证书ssl数字证书

配置ASA:SSL数字证书安装和续订目录简介先决条件要求使用的组件配置CSR生成1.
配置与ASDM2.
配置与ASACLI3.
请使用Openssl生成CSRSSL在CA的证书生成SSL在GoDaddyCA的证书生成示例ASA的SSL认证安装1.
1身份证书的安装在PEM格式的与ASDM1.
2.
一PEM证书的安装与CLI的2.
1一PKCS12证书的安装与ASDM的2.
2一PKCS12证书的安装与CLI的验证通过ASDM查看已安装证书通过CLI查看已安装证书使用Web浏览器验证为WebVPN安装的证书更新在ASA的SSL证书常见问题1.
什么是转接身份证书的最佳方法从在不同的ASA上的一个ASA当中2.
如何生成SSL证书为了用在VPN负载均衡ASA上3.
证书是否需要复制从主要的ASA到在ASA故障切换对的第二ASA4.
如果使用ECDSA密钥,SSL证书生成过程是否是不同的故障排除故障排除命令常见问题附录附录A:ECDSA或RSA附录B:请使用Openssl生成从身份证书、CA证书和专用密钥的一PKCS12证书相关信息简介本文描述多种操作成功安装和使用在可适应安全工具(ASA)的一第三方委托安全套接字层SSL数字证书无客户端SSLVPN和AnyConnect客户端连接.
GoDaddy证书用于此示例.
每个步骤包含可适应安全设备管理器(ASDM)步骤和CLI等同.
先决条件要求本文要求对一委托第三方CertificateAuthority(CA)的访问证书登记的.
第三方CA供应商示例包括,但是没有被限制对,巴尔的摩、思科、Entrust、Geotrust、G、Microsoft、RSA、Thawte和Verisign.

在您开始前,请验证ASA有正确时钟时间,定日期和时间区域.
使用证书验证,推荐使用网络时间协议(NTP)服务器同步在ASA的时间.
思科ASA系列一般操作CLI配置指南,9.
1在ASA选派步骤采取为了正确地设置时间与日期.
使用的组件运行软件版本9.
4.
1和ASDM版本7.
4(1)的本文使用ASA5500-X.
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.

配置SSL协议要求SSL服务器提供客户端服务器证书为客户端进行服务器验证.
思科不推荐使用自签名证书由于可能性用户可能疏忽地配置浏览器委托从一个恶意服务器的一证书.
当连接到安全网关时,也有不便给必须的用户响应到安全警告.
推荐使用委托第三方CA为此发行SSL证书到ASA.

一第三方证书的生命周期在ASA的根本发生与这些步骤:CSR生成这是在所有X.
509数字证书生命周期的第一步.
一旦私有/公共RivestShamirAdelman(RSA)或椭圆曲线数字签名算法(ECDSA)密钥对生成(附录A选派在使用RSA或ECDSA之间的区别),Certficate署名请求(CSR)创建.
CSR基本上是包含请求的主机的公共密钥和身份信息的PKCS10格式化信息.

PKI数据格式解释不同的身份验证格式可适用对ASA和CiscoIOS.
注意:1.
检查与在需要的密钥对大小的CA.
CA/Browser论坛要求他们的成员生成的所有证书CA有最小尺寸2048个位.
2.
ASA当前不支持4096位密钥(CiscoBugIDCSCut53512)SSL服务器验证的.
然而,IKEv2支持使用在单独ASA5580,5585和5500-X平台的4096位服务器证书.
3.
在CSR的FQDN字段请使用ASA的DNS名为了防止不信任证书警告和通过严格证书检查.

您能生成与这三个方法之一的CSR:1.
配置与ASDM导航对Configuration>远程访问VPN>CertificateManagement,并且选择身份证书.
1.
单击Add.
2.
定义信任点名称在信任点名称下.
3.
单击Addanewidentitycertificate单选按钮.
4.
对于KeyPair,单击New.
5.
选择关键类型-RSA或ECDSA.
(参考的附录A为了了解他们之间的差异.
)6.
单击Enternewkeypairname单选按钮.
请显然地识别识别目的密钥对名称.
7.
选择密钥大小.
并且,如果使用RSA,请选择使用情况的一般用途.
8.
单击GenerateNow.
现在应已创建密钥对.
9.
要定义CertificateSubjectDN,请单击Select,然后配置下表中列出的属性:要配置这些值,可以从Attribute下拉列表中选择值或输入值,然后单击Add.
