例 ASA的SSL认证安装 1.1身份证书的安装在PEM格式的使用ASDM 1.2. 一PEM证书的安装使用CLI 2.1一PKCS12证书的安装使用ASDM 2.2一PKCS12证书的安装使用CLI 验证 通过ASDM查看已安装证书 通过CLI查看已安装证书 使用 Web 浏览器验证为 WebVPN 安装的证书 更新在ASA的SSL证书 常见问题 1. 什么是转接身份证书的最佳方法从在不同的ASA上的一个ASA当中？ 2. 如何生成SSL证书为了用在VPN负载均衡ASA上？ 3. 证书是否需要复制从主要的ASA到在ASA故障切换对的第二ASA ？ 4. 如果使用ECDSA密钥， SSL证书生成过程是否是不同的？ 故障排除 故障排除命令 常见问题 附录 附录 A：ECDSA或RSA 附录 B：使用生成的Openssl从身份证书、CA证书和专用密钥的一PKCS12证书 参考 简介 本文描述多种操作成功安装和使用在可适应安全工具(ASA)的第三方委托安全套接字层SSL数字证书 无客户端SSLVPN和AnyConnect客户端连接。GoDaddy证书用于此示例。每个步骤包含可适应安 全设备管理器(ASDM)步骤和命令行界面(CLI)等同。 先决条件 要求 本文要求对一委托第三方Certificate Authority (CA)的访问证书登记的。第三方CA供应商示例包括 ，但是没有被限制对，巴尔的摩、思科、Entrust、Geotrust、Godaddy、Microsoft、RSA、 Thawte和Verisign。 在开始前，请验证ASA有正确时钟时间，日期和时间区域。使用证书验证，推荐使用网络时间协议 (NTP)服务器同步在ASA的时间。本文在ASA选派步骤采取正确地设置时间与日期。 使用的组件 运行软件版本9.4.1和ASDM版本7.4(1)的本文使用ASA 5500-X。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果网络环境实际，请确保发出的所有命令潜在影响了解。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 配置 SSL协议要求SSL服务器提供客户端服务器证书为客户端进行服务器验证。思科不推荐使用自签名 证书由于可能性用户可能疏忽地配置浏览器委托从一个恶意服务器的一证书。当连接对安全网关时 ，也有不便给必须的用户响应到安全警告。它recommened使用委托第三方CA为此发行SSL证书到 ASA。 使用以下步骤，第三方证书的生命周期在ASA的根本发生： CSR生成 这是在所有X.509数字证书生命周期的第一步。一旦私有/公共Rivest Shamir Adelman (RSA)或椭圆 曲线数字签名算法(ECDSA)密钥对生成(附录A选派使用RSA或ECDSA之间的差异)， Certficate署名 请求(CSR)创建。CSR基本上是包含请求的主机的公共密钥和身份信息的PKCS10格式化信息。 PKI数据格式解释不同的身份验证格式可适用对ASA和IOS。 注意 ： 1.请检查与在需要的密钥对大小的CA。CA/Browser论坛manadated他们的成员生成的 所有certifcates CA有最小尺寸2048个位。 2. ASA当前不支持4096位密钥(CSCut53512) SSL服务器验证的。然而IKEv2支持使用在ASA 5580，单独5585和5500-X的4096位服务器证书平台。 3.在CSR的FQDN字段请使用ASA的DNS名防止不信任证书警告和通过严格证书检查。 使用以下三个方法之一，您能生成CSR ： 1. 使用ASDM，配置 1. 导航对Configuration远程访问VPN Certificate Management ，并且选择身份证书。 2.单击添加。   3. 定义信任点名称在信任点名称下。 4. 选择添加一个新的身份证书单选按钮。 5.对于 Key Pair，单击 New。   6. 选