De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit configuratievoorbeeld wordt beschreven hoe u een digitaal certificaat van een derde verkoper op de ASA handmatig kunt installeren voor gebruik met WebVPN. In dit voorbeeld wordt een gratis proefcertificaat gebruikt. Elke stap bevat de ASDM-toepassingsprocedure en een CLI-voorbeeld.
Dit document vereist dat u toegang hebt tot een certificeringsinstantie (CA) voor de inschrijving van certificaten. Ondersteunde CA-verkopers van derden zijn Baltimore, Cisco, Entrust, iPlanet/Netscape, Microsoft, RSA en VeriSign.
Dit document maakt gebruik van een ASA 5510 met softwareversie 7.2(1) en ASDM versie 5.2(1). De procedures in dit document werken echter op elk ASA-apparaat dat 7.x met een compatibele ASDM-versie draait.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
Voltooi de volgende stappen om een digitaal certificaat van een derde verkoper op de PIX/ASA te installeren:
Controleer of de waarden voor datum, tijd en tijdzone juist zijn.
Configuratie van WebVPN om het Nieuw Geïnstalleerde certificaat te gebruiken.
ASDM-procedure
Klik op Configuration en vervolgens op Properties.
Sluit Apparaatbeheer uit en kies Kloktijd.
Controleer of de verstrekte informatie juist is.
De waarden voor Datum, Tijd en Tijdzone moeten nauwkeurig zijn zodat een goede certificatie kan plaatsvinden.
Opdrachtlijnvoorbeeld
ciscoa |
---|
ciscoasa#show clock 11:02:20.244 UTC Thu Jul 19 2007 ciscoasa |
De gegenereerde openbare RSA-toets wordt gecombineerd met de identiteitsinformatie van de ASA om een PKCS#10-certificaataanvraag te vormen. U dient de sleutelnaam duidelijk te identificeren met het schaalpunt waarvoor u het sleutelpaar maakt.
ASDM-procedure
Klik op Configuration en vervolgens op Properties.
Vergroot Certificaat, en kies Toetsenbord.
Klik op Add (Toevoegen).
Voer de naam van de toets in, kies de modulegrootte en selecteer het gebruikte type. Opmerking: De aanbevolen grootte van een sleutelpaar is 1024.
Klik op Generate.
Het sleutelpaar dat u hebt gemaakt, moet in de kolom Naam sleutelpaar worden vermeld.
Opdrachtlijnvoorbeeld
ciscoa |
---|
ciscoasa#conf t ciscoasa(config)#crypto key generate rsa label my.verisign.key modulus 1024 ! Generates 1024 bit RSA key pair. "label" defines the name of the key pair. INFO: The name for the keys will be: my.verisign.key Keypair generation process begin. Please wait... ciscoasa(config)# |
Trustpoints zijn vereist om de certificaatinstantie (CA) te verklaren die uw ASA zal gebruiken.
ASDM-procedure
Klik op Configuration en vervolgens op Properties.
Certificaat uitvouwen, en Trustpoint uitvouwen.
Kies Configuration en klik op Add.
Configuratie van deze waarden:
Naam van het schaalpunt: De naam van het trustpunt moet relevant zijn voor het beoogde gebruik. (Dit voorbeeld gebruikt my.verising.trustpoint.)
Belangrijk paar: Selecteer het sleutelpaar dat in Stap 2 gegenereerd is. (my.verising.key)
Zorg ervoor dat handmatige inschrijving is geselecteerd.
Klik op certificaatparameters.
Het dialoogvenster certificaatparameters verschijnt.
Klik op Bewerken en stel de kenmerken in deze tabel in:
Kenmerken | Beschrijving |
---|---|
GN | Volledig gekwalificeerde domeinnaam (FQDN) die voor verbindingen met uw firewall zal worden gebruikt (bijvoorbeeld webvpn.cisco.com) |
OU | Naam van het departement |
O | Bedrijfsnaam (speciale tekens vermijden) |
C | Landnummer (2-lettercode zonder punctuatie) |
St | Staat (moet worden gespeld); bijvoorbeeld North Carolina) |
L | Stad |
U kunt deze waarden configureren door een waarde te selecteren in de vervolgkeuzelijst Attribute (Kenmerk), de waarde in te voeren en te klikken op Add>> (Toevoegen>>).