注意:在身份证书发出前,一些第三方供应商需要将包括的特定的属性.
如果不确定对需要的属性,请与供应商协商关于详细信息.
10.
添加相应的值之后,单击OK.
将会出现AddIdentityCertificate对话框,并显示已填入的CertificateSubjectDN.
11.
单击Advanced.
12.
在使用访问从互联网的设备的FQDN字段,请输入FQDN.
单击Ok.
13.
留下在基本限制条件分机选项的Enable(event)CA标志被检查.
没有CA标志的默认情况下证书在ASA不可能当前安装作为CA证书.
基本限制条件分机识别证书的主题是否是CA和包括此证书的最大深度有效证书路径.
通过不选定选项绕过此需求.
14.
单击OK,然后单击AddCertificate.
提示符显示为了保存CSR到在本地设备的一个文件.
15.
单击Browse,选择用于保存CSR的位置,然后使用.
txt扩展名保存文件.
注意:当文件保存与.
txt分机时,PKCS-10请求可以打开和查看与文本编辑(例如Notepad).
16.
2.
配置与ASACLI在ASDM,信任点自动地创建,当CSR生成时或,当CA证书安装时.
在CLI中,必须手动创建信任点.
!
Generates2048bitRSAkeypairwithlabelSSL-Keypair.
MainASA(config)#cryptokeygeneratersalabelSSL-Keypairmodulus2048INFO:Thenameforthekeyswillbe:SSL-KeypairKeypairgenerationprocessbegin.
Pleasewait.
.
.
!
DefinetrustpointwithattributestobeusedontheSSLcertificateMainASA(config)#cryptocatrustpointSSL-TrustpointMainASA(config-ca-trustpoint)#enrollmentterminalMainASA(config-ca-trustpoint)#fqdnvpn.
remoteasa.
comMainASA(config-ca-trustpoint)#subject-nameCN=vpn.
remoteasa.
com,O=CompanyInc,C=US,St=California,L=SanJoseMainASA(config-ca-trustpoint)#keypairSSL-KeypairMainASA(config-ca-trustpoint)#exit!
Initiatescertificatesigningrequest.
ThisistherequesttobesubmittedviaWeborEmailtothethirdpartyvendor.
MainASA(config)#cryptocaenrollSSL-TrustpointWARNING:Thecertificateenrollmentisconfiguredwithanfqdnthatdiffersfromthesystemfqdn.
IfthiscertificatewillbeusedforVPNauthenticationthismaycauseconnectionproblems.
Wouldyouliketocontinuewiththisenrollment[yes/no]:yes%Startcertificateenrollment.
.
%Thesubjectnameinthecertificatewillbe:subject-nameCN=vpn.
remoteasa.
com,O=CompanyInc,C=US,St=California,L=SanJose%Thefully-qualifieddomainnameinthecertificatewillbe:vpn.
remoteasa.
com%Includethedeviceserialnumberinthesubjectname[yes/no]:noDisplayCertificateRequesttoterminal[yes/no]:yesCertificateRequestfollows:-----BEGINCERTIFICATEREQUEST-----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-----ENDCERTIFICATEREQUEST-----Redisplayenrollmentrequest[yes/no]:no!
DisplaysthePKCS#10enrollmentrequesttotheterminal.
CopythisfromtheterminaltoatextfiletosubmittothethirdpartyCA.
3.
请使用Openssl生成CSROpenssl利用Openssl配置文件请求用于CSR生成的属性.
此进程导致CSR和专用密钥的生成.

警告:保证生成的专用密钥没有共享与任何人,这也许减弱证书的完整性.

保证Openssl在系统安装此进程运行.
默认情况下对于MacOSX和GNU/Linux用户,这将安装.
1.
对工作目录的交换机.
在Windows:默认情况下,工具在C:\Openssl\bin安装.
在此位置打开2.
一prompt命令.
在MacOSX/Linux:打开在必要的目录的终端窗口创建CSR.
创建Openssl配置文件使用与下面给的属性的文本编辑.
一旦完成,请保存文件作为openssl.
cnf在上一步提及的位置(如果版本0.
9.
