이 문서에는 디지털 또는 ID 인증서와 SSL 인증서를 사용하여 인증하도록 Cisco VPN 3000 Series Concentrator를 구성하는 방법에 대한 단계별 지침이 포함되어 있습니다.
참고: VPN Concentrator에서는 다른 SSL 인증서를 생성하기 전에 로드 밸런싱을 비활성화해야 합니다. 이 경우 인증서가 생성되지 않기 때문입니다.
PIX/ASA 7.x와 동일한 시나리오에 대해 자세히 알아보려면 ASA에서 ASDM을 사용하여 Microsoft Windows CA에서 디지털 인증서를 얻는 방법을 참조하십시오.
Cisco IOS® 플랫폼과 동일한 시나리오에 대해 자세히 알아보려면 Cisco IOS Certificate Enrollment Using Enhanced Enrollment Commands Configuration Example을 참조하십시오.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 버전 4.7을 실행하는 Cisco VPN 3000 Concentrator를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
다음 단계를 완료하십시오.
디지털 또는 ID 인증서 요청을 선택하려면 Administration > Certificate Management > Enroll을 선택합니다.
Administration(관리) > Certificate Management(인증서 관리) > Enrollment(등록) > Identity Certificate(ID 인증서)를 선택하고 Enroll via PKCS10 Request(Manual)(PKCS10을 통해 등록(수동)을 클릭합니다.
요청한 필드를 입력한 다음 Enroll(등록)을 클릭합니다.
이 예제에서는 이러한 필드를 채웁니다.
Common Name—altiga30
Organizational Unit(조직 단위) - IPSECCERT(OU가 구성된 IPsec 그룹 이름과 일치해야 함)
조직—Cisco Systems
Locality - RTP
주/도—NorthCarolina
국가 - 미국
Fully Qualified Domain Name(정규화된 도메인 이름) - (여기서는 사용되지 않음)
키 크기—512
참고: SCEP(Simple Certificate Enrollment Protocol)를 사용하여 SSL 인증서 또는 ID 인증서를 요청하는 경우 RSA 옵션만 사용할 수 있습니다.
RSA 512비트
RSA 768비트
RSA 1024비트
RSA 2048비트
DSA 512비트
DSA 768비트
DSA 1024비트
Enroll(등록)을 클릭하면 몇 개의 창이 나타납니다. 첫 번째 창에서 인증서를 요청했음을 확인합니다.
새 브라우저 창이 열리고 PKCS 요청 파일이 표시됩니다.
CA(Certification Authority) 서버에서 요청을 강조 표시하고 요청을 제출하기 위해 CA 서버에 붙여넣습니다. Next(다음)를 클릭합니다.
Advanced request(고급 요청)를 선택하고 Next(다음)를 클릭합니다.
Submit a certificate request using a base64 encoded PKCS #10 file(base64로 인코딩된 PKCS #7 파일을 사용하여 인증서 요청 제출) 또는 Submit a base64 encoded PKCS PKCS file(base64로 인코딩된 PKCS PKCS PKCS PKCS 파일)을 사용하여 갱신 요청을 선택한 후 Next(다음)를 클릭합니다.
PKCS 파일을 잘라내어 Saved Request(저장된 요청) 섹션 아래의 텍스트 필드에 붙여넣습니다. 그런 다음 Submit(제출)을 클릭합니다.
CA 서버에서 ID 인증서를 발급합니다.
루트 및 ID 인증서를 다운로드합니다. CA 서버에서 Check on a pending certificate(보류 중인 인증서 확인)를 선택하고 Next(다음)를 클릭합니다.
Base 64 encoded를 선택하고 CA 서버에서 Download CA certificate(CA 인증서 다운로드)를 클릭합니다.
로컬 드라이브에 ID 인증서를 저장합니다.
CA 서버에서 Retrieve the CA certificate or certificate revocation list(CA 인증서 또는 인증서 해지 목록 검색)를 선택하여 루트 인증서를 가져옵니다. 그런 다음 Next(다음)를 클릭합니다.
로컬 드라이브에 루트 인증서를 저장합니다.
VPN 3000 Concentrator에 루트 및 ID 인증서를 설치합니다. 이렇게 하려면 관리 > 인증서 관리자 > 설치 > 등록을 통해 가져온 인증서 설치를 선택합니다. Enrollment Status(등록 상태)에서 Install(설치)을 클릭합니다.