Klik op OK wanneer u de juiste waarden heeft toegevoegd.
Typ in het dialoogvenster certificaatparameters de FQDN in het veld FQDN specificeren.
Deze waarde moet gelijk zijn aan FQDN dat u gebruikt voor de gezamenlijke naam (CN).
Klik op OK.
Controleer of het juiste paar is geselecteerd en klik op de radioknop Handmatige inschrijving gebruiken.
Klik op OK en vervolgens op Toepassen.
Opdrachtlijnvoorbeeld
ciscoa |
---|
ciscoasa(config)#crypto ca trustpoint my.verisign.trustpoint ! Creates the trustpoint. ciscoasa(config-ca-trustpoint)#enrollment terminal ! Specifies cut and paste enrollment with this trustpoint. ciscoasa(config-ca-trustpoint)#subject-name CN=wepvpn.cisco.com,OU=TSWEB, O=Cisco Systems,C=US,St=North Carolina,L=Raleigh ! Defines x.500 distinguished name. ciscoasa(config-ca-trustpoint)#keypair my.verisign.key ! Specifies key pair generated in Step 3. ciscoasa(config-ca-trustpoint)#fqdn webvpn.cisco.com ! Specifies subject alternative name (DNS:). ciscoasa(config-ca-trustpoint)#exit |
ASDM-procedure
Klik op Configuration en vervolgens op Properties.
Vul Certificaat uit en kies Invoegen.
Controleer het schaalpunt dat in Stap 3 is gemaakt, en klik op Invoegen.
Er verschijnt een dialoogvenster dat een lijst geeft van het verzoek om inschrijving voor het certificaat (ook aangeduid als een aanvraag voor ondertekening van het certificaat).
Kopieer het verzoek om inschrijving van PKCS#10 naar een tekstbestand en dien de CSR vervolgens naar de juiste verkoper van de derde partij toe.
Nadat de verkoper van de derde partij de CSR heeft ontvangen, moet hij een identiteitsbewijs voor installatie afgeven.
Opdrachtlijnvoorbeeld
Apparaatnaam 1 |
---|
ciscoasa(config)#crypto ca enroll my.verisign.trustpoint ! Initiates CSR. This is the request to be ! submitted via web or email to the 3rd party vendor. % Start certificate enrollment .. % The subject name in the certificate will be: CN=webvpn.cisco.com,OU=TSWEB, O=Cisco Systems,C=US,St=North Carolina,L=Raleigh % The fully-qualified domain name in the certificate will be: webvpn.cisco.com % Include the device serial number in the subject name? [yes/no]: no ! Do not include the device's serial number in the subject. Display Certificate Request to terminal? [yes/no]: yes ! Displays the PKCS#10 enrollment request to the terminal. ! You will need to copy this from the terminal to a text ! file or web text field to submit to the 3rd party CA. Certificate Request follows: MIICHjCCAYcCAQAwgaAxEDAOBgNVBAcTB1JhbGVpZ2gxFzAVBgNVBAgTDk5vcnRo IENhcm9saW5hMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNQ2lzY28gU3lzdGVtczEO MAwGA1UECxMFVFNXRUIxGzAZBgNVBAMTEmNpc2NvYXNhLmNpc2NvLmNvbTEhMB8G CSqGSIb3DQEJAhYSY2lzY29hc2EuY2lzY28uY29tMIGfMA0GCSqGSIb3DQEBAQUA A4GNADCBiQKBgQCmM/2VteHnhihS1uOj0+hWa5KmOPpI6Y/MMWmqgBaB9M4yTx5b Fm886s8F73WsfQPynBDfBSsejDOnBpFYzKsGf7TUMQB2m2RFaqfyNxYt3oMXSNPO m1dZ0xJVnRIp9cyQp/983pm5PfDD6/ho0nTktx0i+1cEX0luBMh7oKargwIDAQAB oD0wOwYJKoZIhvcNAQkOMS4wLDALBgNVHQ8EBAMCBaAwHQYDVR0RBBYwFIISY2lz Y29hc2EuY2lzY28uY29tMA0GCSqGSIb3DQEBBAUAA4GBABrxpY0q7SeOHZf3yEJq po6wG+oZpsvpYI/HemKUlaRc783w4BMO5lulIEnHgRqAxrTbQn0B7JPIbkc2ykkm bYvRt/wiKc8FjpvPpfOkjMK0T3t+HeQ/5QlKx2Y/vrqs+Hg5SLHpbhj/Uo13yWCe 0Bzg59cYXq/vkoqZV/tBuACr ---End - This line not part of the certificate request--- Redisplay enrollment request? [yes/no]: |
Zodra u het identiteitsbewijs van de verkoper van de derde ontvangt, kunt u met deze stap verder gaan.