8h和以上,文件是openssl.
cfg)[req]default_bits=2048default_keyfile=privatekey.
keydistinguished_name=req_distinguished_namereq_extensions=req_ext[req_distinguished_name]commonName=CommonName(eg,YOURname)commonName_default=vpn.
remoteasa.
comcountryName=CountryName(2lettercode)countryName_default=USstateOrProvinceName=StateorProvinceName(fullname)stateOrProvinceName_default=CalifornialocalityName=LocalityName(eg,city)localityName_default=SanJose0.
organizationName=OrganizationName(eg,company)0.
organizationName_default=CompanyInc[req_ext]subjectAltName=@alt_names[alt_names]DNS.
1=*.
remoteasa.
com3.
生成CSR和专用密钥用此命令:opensslreq-新节点-CSR.
csr-请配置openssl.
cnf#SampleCSRGeneration:opensslreq-new-nodes-outCSR.
csr-configopenssl.
cnfGeneratinga2048bitRSAprivatekeywritingnewprivatekeyto'privatekey.
key'-----Youareabouttobeaskedtoenterinformationthatwillbeincorporatedintoyourcertificaterequest.
WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.
TherearequiteafewfieldsbutyoucanleavesomeblankForsomefieldstherewillbeadefaultvalue,Ifyouenter'.
',thefieldwillbeleftblank.
-----CommonName(eg,YOURname)[vpn.
remoteasa.
com]:CountryName(2lettercode)[US]:StateorProvinceName(fullname)[California]:LocalityName(eg,city)[SanJose]:OrganizationName(eg,company)[CompanyInc]:提交已保存CSR给第三方CA供应商.
一旦证书发出,CA提供在ASA和CA证书将安装的身份证书.
4.
SSL在CA的证书生成下一步是从CA获得CSR签字.
CA提供或者一最近生成的PEM编码的身份证书或PKCS12证书与CA证书套件一起.
如果CSRASA的外部生成(通过Openssl或在CA),PEM编码与专用密钥的身份证书,并且CA证书将是可用的作为分离文件.
附录B提供步骤一起捆绑这些元素到单个PKCS12文件(.
p12或.
pfx格式).
在本文中,GoDaddyCA用于得为例发行身份证书到ASA.
此进程在其他CA供应商也许有所不同.

仔细阅读通过CA文档,在您将来前发生.
SSL在GoDaddyCA的证书生成示例在采购和SSL证书的初始设置相位,导航对GoDaddy帐户并且查看SSL证书后.
必须有新证书.
单击设法为了继续.
这然后启动页如在此镜像中看到提供CSR.
基于被输入的CSR,CA确定证书将发出的域名.
验证这匹配ASA的FQDN.
注意:GoDaddy和多数其他CA用SHA-2或SHA256作为默认证书签名算法.
ASA向前支持SHA-2签名算法由8.
2(5)[pre-8.
3版本]和8.
4(1)[post-8.
3版本开始](CiscoBugIDCSCti30937).
如果比8.
2(5)或8.
4(1)使用,请选择SHA-1签名算法旧版本.
一旦请求提交,GoDaddy验证请求,在发行证书前.
在证书请求验证后,GoDaddy发行证书对帐户.
证书可以为ASA的安装然后下载.
点击在页的下载为了将来发生.
选择其他作为服务器类型并且下载证书邮政编码套件.
.
zip文件包含身份证书和GoDaddyCA证书一系列套件作为两个独立的.
crt文件.
继续到SSL认证安装为了安装在ASA的这些证书.
ASA的SSL认证安装SSL证书在与ASDM或CLI的ASA可以安装用两种方式:分开导入CA和身份证书在PEM格式.
1.
或者请导入PKCS12文件(为CLI编码的base64),身份证书、CA证书和专用密钥在PKCS12文件被捆绑.
注意:如果CA提供CA证书一系列,只有安装在层级的立即半成品CA证书在信任点曾经生成CSR.
根CA证书和所有其他中间CA证书在新的信任点可以安装.
2.
1.
1身份证书的安装在PEM格式的与ASDM给的安装步骤假设,CA提供一个PEM编码的(.
pem,.
cer,.
crt)身份证书和CA证书套件.
导航对Configuration>远程访问VPN>CertificateManagement,并且选择CA证书.
1.
在文本编辑的PEM编码的证书和复制和插入第三方供应商提供的base64CA证书到文本字段.
2.
单击InstallCertificate.
3.
导航对Configuration>远程访问VPN>CertificateManagement,并且选择身份证书.
4.
选择以前创建的身份证书.
单击Install.
5.
或者请点击从file单选按钮的选项安装并且选择PEM编码的身份证书或,打开在文本编辑的PEM编码的证书并且复制和插入第三方供应商提供的base64身份证书到文本字段.

