Dit document bevat stapsgewijze instructies voor het configureren van Cisco VPN 3000 Series Concentrators voor verificatie met behulp van digitale of identiteitscertificaten en SSL-certificaten.
Opmerking: in de VPN Concentrator moet taakverdeling worden uitgeschakeld voordat u een ander SSL-certificaat genereert, omdat dit de certificaatgeneratie verhindert.
Raadpleeg Een digitaal certificaat verkrijgen van een Microsoft Windows-certificeringsinstantie met ASDM op een ASA voor meer informatie over hetzelfde scenario met PIX/ASA 7.x.
Raadpleeg het configuratievoorbeeld van Cisco IOS-certificaatinschrijving met uitgebreide inschrijvingsopdrachten om meer informatie over hetzelfde scenario met Cisco IOS®-platforms te vinden.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de Cisco VPN 3000 Concentrator die versie 4.7 uitvoert.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Voer de volgende stappen uit:
Kies Beheer > Certificaatbeheer > Aanmelden om de aanvraag voor het digitale of identiteitscertificaat te selecteren.
Kies Beheer > Certificaatbeheer > Inschrijving > Identiteitscertificaat en klik op Inschrijven via PKCS10 Aanvraag (Handmatig).
Vul de gevraagde velden in en klik vervolgens op Inschrijven.
Deze velden worden in dit voorbeeld ingevuld.
Gebruikelijke naam—altiga30
Organisatorische eenheid—IPSECCERT (de OE moet overeenkomen met de geconfigureerde IPsec-groepsnaam)
Organisatie—Cisco Systems
Lokaliteit—RTP
Staat/provincie—North Carolina
Land—VS
Volledig gekwalificeerde domeinnaam—(hier niet gebruikt)
Sleutelgrootte—512
Opmerking: Als u een SSL-certificaat of een identiteitscertificaat aanvraagt met Simple Certificate Enrollment Protocol (SCEP), zijn dit de enige beschikbare RSA-opties.
RSA 512-bits
RSA 768 bits
RSA 1024-bits
RSA 2048-bits
DSA 512-bits
DSA 768 bits
DSA 1024-bits
Nadat u op Inschrijven klikt, worden er verschillende vensters weergegeven. In het eerste venster wordt bevestigd dat u een certificaat hebt aangevraagd.
Een nieuw browservenster opent en toont ook uw PKCS-aanvraagbestand.
Markeer op uw CA-server (Certification Authority) het verzoek en plak het in uw CA-server om uw verzoek in te dienen. Klik op Next (Volgende).
Selecteer Geavanceerde aanvraag en klik op Volgende.
Selecteer Een certificaataanvraag indienen met behulp van een base64-gecodeerd PKCS #10-bestand of een verlengingsaanvraag met behulp van een base64-gecodeerd PKCS #7-bestand, en klik vervolgens op Volgende.
Knipt en plak uw PKCS-bestand in het tekstveld onder het gedeelte Opgeslagen aanvraag. Klik vervolgens op Indienen.
Geef het identiteitscertificaat af op de CA-server.
Download de root- en identiteitscertificaten. Selecteer op uw CA-server de optie Controleren op een hangend certificaat en klik op Volgende.
Selecteer Base 64 encoded en klik op CA-certificaat downloaden op de CA-server.
Sla het identiteitscertificaat op uw lokale station op.
Selecteer op de CA-server de optie CA-certificaat of de lijst met certificaatintrekking ophalen om het basiscertificaat te verkrijgen. Klik vervolgens op Volgende.
Sla het basiscertificaat op uw lokale station op.
Installeer de root- en identiteitscertificaten op de VPN 3000 Concentrator. Om dit te doen, selecteert u Beheer > Certificaatbeheer > Installatie > Installatie certificaat dat is verkregen via inschrijving. Klik onder Inschrijvingsstatus op Installeren.
Klik op Uploadbestand vanaf werkstation.