ASDM-procedure
Sla het identiteitsbewijs op de plaatselijke computer op.
Als u een basis64 gecodeerd certificaat kreeg dat niet als bestand kwam, moet u het Base64-bericht kopiëren en het in een tekstbestand plakken.
Hernoemen het bestand met een .cer-extensie.
Opmerking: Zodra het bestand een andere naam heeft gekregen dan de .cer extensie, dient het bestands pictogram weergegeven te worden als een certificaat.
Dubbelklik op het certificaatbestand.
Het dialoogvenster Certificaat verschijnt.
Opmerking: Als het bericht "Windows niet voldoende informatie heeft om dit certificaat te controleren" in het tabblad Algemeen verschijnt, moet u het certificaat van oorsprong CA of tussenpersoon voor CA van de derde verkoper verkrijgen voordat u doorgaat met deze procedure. Neem contact op met uw derde verkoper of CA-beheerder om de afgifte van de basiscertificaat voor CA of een tussenstation voor CA te verkrijgen.
Klik op het tabblad certificaatpad.
Klik op het CA-certificaat boven het door u afgegeven identiteitsbewijs en klik op Certificaat bekijken.
Gedetailleerde informatie over het intermediaire CA-certificaat is te vinden.
Waarschuwing: Installeer het certificaat van identiteit (apparaat) niet in deze stap. In deze stap worden alleen de wortel, de ondergeschikte wortel of het CA-certificaat toegevoegd. De identiteit (apparaat) certificaten zijn geïnstalleerd in Stap 6.
Klik op Details.
Klik op Kopie naar bestand.
Klik in de Wizard Certificaat exporteren op Volgende.
Klik in het dialoogvenster Exporteren File Format op de radioknop Base-64, gecodeerd X.509 (.CER) en klik op Volgende.
Voer de bestandsnaam en -locatie in waarop u het CA-certificaat wilt opslaan.
Klik op Volgende en vervolgens op Voltooien.
Klik op OK in het dialoogvenster Met succes exporteren.
Bladeren naar de locatie waar u het CA-certificaat hebt opgeslagen.
Open het bestand met een teksteditor, zoals Kladblok. (Klik met de rechtermuisknop op het bestand en kies Verzenden naar > Kladblok.)
Het Base64-gecodeerde bericht verschijnt evenveel als het certificaat in deze afbeelding:
Klik binnen ASDM op Configuration en vervolgens op Properties.
Vul Certificaat uit en kies Verificatie.
Klik op de radioknop Voer de certificaattekst in in in hexadecimaal of in basis64-formaat.
Plakt het basis64-geformatteerde CA-certificaat van uw teksteditor in het tekstgebied.
Klik op Verifiëren.
Klik op OK.