6.
单击添加证书.
7.
导航对Configuration>远程访问VPN>Advanced>SSL设置.
8.
在证书下,请选择使用终止WebVPN会话的接口.
在本例中,使用外部接口.
9.
单击Edit.
10.
在证书下拉列表中,最近请选择预装证书.
11.
单击Ok.
12.
单击Apply.
应该为在指定的接口终止的所有WebVPN会话当前使用新证书.
13.
1.
2.
PEM证书的安装与CLI的MainASA(config)#cryptocaauthenticateSSL-TrustpointEnterthebase64encodedCAcertificate.
Endwiththeword"quit"onalinebyitself-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----quitINFO:Certificatehasthefollowingattributes:Fingerprint:96c25031bc0dc35cfba723731e1b4140Doyouacceptthiscertificate[yes/no]:yesTrustpoint'SSL-Trustpoint'isasubordinateCAandholdsanonself-signedcertificate.
TrustpointCAcertificateaccepted.
%Certificatesuccessfullyimported!
!
!
-InstallingNext-levelSubCAinthePKIhierarchy.
!
!
!
-CreateaseparatetrustpointtoinstallthenextsubCAcertificate(ifpresent)inthehierarchyleadinguptotheRootCA(includingtheRootCAcertificate)MainASA(config)#cryptocatrustpointSSL-Trustpoint-1MainASA(config-ca-trustpoint)#enrollmentterminalMainASA(config-ca-trustpoint)#exitMainASA(config)#MainASA(config)#cryptocaauthenticateSSL-Trustpoint-1Enterthebase64encodedCAcertificate.
Endwiththeword"quit"onalinebyitself-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----quitINFO:Certificatehasthefollowingattributes:Fingerprint:81528b89e165204a75ad85e8c388cd68Doyouacceptthiscertificate[yes/no]:yesTrustpoint'SSL-Trustpoint-1'isasubordinateCAandholdsanonself-signedcertificate.
TrustpointCAcertificateaccepted.
%CertificatesuccessfullyimportedBGL-G-17-ASA5500-8(config)#!
!
!
-Similarlycreateadditionaltrustpoints(ofthename"SSL-Trustpoint-n",wherenisnumberthatsincrementedforeverylevelinthePKIhierarchy)toimporttheCAcertificatesleadinguptotheRootCAcertificate.
!
!
!
-Importingidentitycertificate(importitinthefirsttrustpointthatwascreatednamely"SSL-Trustpoint")MainASA(config)#cryptocaimportSSL-TrustpointcertificateWARNING:Thecertificateenrollmentisconfiguredwithanfqdnthatdiffersfromthesystemfqdn.
IfthiscertificatewillbeusedforVPNauthenticationthismaycauseconnectionproblems.
Wouldyouliketocontinuewiththisenrollment[yes/no]:yes%Thefully-qualifieddomainnameinthecertificatewillbe:vpn.
remoteasa.
comEnterthebase64encodedcertificate.
Endwiththeword"quit"onalinebyitself----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----quitINFO:Certificatesuccessfullyimported!
ApplythenewlyinstalledSSLcertificatetotheinterfaceacceptingSSLconnectionsMainASA(config)#ssltrust-pointSSL-Trustpointoutside2.
1PKCS12证书的安装与ASDM的在CSR在ASA没有生成,例如一旦通配符证书处或,当UC证书生成时,与专用密钥一起的一身份证书也许接收作为分离文件或单个被捆绑的PKCS12文件(.
p12或pfx格式).
为了安装此种证书,请遵从这些步骤.
身份证书、CA证书和专用密钥需要被捆绑到单个PKCS12文件.
附录B提供步骤执行此与Openssl.
如果已经捆绑由CA,请继续对下一步.
1.
导航对Configuration>远程访问VPN>CertificateManagement,并且选择身份证书.
2.
单击Add.
3.
指定信任点名称.
4.
点击导入从file单选按钮的身份证书.
5.
输入用于的密码短语创建PKCS12文件.
浏览并且选择PKCS12文件.
输入证书密码短语.

6.
单击添加证书.
7.
导航对Configuration>远程访问VPN>Advanced,并且选择SSL设置.
8.
在证书下,请选择使用终止WebVPN会话的接口.
在本例中,使用外部接口.
9.
单击Edit.
10.