Klik op Bladeren en selecteer het basiscertificaatbestand dat u hebt opgeslagen op uw lokale station.
Selecteer Installeren om het identiteitscertificaat in de VPN Concentrator te installeren. De Administratie | Het venster Certificaatbeheer wordt weergegeven als een bevestiging en uw nieuwe identiteitscertificaat wordt weergegeven in de tabel Identiteitscertificaten.
Opmerking: Voltooi deze stappen om een nieuw certificaat te genereren als het certificaat mislukt.
Selecteer Beheer > Certificaatbeheer.
Klik op Verwijderen in het vak Handelingen voor de lijst met SSL-certificaten.
Selecteer Beheer > System Reboot.
Selecteer De actieve configuratie opslaan op het moment dat u de computer opnieuw opstart, kies Nu en klik op Toepassen. U kunt nu een nieuw certificaat genereren nadat het opnieuw laden is voltooid.
Als u een beveiligde verbinding tussen uw browser en de VPN Concentrator gebruikt, vereist de VPN Concentrator een SSL-certificaat. U hebt ook een SSL-certificaat nodig op de interface die u gebruikt om de VPN Concentrator en voor WebVPN te beheren, en voor elke interface die WebVPN-tunnels beëindigt.
De interface SSL-certificaten worden, indien deze niet bestaan, automatisch gegenereerd wanneer de VPN 3000 Concentrator opnieuw wordt opgestart nadat u de VPN 3000 Concentrator-software hebt bijgewerkt. Omdat een zelfondertekend certificaat zelf is gegenereerd, kan dit certificaat niet worden geverifieerd. Geen enkele certificeringsinstantie heeft haar identiteit gegarandeerd. Maar dit certificaat staat u toe om eerste contact te maken met de VPN Concentrator met behulp van de browser. Als u het wilt vervangen door een ander zelfondertekend SSL-certificaat, moet u de volgende stappen uitvoeren:
Kies Beheer > Certificaatbeheer.
Klik op Generate om het nieuwe certificaat in de SSL-certificaattabel weer te geven en de bestaande te vervangen.
In dit venster kunt u velden voor SSL-certificaten configureren die automatisch door VPN Concentrator worden gegenereerd. Deze SSL-certificaten zijn voor interfaces en voor taakverdeling.
Als u een verifieerbaar SSL-certificaat wilt verkrijgen (d.w.z. een certificaat dat is afgegeven door een certificaatinstantie), raadpleegt u het gedeelte Install Digital Certificates in het gedeelte VPN Concentrator van dit document om dezelfde procedure te gebruiken die u gebruikt om identiteitscertificaten te verkrijgen. Maar deze keer klikt u op het venster Beheer > Certificaatbeheer > Inschrijven op SSL-certificaat (in plaats van Identity Certificate).
Opmerking: Raadpleeg de administratie | Certificaatbeheer sectie van VPN 3000 Concentrator Reference Volume II: Administration and Monitoring release 4.7 voor volledige informatie over digitale certificaten en SSL-certificaten.
In dit deel wordt beschreven hoe de SSL-certificaten moeten worden vernieuwd:
Als dit voor het SSL-certificaat is dat door de VPN Concentrator is gegenereerd, ga dan naar Beheer > Certificaatbeheer op de SSL-sectie. Klik op de optie Vernieuwen en dat verlengt het SSL-certificaat.
Als dit een certificaat betreft dat is afgegeven door een externe CA-server, moet u de volgende stappen uitvoeren:
Kies Beheer > Certificaatbeheer > Onder SSL Certificaten verwijderen om de verlopen certificaten uit de openbare interface te verwijderen.
Klik op Ja om de verwijdering van het SSL-certificaat te bevestigen.
Kies Beheer > Certificaatbeheer > Genereren om het nieuwe SSL-certificaat te genereren.
Het nieuwe SSL-certificaat voor de openbare interface wordt weergegeven.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
07-Sep-2001 |
Eerste vrijgave |