Opdrachtlijnvoorbeeld
ciscoa |
---|
ciscoasa(config)#crypto ca authenticate my.verisign.trustpoint ! Initiates the prompt to paste in the base64 CA root ! or intermediate certificate. Enter the base 64 encoded CA certificate. End with the word "quit" on a line by itself -----BEGIN CERTIFICATE----- MIIEwDCCBCmgAwIBAgIQY7GlzcWfeIAdoGNs+XVGezANBgkqhkiG9w0BAQUFADCB jDELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMTAwLgYDVQQL EydGb3IgVGVzdCBQdXJwb3NlcyBPbmx5LiAgTm8gYXNzdXJhbmNlcy4xMjAwBgNV BAMTKVZlcmlTaWduIFRyaWFsIFNlY3VyZSBTZXJ2ZXIgVGVzdCBSb290IENBMB4X DTA1MDIwOTAwMDAwMFoXDTE1MDIwODIzNTk1OVowgcsxCzAJBgNVBAYTAlVTMRcw FQYDVQQKEw5WZXJpU2lnbiwgSW5jLjEwMC4GA1UECxMnRm9yIFRlc3QgUHVycG9z ZXMgT25seS4gIE5vIGFzc3VyYW5jZXMuMUIwQAYDVQQLEzlUZXJtcyBvZiB1c2Ug YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL2Nwcy90ZXN0Y2EgKGMpMDUxLTAr BgNVBAMTJFZlcmlTaWduIFRyaWFsIFNlY3VyZSBTZXJ2ZXIgVGVzdCBDQTCCASIw DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALsXGt1M4HyjXwA+/NAuwElv6IJ/ DV8zgpvxuwdaMv6fNQBHSF4eKkFDcJLJVnP53ZiGcLAAwTC5ivGpGqE61BBD6Zqk d85lPl/6XxK0EdmrN7qVMmvBMGRsmOjje1op5f0nKPqVoNK2qNUB6n451P4qoyqS E0bdru16quZ+II2cGFAG1oSyRy4wvY/dpVHuZOZqYcIkK08yGotR2xA1D/OCCmZO 5RmNqLLKSVwYHhJ25EskFhgR2qCxX2EQJdnDXuTw0+4tlqj97ydk5iDoxjKfV6sb tnp3TIY6S07bTb9gxJCk4pGbcf8DOPvOfGRu1wpfUUZC8v+WKC20+sK6QMECAwEA AaOCAVwwggFYMBIGA1UdEwEB/wQIMAYBAf8CAQAwSwYDVR0gBEQwQjBABgpghkgB hvhFAQcVMDIwMAYIKwYBBQUHAgEWJGh0dHBzOi8vd3d3LnZlcmlzaWduLmNvbS9j cHMvdGVzdGNhLzAOBgNVHQ8BAf8EBAMCAQYwEQYJYIZIAYb4QgEBBAQDAgEGMB0G A1UdDgQWBBRmIo6B4DFZ3Sp/q0bFNgIGcCeHWjCBsgYDVR0jBIGqMIGnoYGSpIGP MIGMMQswCQYDVQQGEwJVUzEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xMDAuBgNV BAsTJ0ZvciBUZXN0IFB1cnBvc2VzIE9ubHkuICBObyBhc3N1cmFuY2VzLjEyMDAG A1UEAxMpVmVyaVNpZ24gVHJpYWwgU2VjdXJlIFNlcnZlciBUZXN0IFJvb3QgQ0GC ECCol67bggLewTagTia9h3MwDQYJKoZIhvcNAQEFBQADgYEASz5v8s3/SjzRvY2l Kqf234YROiL51ZS111oUZ2MANp2H4biw4itfsG5snDDlwSRmiH3BW/SU6EEzD9oi Ai9TXvRIcD5q0mB+nyK9fB2aBzOiaiHSiIWzAJeQjuqA+Q93jNew+peuj4AhdvGN n/KK/+1Yv61w3+7g6ukFMARVBNg= -----END CERTIFICATE----- quit ! Manually pasted certificate into CLI. INFO: Certificate has the following attributes: Fingerprint: 8de989db 7fcc5e3b fdde2c42 0813ef43 Do you accept this certificate? [yes/no]: yes Trustpoint 'my.verisign.trustpoint' is a subordinate CA and holds a non self-signed certificate. Trustpoint CA certificate accepted. % Certificate successfully imported ciscoasa(config)# |
ASDM-procedure
Gebruik het door de verkoper van de derde partij verstrekte identiteitsbewijs om deze stappen te ondernemen:
Klik op Configuration en vervolgens op Properties.
Vul het certificaat uit en kies vervolgens het invoercertificaat.
Klik op het radioknop Voer de certificaattekst in in in het hexadecimaal of de basisbestandsindeling, en plak het basis64-identiteitsbewijs in het tekstveld.