在证书下拉列表中,最近请选择预装证书.
11.
单击Ok.
12.
单击Apply.
应该为在指定的接口终止的所有WebVPN会话当前使用新证书.
13.
2.
2PKCS12证书的安装与CLI的MainASA(config)#cryptocatrustpointSSL-Trustpoint-PKCS12MainASA(config-ca-trustpoint)#enrollmentterminalMainASA(config-ca-trustpoint)#exitMainASA(config)#cryptocaimportSSL-Trustpoint-PKCS12pkcs12cisco123Enterthebase64encodedpkcs12.
Endwiththeword"quit"onalinebyitself:-----BEGINPKCS12-----MIISNwIBAzCCEfEGCSqGSIb3DQEHAaCCEeIEghHeMIIR2jCCEdYGCSqGSIb3DQEHBqCCEccwghHDAgEAMIIRvAYJKoZIhvcNAQcBMBsGCiqGSIb3DQEMAQMwDQQIWO3DhDti/uECAQGAghGQ9ospee/qtIbVZh2T8/Z+5dxRPBcStDTqyKy7q3+9ram5AZdGCe9n5UCckqT4WcTjs7XZtCrUrt/LkNbmGDVhwGBmYWiOS7npgaUq0eoqiJRK+Yc7LN0nbho6I5WfL56/JiceAMlXDLr/IqqLg2QAApGdN+F5vANsHse2GsAATewBDLt7Jy+SKfoNvvIw9QvzCiUzMjYZBANmBdMCQ13H+YQTHitT3vn2/iCDlzRSuXcqypEVq5e3heiOO75lE8TDLWmO3PMvwIZqi8yzWesjcTt1Kd4FoJBZpB70/v9LntoIUOY7kIQM8fHb4ga8BYfbgRmG6mkMmO1STtbSvlvTa19WTmdQdTyCa+G5PkrryRsy3Ww1lkGFMhImmrnNADF7HmzbyslVohQZ7h09iVQY9krJogoXHjmQYxG9brf0oEwxSJDamGDhhESh+s/WuFSV9Z9kiTXpJNZxpTASoWBQrrwmO5v8ZwbjbVNJ7sVdbwpUl6d+NNFGR7LTqO8hpupeeJnY9eJc2yYqeAXWXQ5kLOZo6/gBEdGtEaZBgCFK9JZ3bl3AxqxGifanWPnLYG611NKuNjTgbjhnEEYI2uZzU0qxnlKa8zyXw+lzrKuJscDbkAPZwKtw8K+p4OzXVHhuANo6MDvffNRY1KQDtyK1inoPH5ksVSE5awkVam4+HTcqEUfa16LMana+4QRgSetJhU0LtSMaQfRJGkha4JLq2t+JrCAPz2osARlTsBOjQBNq6YNj0uB+gGk2Gl8Q5Nln6K1fz0XBFZLWEDBLsaBRO5MAnE7wWtO0+4awGYqVdmIF1lkfXIRKAiQEr1pZ6BVPuvsCNJxaaUHzufhYI2ZAckasKBZOT8/7YK3fnAaGoBCz4cHao2EEQhq2aYb6YTv0+wtLEWGHzsbGZEM/u54XmsXAI7g28LGJYdfWi509KyV+Ac1VKzHqXZMM2BbUQCNcTF5JIMiW+r62k42FdahfaQb0vJsIe/IwkAKG7y6DIQFs0hwgZlPXiDbNr1k4e8L4gqupMKWg853PY+oY22rLDC7bul1CKtixIYBCvbn7dAYsI4GQl6xXhNu3+iye0HgbUQQCfTU/mBrA0ZO+bpKjWOCfqNBuYnZ6kUEdCI7GFLH9QqtMK7YinFLoHwTWbi3MsmqVv+Z4ttVWy7XmikoO2nMynJMP6/CNV8OMxMKdC2qm+c1js4QlKcAmFsQmNp/7SIP1wnvOc6JbUmC1O520U/r8ftTzn8C7WL62W79cLK4HOr7JsNsZnOz0JOZ/xdZT+cLTCtVevKJOQMK3vMsiOuy52FkuF3HnfrmBqDkbR7yZxELGRCEL0EDdbp8VP0+IhNlyz1q7975SscdxFSL0TvjnHGFWd14ndoqN+bLhWbdPjQWVl3W2NCI95tmHDLGgp3P0OlS+RjdCEGGMg+9cpgBfFC1JocuTDIEcUbJBY8QRUNiS/ubyUagdzUKt1ecfb9hMLP65ZNQ93VIw/NJKbIm7b4P/1Zp/lFP5eq7LkQPAxE4/bQ4mHcnwrs+JGFkN19B8hJmmGoowH3p4IEvwZy7CThB3E1ejw5R4enqmrgvHqpQeB7odN1OFLAHdo1G5BsHExluNEsEb4OQ0pmKXidDB5B001bJsr748fZ6L/LGx8Al3ijDqxyfQXY4zSytljSMwMtYA9hG5I79Sg7pnME1E9xq1DOoRGg8vgxlwiciKtLxpLL0ReDY31KRYv00vW0gf+tE7lST/3TKZvh0sQ/BE0V3kHnwldejMFH+dvyAA9Y1Ec8O+tdafBFX4B/HP46E6heP6ZSt0xAfRW1/JF4ljNvUNVO9VtVfR2FTyWpzZFY8AGG5XPIA80WF6wKEPFHIcN8scY+Vot8kXxG96hwt2Cm5NQ2OnVzxUZQbpKsjs/2jC3HVFe3UJFBsY9UxTLcPXYBSIG+VeqkI8hWZp6clTfNDLY2ELDylQzp1mBg2FujZaYuE0avjCJzBzZUG2umtS5mHQnwPF+XkOujEyhGMauhGxHp4nghSzrUZrBeuL9lUF2mbpsOcgZkzxMS/rjdNXjCmPFloRBvKkZSlxHFrE/5ZopAhn4i7YtHQNrz9U4RjQxo9cUuaJ+LNmvzE8Yg3epAMYZ16UNGQQkVQ6ME4BcjRONzW8BYgTq4+pmT1ZNq1PX87CXCPtYRpHF57eSo+tHDINCgfqYXD6e/7r2ngfiCeUeNDZ4aVl2XxvZDaUlBPPTx5fMARqx/Z8BdDyBJDVBjdsxmQau9HLkhPvdfGlZIWdTe13CzKqXA5Ppmpjt4q9GnCpC53m76x9Su4ZDw6aUdBcgCTMvfaqJC9gzObee2Wz+aRRwzSxu6tEWVZolPEMv0AA7po3vPeklgOnLRAwEoTTn4SdgNLWeRoxqZgkw1FC1GrotxF1so7uA+z0aMeUlw73reonsNdZvRAcVX3Y6UNFdyt70Ixvo1H4VLzWm0K/oP62C9/eqqMwZ8zoCMPtENna7T+7Os66SCbMmXCHwyhO0tygNKZFFw/AATFyjqPMWPAxGuPNOrnB6uYCn0Hk1BU7tF143RNIZaQQEH3XnaPvUuAA4C0FCoE3h+/tVjtfNKDvFmb6ZLZHYQmUYpySuhdFEpoDrJH1VmI2Tik/iqYWaZ+oDqXPHQXnJhw25h9ombR4qnD+FCfwFCGtPFONo3QffZ53C95n5jPHVMyUrOxDdpwnvzCQPdj6yQm564TwLAmiz7uDlpqJZJe5QxHDnolv+4MdGSfVtBq+ykFoVCaamqeaq6sKgvAVujLXXEs4KEmIgcPqATVRG49ElndILO1DEQyKhVoDGebAuVRBjzwAm/qxWxxFv3hrbCjpHCwEYms4Wgt/vKKRFsuWJNZfefHldwlltkd5dKwSvDocPT/7mSLtLJa94c6AfgxXy9zO+FTLDQwzxga7xC2krAN1yHxR2KHN5YeRL+KDzu+u6dYoKAz+YAgwlW6KbeavALSuH4EYqcvg8hUEhp/ySiScRDhuygxEovIMGfES4FP5V52lPyDhM3Dqwhn0vuYUmYnX8EXURkay44iwwI5HhqYJlptWyYo8Bdr4WNwt5xqszGzYR6mmGeAIin7bDunsF1uBHWYF4dyKlz1tsdRNMYqQ+W5q+QjVdrjldWv/bMFOaqEjxeNWBRqjzcff3BxMnwvVxtgqxFvRh+DZxiJoiBG+yx7x8np2AQ1r0METSSxbnZzfnKZKVvBVMkIC6Jsmt2WEVTQvoFJ8em+nemOWgTi/hHSBzjE7RhAucnHuifOCXOgvR1SDDqyCQbiduc1QjXN0svA8Fqbea9WEH5khOPv3pbtsL4gsfl2pv8diBQkVQgiZDi8Wb++7PR6ttiY65kVwrdsoNl1/qq+xWOd3tB4/zoH9LEMgTy9Sz7myWrB9EOOZ8BIjL1M8oMigEYrTDOc3KbyW1S9dd7QAxiuOBaX18J8q1OydvTBzmqcjeSsFH4/1NHn5VnfOZnNpui4uhpOXBG+K2zJUJXm6dq1AHBlEKQFsFZpNNyave0Kk8JzQnLAPd7OUU/IksyOCGQozGBH+HSzVp1RDjrrbC342rkBjwnI+j+/1JdWBmHdJMZCfoMZFLSI9ZBqFirdii1/NRu6jh76TQor5TnNjxIyNREJCFE5FZnMFvhM900LaiUZff8WWCOfeRDMttLXb1nuxPFl+lRk+LNlPLVptWgcxzfsrJXrGiwjxybBB9oCOrACq8fGAtEs8WRxJyDH3Jjmn9i/Gl6J1mMCUF//LxAH2WQx8Ld/qS5OM2iFCffDQjxAj0K6DEN5pUebBv1Em5SOHXvyq5nxgUh4/y84CWaKjw0MQ5tbbLMlnc7ALIJ9LxZ97YiXSTyeM6oBXBFx6RpklkDv05mlBghSpVQiMcQ2ORIkhUVVNbSHOl9S3cb5wqxaWqAKBqb4h1uLGVbYWZf2mzLZ8U5U5ioiqoMBqNZbzTXpOEqEFuatTllQvCRbcKS3xou4MAixcYUxKwEhbZA/6hd10XSBJwe7jKBV9M6wliKabUfoJCGTAf3sY68lqrMPrbBt0eeWf1C02Sd9Mn+V/jvnil7mxYFFUpruRq3r1LeqPJ5camfTtHwyL8N3Q/Zwp+zQeWZiLA8a/iAVu/hYLR1bpF2WCK0lOtJqkvVmrLVLzmaZZjbJeOft5cP/lRxbKlS6Gd5dFTEKDE15c6gWUX8RKZP6Q7iaE5hnGmQjm8LjlkXwF+ivoxOQ8a+Gg1bVTROc7tqW9e9/ewisV1mwvEB6Ny7TDS1oPUDHM84pY6dqi1+Oio07Ked4BySwNlYy9yaJtBTZSCstfP+ApLidN7pSBvvXf1aHmeNbkPOZJ+c+tfGpUdL6V2UTXfCsOPHTC0ezA15sOHwCuPchrDIj/eGUwMS3NfS25XgcMuvnLqGVORzcRzlZIg8G0oLYwOCuzoY0D/m9010O1ahePyA9tmVB7HRRbytLdaW7gYeEikoCv7qtBqJFF17ntWJ3EpQHZUcVClbHIKqjNqRbDCY7so4AlIW7kSEUGWMIUDhprE8KsNpnvPH2i9JrYrTeROyUI0tL/7SATd2P0a2lxz/zUWekeqd0bmVCsAgQNbB2XkrR3XS0B52ol+63e8KDqS2zL2TZd3daDFidHlB8QB26tfbfOAcaObJH5/dWP8ddo8UYoY3JqTl0malxSJhaMHmQdZIQp49utW3TcjqGllYS4HEmcqtHud0ShaUysC6239jlQKlFWrwXTlBC5vnq5IcOMqx5zyNbfxXz28969cWoMCyU6+kRw0TyF6kF7EEv6XWcaXLEwABx+tKRUKHJ673SyDMu96KMV3yZN+RtKbCjqCPVTP/3ZeIp7nCMUcj5sW9HIN34yeI/0RCLyeGsOEiBLkucikC32LI9ik5HvImVTELQ0Uz3ceFqU/PkasjJUve6S/n/1ZVUHbUk71xKR2bWZgECl7fIel7wlrbjpF3Wbk+Er0kfYcsNRHxeTDpKPSt9su/UsyQJiyNARG4X3iYQlsTce/06Ycyri6GcLHAu58B02nj4CxolCplABZ2N79HtN/7Kh5L0pS9MwsDCHuUI8KFrTsET7TB1tIU99FdB19L64sl/shYAHbccvVWU50WhtPdLoaErrX81Tof41IxbSZbI8grUC4KfG2sdPLJKu3HVTeQ8LfllbBLxfs8ZBS+Ocv8rHlQ012kY6LsFGLehJ+/yJ/uvXORiv0ESp4EhFpFfkp+o+YcFeLUUPd+jzb62KHfSCCbLpCKyEay80dyWkHfgylqxmb9ud0oMO50aFJyqR0NjNt6pcxBRY2A6AJR5SIIC26YNwbh0GjF9qL2FiUqnNH/7GTqPnd2qmsB6FTIwSBT6d854qN7PRt+ZXgdtQOjcYt1r9qpWDZpNFK8EzizwKiAYTsiEh2pzPt6YUpksRb6CXTkIzoG+KLsv2m3b8OHyZ9a8z81/gnxrZlls5SCTfOSU70pHWh8VAYKVHHK+MWgQr0m/2ocV32dkRBLMy2R6P4WfHyI/+9de1x3PtIuOiv2knpxHv2fKM6sQw45F7XkmwHxjq1YRJ6vIwPTAhMAkGBSsOAwIaBQAEFFTRETzpisHKZR+Kmen68VrTwpV7BBSQi0IesQ4n4E/bSVsdqJSzcwh0hgICBAA=-----ENDPKCS12-----quitINFO:ImportPKCS12operationcompletedsuccessfully!