워크스테이션에서 파일 업로드를 클릭합니다.
Browse(찾아보기)를 클릭하고 로컬 드라이브에 저장한 루트 인증서 파일을 선택합니다.
VPN Concentrator에 ID 인증서를 설치하려면 Install(설치)을 선택합니다. 관리 | Certificate Management(인증서 관리) 창이 확인 표시로 나타나고 Identity Certificates(ID 인증서) 테이블에 새 ID 인증서가 나타납니다.
참고: 다음 단계를 완료하여 인증서가 실패할 경우 새 인증서를 생성합니다.
Administration > Certificate Management를 선택합니다.
SSL 인증서 목록에 대한 Actions(작업) 상자에서 Delete(삭제)를 클릭합니다.
Administration(관리) > System Reboot(시스템 재부팅)를 선택합니다.
Save the active configuration at time of reboot(재부팅 시 활성 컨피그레이션 저장)를 선택하고 Now(지금)를 선택한 후 Apply(적용)를 클릭합니다. 이제 다시 로드가 완료된 후 새 인증서를 생성할 수 있습니다.
브라우저와 VPN Concentrator 간에 보안 연결을 사용하는 경우 VPN Concentrator에 SSL 인증서가 필요합니다. 또한 VPN Concentrator 및 WebVPN을 관리하는 데 사용하는 인터페이스와 WebVPN 터널을 종료하는 각 인터페이스에 SSL 인증서가 필요합니다.
VPN 3000 Concentrator 소프트웨어를 업그레이드한 후 VPN 3000 Concentrator를 재부팅할 때 인터페이스 SSL 인증서가 존재하지 않는 경우 자동으로 생성됩니다. 자체 서명 인증서는 자체 생성되므로 이 인증서는 확인할 수 없습니다. 어떤 인증 기관도 ID를 보장하지 않습니다. 그러나 이 인증서를 사용하면 브라우저를 사용하여 VPN Concentrator에 처음 연결할 수 있습니다. 다른 자체 서명 SSL 인증서로 대체하려면 다음 단계를 완료하십시오.
관리 > 인증서 관리를 선택 합니다.
SSL Certificate(SSL 인증서) 테이블에 새 인증서를 표시하고 기존 인증서를 대체하려면 Generate(생성)를 클릭합니다.
이 창에서는 VPN Concentrator에서 자동으로 생성하는 SSL 인증서에 대한 필드를 구성할 수 있습니다. 이러한 SSL 인증서는 인터페이스 및 로드 밸런싱을 위한 것입니다.
확인 가능한 SSL 인증서(즉, 인증 기관에서 발급한 인증서)를 얻으려면 ID 인증서를 얻는 데 사용하는 절차와 동일한 방법을 사용하려면 이 문서의 VPN Concentrator에 디지털 인증서 설치 섹션을 참조하십시오. 그러나 이번에는 Administration(관리) > Certificate Management(인증서 관리) > Enroll(등록) 창에서 SSL certificate(ID 인증서 대신)를 클릭합니다.
참고: Administration(관리)을 참조하십시오 | 디지털 인증서와 SSL 인증서에 대한 자세한 내용은 VPN 3000 Concentrator Reference Volume II: Administration and Monitoring Release 4.7의 인증서 관리 섹션을 참조하십시오.
이 섹션에서는 SSL 인증서를 갱신하는 방법에 대해 설명합니다.
VPN Concentrator에서 생성된 SSL 인증서용인 경우 SSL 섹션에서 Administration(관리) > Certificate Management(인증서 관리)로 이동합니다. renew (갱신) 옵션을 클릭하면 SSL 인증서가 갱신됩니다.
외부 CA 서버에서 부여한 인증서용인 경우 다음 단계를 완료합니다.
공용 인터페이스에서 만료된 인증서를 삭제하려면 SSL 인증서 아래에서 Administration(관리) > Certificate Management(인증서 관리) > Delete(삭제)를 선택합니다.
SSL 인증서의 삭제를 확인하려면 Yes를 클릭합니다.
새 SSL 인증서를 생성하려면 Administration > Certificate Management > Generate를 선택합니다.
공용 인터페이스에 대한 새 SSL 인증서가 나타납니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
07-Sep-2001 |
최초 릴리스 |