Klik op Importeren en vervolgens op OK.
Opdrachtlijnvoorbeeld
ciscoa |
---|
ciscoasa(config)#crypto ca import my.verisign.trustpoint certificate ! Initiates prompt to paste the base64 identity certificate ! provided by the 3rd party vendor. % The fully-qualified domain name in the certificate will be: webvpn.cisco.com Enter the base 64 encoded certificate. End with the word "quit" on a line by itself -----BEGIN CERTIFICATE----- MIIFZjCCBE6gAwIBAgIQMs/oXuu9K14eMGSf0mYjfTANBgkqhkiG9w0BAQUFADCB yzELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMTAwLgYDVQQL EydGb3IgVGVzdCBQdXJwb3NlcyBPbmx5LiAgTm8gYXNzdXJhbmNlcy4xQjBABgNV BAsTOVRlcm1zIG9mIHVzZSBhdCBodHRwczovL3d3dy52ZXJpc2lnbi5jb20vY3Bz L3Rlc3RjYSAoYykwNTEtMCsGA1UEAxMkVmVyaVNpZ24gVHJpYWwgU2VjdXJlIFNl cnZlciBUZXN0IENBMB4XDTA3MDcyNjAwMDAwMFoXDTA3MDgwOTIzNTk1OVowgbox CzAJBgNVBAYTAlVTMRcwFQYDVQQIEw5Ob3J0aCBDYXJvbGluYTEQMA4GA1UEBxQH UmFsZWlnaDEWMBQGA1UEChQNQ2lzY28gU3lzdGVtczEOMAwGA1UECxQFVFNXRUIx OjA4BgNVBAsUMVRlcm1zIG9mIHVzZSBhdCB3d3cudmVyaXNpZ24uY29tL2Nwcy90 ZXN0Y2EgKGMpMDUxHDAaBgNVBAMUE2Npc2NvYXNhMS5jaXNjby5jb20wgZ8wDQYJ KoZIhvcNAQEBBQADgY0AMIGJAoGBAL56EvorHHlsIB/VRKaRlJeJKCrQ/9kER2JQ 9UOkUP3mVPZJtYN63ZxDwACeyNb+liIdKUegJWHI0Mz3GHqcgEkKW1EcrO+6aY1R IaUE8/LiAZbA70+k/9Z/UR+v532B1nDRwbx1R9ZVhAJzA1hJTxSlEgryosBMMazg 5IcLhgSpAgMBAAGjggHXMIIB0zAJBgNVHRMEAjAAMAsGA1UdDwQEAwIFoDBDBgNV HR8EPDA6MDigNqA0hjJodHRwOi8vU1ZSU2VjdXJlLWNybC52ZXJpc2lnbi5jb20v U1ZSVHJpYWwyMDA1LmNybDBKBgNVHSAEQzBBMD8GCmCGSAGG+EUBBxUwMTAvBggr BgEFBQcCARYjaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL2Nwcy90ZXN0Y2EwHQYD VR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMB8GA1UdIwQYMBaAFGYijoHgMVnd Kn+rRsU2AgZwJ4daMHgGCCsGAQUFBwEBBGwwajAkBggrBgEFBQcwAYYYaHR0cDov L29jc3AudmVyaXNpZ24uY29tMEIGCCsGAQUFBzAChjZodHRwOi8vU1ZSU2VjdXJl LWFpYS52ZXJpc2lnbi5jb20vU1ZSVHJpYWwyMDA1LWFpYS5jZXIwbgYIKwYBBQUH AQwEYjBgoV6gXDBaMFgwVhYJaW1hZ2UvZ2lmMCEwHzAHBgUrDgMCGgQUS2u5KJYG DLvQUjibKaxLB4shBRgwJhYkaHR0cDovL2xvZ28udmVyaXNpZ24uY29tL3ZzbG9n bzEuZ2lmMA0GCSqGSIb3DQEBBQUAA4IBAQAnym4GVThPIyL/9ylDBd8N7/yW3Ov3 bIirHfHJyfPJ1znZQXyXdObpZkuA6Jyu03V2CYNnDomn4xRXQTUDD8q86ZiKyMIj XM2VCmcHSajmMMRyjpydxfk6CIdDMtMGotCavRHD9Tl2tvwgrBock/v/54o02lkB SmLzVV7crlYJEuhgqu3Pz7qNRd8N0Un6c9sbwQ1BuM99QxzIzdAo89FSewy8MAIY rtab5F+oiTc5xGy8w7NARAfNgFXihqnLgWTtA35/oWuy86bje1IWbeyqj8ePM9Td 0LdAw6kUU1PNimPttMDhcF7cuevntROksOgQPBPx5FJSqMiUZGrvju5O -----END CERTIFICATE----- quit INFO: Certificate successfully imported ciscoasa(config)# |
ASDM-procedure
Klik op Configuration, klik op Properties en kies vervolgens SSL.
Selecteer in het gebied Trustpoints de interface die wordt gebruikt om WebVPN-sessies te beëindigen. (Dit voorbeeld gebruikt de externe interface.)
Klik op Edit (Bewerken).
Het dialoogvenster SSL-trustpunt bewerken verschijnt.
Kies in de vervolgkeuzelijst Invoegen punt het vertrouwen dat u in Stap 3 hebt gemaakt.
Klik op OK en vervolgens op Toepassen.
Uw nieuw certificaat zou nu gebruikt moeten worden voor alle WebVPN sessies die op de gespecificeerde interface eindigen. Zie de sectie Verifiëren in dit document voor informatie over het controleren van een succesvolle installatie.
Opdrachtlijnvoorbeeld
ciscoa |
---|
ciscoasa(config)#ssl trust-point my.verisign.trustpoint outside ! Specifies the trustpoint that will supply the SSL ! certificate for the defined interface. ciscoasa(config)#write memory Building configuration... Cryptochecksum: 694687a1 f75042af ccc6addf 34d2cb08 8808 bytes copied in 3.630 secs (2936 bytes/sec) [OK] ciscoasa(config)# ! Save configuration. |
In dit hoofdstuk wordt beschreven hoe u kunt bevestigen dat het installeren van uw certificaat door een derde partij is geslaagd.
In dit gedeelte wordt beschreven hoe het geïnstalleerde zelfgetekende certificaat van de ASA moet worden vervangen.
Geef een verzoek om ondertekening van een certificaat uit aan Verising.
Nadat u het gevraagde certificaat van Versie hebt ontvangen, kunt u het rechtstreeks onder hetzelfde punt installeren.
Typ deze opdracht: Versiering van crypto-coderingslijst
U wordt gevraagd vragen te beantwoorden.
Voer ja in en verstuur de uitvoer naar Verkennend voor verzoek om certificaat om de aansluiting te controleren.
Typ deze opdracht zodra u het nieuwe certificaat hebt ontvangen: verzegelcertificaat voor invoer
ASDM-procedure
Klik op Configuration en klik op Properties.
Certificaat uitvouwen en Certificaten beheren.
Het CA-certificaat dat wordt gebruikt voor de verificatie van het schaalpunt en het identiteitsbewijs dat is afgegeven door de derde verkoper, moeten in het gebied van de beheerde certificaten worden vermeld.
Opdrachtlijnvoorbeeld
ciscoa |
---|
ciscoasa(config)#show crypto ca certificates ! Displays all certificates installed on the ASA. Certificate Status: Available Certificate Serial Number: 32cfe85eebbd2b5e1e30649fd266237d Certificate Usage: General Purpose Public Key Type: RSA (1024 bits) Issuer Name: cn=VeriSign Trial Secure Server Test CA ou=Terms of use at https://www.verisign.com/cps/testca (c)05 ou=For Test Purposes Only. No assurances. o=VeriSign\, Inc. c=US Subject Name: cn=webvpn.cisco.com ou=Terms of use at www.verisign.com/cps/testca (c)05 ou=TSWEB o=Cisco Systems l=Raleigh st=North Carolina c=US OCSP AIA: URL: http://ocsp.verisign.com CRL Distribution Points: [1] http://SVRSecure-crl.verisign.com/SVRTrial2005.crl Validity Date: start date: 00:00:00 UTC Jul 19 2007 end date: 23:59:59 UTC Aug 2 2007 Associated Trustpoints: my.verisign.trustpoint ! Identity certificate received from 3rd party vendor displayed above. CA Certificate Status: Available Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Issuer Name: cn=VeriSign Trial Secure Server Test Root CA ou=For Test Purposes Only. No assurances. o=VeriSign\, Inc. c=US Subject Name: cn=VeriSign Trial Secure Server Test CA ou=Terms of use at https://www.verisign.com/cps/testca (c)05 ou=For Test Purposes Only. No assurances. o=VeriSign\, Inc. c=US Validity Date: start date: 00:00:00 UTC Feb 9 2005 end date: 23:59:59 UTC Feb 8 2015 Associated Trustpoints: my.verisign.trustpoint ! CA intermediate certificate displayed above. |
Voer de volgende stappen uit om te verifiëren dat WebVPN het nieuwe certificaat gebruikt:
Connect met uw WebVPN-interface door een webbrowser. Gebruik https:// samen met de FQDN die u gebruikte om het certificaat aan te vragen (bijvoorbeeld https://webvpn.cisco.com).
Als u een van deze beveiligingswaarschuwingen ontvangt, voert u de procedure uit die met die waarschuwing overeenkomt:
De naam van het veiligheidscertificaat is ongeldig of komt niet overeen met de naam van de site
Controleer dat u de juiste FQDN/CN hebt gebruikt om met de WebVPN-interface van de ASA te verbinden. U moet de FQDN/CN gebruiken die u op het moment dat u om het identiteitsbewijs verzoekt hebt gedefinieerd. U kunt de opdracht show crypto ca certificaten trustpointname gebruiken om de certificaten FQDN/CN te controleren.
Het beveiligingscertificaat is afgegeven door een bedrijf dat u niet hebt gekozen om te vertrouwen..
Voltooi deze stappen om het basiscertificaat van de derde verkoper aan uw webbrowser te installeren:
Klik in het dialoogvenster Beveiligingswaarschuwing op Certificaat bekijken.
Klik in het dialoogvenster Certificaat op het tabblad certificaatpad.
Selecteer het CA-certificaat boven het door u afgegeven identiteitsbewijs en klik op Certificaat bekijken.
Klik op Install Certificate (Certificaat installeren).
Klik in het dialoogvenster Wizard Document installeren op Volgende.
Selecteer de optie Automatisch de certificaatwinkel selecteren op basis van het selectieknop van het certificaat, klik op Volgende en klik vervolgens op Voltooien.
Klik op Ja wanneer u de vraag installeert om het certificaat te bevestigen.
Klik in de prompt Importeren op OK en vervolgens op Ja.
Opmerking: Aangezien dit voorbeeld het Verticaal Trial certificaatmodel gebruikt, moet het Verticaal Trial CA Root-certificaat worden geïnstalleerd om verificatiefouten te voorkomen wanneer gebruikers verbinding maken.
Dubbelklik op het slotpictogram dat rechtsonder in het WebVPN-aanmeldingspagina staat.
De geïnstalleerde certificaatinformatie moet worden weergegeven.
Bekijk de inhoud om te controleren of deze overeenkomt met uw certificaat van derden.
Voltooi deze stappen om het SSL-certificaat te verlengen:
Selecteer het vertrouwen dat u moet vernieuwen.
Kies inschrijving.
Dit bericht verschijnt:
Als het opnieuw wordt geregistreerd, wordt de huidige cert vervangen door de nieuwe. Wil je doorgaan?
Kies ja.
Dit zal een nieuwe CSR genereren.
Verzend de CSR naar uw CA en voer vervolgens het nieuwe ID cert in wanneer u het terugkrijgt.
Verwijder het trust-point en pas het opnieuw toe op de externe interface.
Op de ASA, kunt u verscheidene showopdrachten in de opdrachtregel gebruiken om de status van een certificaat te verifiëren.
Toon crypto ca trustpoint— displays geconfigureerde trustpoints.
toont het crypto-certificaat—Hier worden alle certificaten weergegeven die op het systeem zijn geïnstalleerd.
Laat crypto kras zien-displays met gecached certificaat revocatielijsten (CRL).
toon crypto toets mypubkey rsa-displays alle gegenereerde cryptosleutelparen.
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Hier zijn een paar mogelijke fouten die u zou kunnen tegenkomen:
% Waarschuwing: CA cert is niet gevonden. De geïmporteerde certs zijn mogelijk niet bruikbaar.INFO: Certificaat dat met succes is geïmporteerd
CA-certificaat is niet correct gewaarmerkt. Gebruik de opdracht Strestpointname van het certificaat van show crypto ca om te controleren of het CA-certificaat is geïnstalleerd. Zoek de lijn die begint met CA certificaatcertificaat. Als het CA-certificaat is geïnstalleerd, controleert u of dit verwijst naar het juiste betrouwbaar punt.
ciscoa |
---|
ciscoasa#show crypto ca certificate my.verisign.trustpoint | b CA Certificate CA Certificate Status: Available Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Issuer Name: cn=VeriSign Trial Secure Server Test Root CA ou=For Test Purposes Only. No assurances. o=VeriSign\, Inc. c=US Subject Name: cn=VeriSign Trial Secure Server Test CA ou=Terms of use at https://www.verisign.com/cps/testca (c)05 ou=For Test Purposes Only. No assurances. o=VeriSign\, Inc. c=US Validity Date: start date: 19:00:00 EST Feb 8 2005 end date: 18:59:59 EST Feb 8 2015 Associated Trustpoints: my.verisign.trustpoint ciscoasa# |
FOUT: Kan geïmporteerd certificaat niet verwijderen of controleren
Deze fout kan voorkomen wanneer u het identiteitsbewijs installeert en niet het juiste tussenpersoon of de wortel CA certificaat heeft dat met het verbonden trustpunt voor authentiek is verklaard. U moet het juiste tussenpersoon- of basiscertificaat verwijderen en opnieuw bevestigen. Neem contact op met uw derde verkoper om te controleren of u het juiste CA-certificaat hebt ontvangen.
Het certificaat bevat geen openbare sleutel voor algemene doeleinden
Deze fout kan voorkomen wanneer u probeert om uw identiteitsbewijs te installeren op het verkeerde schaalpunt. U probeert een ongeldig identiteitsbewijs te installeren, of het sleutelpaar dat aan het Trustpoint is gekoppeld, komt niet overeen met de openbare sleutel in het identiteitsbewijs. Gebruik de opdracht show crypto ca certificaten trustpointname om te controleren of u uw identiteitsbewijs op het juiste betrouwbaar punt hebt geïnstalleerd. Kijk naar de regel met bijbehorende Trustpoints: Als het foute vertrouwen in een lijst is opgenomen, gebruikt u de in het document beschreven procedures om dit te verwijderen en opnieuw te installeren op het juiste betrouwbaar punt. Controleer ook of het paar niet verandert sinds de CSR is gegenereerd.
Fout: %PIX|ASA-3-717023 SSL is er niet in geslaagd om het apparaatcertificaat voor trustpoint in te stellen [naam van het betrouwbaar punt]
Dit bericht wordt weergegeven wanneer er een fout optreedt wanneer u een apparaatcertificaat voor het gegeven trustpunt instelt om de SSL-verbinding te authentiseren. Wanneer de SSL-verbinding tot stand komt, wordt er gepoogd het apparaatcertificaat in te stellen dat wordt gebruikt. Als er een fout optreedt, wordt er een foutmelding opgeslagen die het geconfigureerde vertrouwde punt bevat dat moet worden gebruikt om het apparaatcertificaat te laden en de reden voor de fout.
naam van het betrouwbaar punt—naam van het vertrouwde punt waarvoor SSL er niet in is geslaagd om een apparaatcertificaat in te stellen.
Aanbevolen actie: Los het probleem op dat wordt aangegeven door de reden die voor de mislukking wordt gemeld.
Zorg ervoor dat het gespecificeerde trustpoint is ingeschreven en beschikt over een apparaatcertificaat.
Controleer of het certificaat van het apparaat geldig is.
Roep desgewenst het trustpunt terug.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
09-Dec-2019 |
Eerste vrijgave |