!
!
LinktheSSLtrustpointtotheappropriateinterfaceMainASA(config)#ssltrust-pointSSL-Trustpoint-PKCS12outside验证请使用这些步骤为了验证第三方供应商证书和使用的成功的安装SSLVPN连接的.

通过ASDM查看已安装证书导航对Configuration>远程访问VPN>CertificateManagement,并且选择身份证书.
1.
第三方供应商发出的身份证书应该出现.
2.
通过CLI查看已安装证书MainASA(config)#showcryptocacertificateCertificateStatus:AvailableCertificateSerialNumber:25cd73a984070605CertificateUsage:GeneralPurposePublicKeyType:RSA(2048bits)SignatureAlgorithm:SHA256withRSAEncryptionIssuerName:cn=GoDaddySecureCertificateAuthority-G2ou=http://certs.
godaddy.
com/repository/o=GoDaddy.
com\,Inc.
l=Scottsdalest=Arizonac=USSubjectName:cn=vpn.
remoteasa.
comou=DomainControlValidatedOCSPAIA:URL:http://ocsp.
godaddy.
com/CRLDistributionPoints:[1]http://crl.
godaddy.
com/gdig2s1-96.
crlValidityDate:startdate:12:04:38UTCJul222015enddate:12:04:38UTCJul222016AssociatedTrustpoints:SSL-TrustpointCACertificateStatus:AvailableCertificateSerialNumber:07CertificateUsage:GeneralPurposePublicKeyType:RSA(2048bits)SignatureAlgorithm:SHA256withRSAEncryptionIssuerName:cn=GoDaddyRootCertificateAuthority-G2o=GoDaddy.
com\,Inc.
l=Scottsdalest=Arizonac=USSubjectName:cn=GoDaddySecureCertificateAuthority-G2ou=http://certs.
godaddy.
com/repository/o=GoDaddy.
com\,Inc.
l=Scottsdalest=Arizonac=USOCSPAIA:URL:http://ocsp.
godaddy.
com/CRLDistributionPoints:[1]http://crl.
godaddy.
com/gdroot-g2.
crlValidityDate:startdate:07:00:00UTCMay32011enddate:07:00:00UTCMay32031AssociatedTrustpoints:SSL-TrustpointCACertificateStatus:AvailableCertificateSerialNumber:1be715CertificateUsage:GeneralPurposePublicKeyType:RSA(2048bits)SignatureAlgorithm:SHA256withRSAEncryptionIssuerName:ou=GoDaddyClass2CertificationAuthorityo=TheGoDaddyGroup\,Inc.
c=USSubjectName:cn=GoDaddyRootCertificateAuthority-G2o=GoDaddy.
com\,Inc.
l=Scottsdalest=Arizonac=USOCSPAIA:URL:http://ocsp.
godaddy.
com/CRLDistributionPoints:[1]http://crl.
godaddy.
com/gdroot.
crlValidityDate:startdate:07:00:00UTCJan12014enddate:07:00:00UTCMay302031AssociatedTrustpoints:SSL-Trustpoint-1.
.
.
(andtherestoftheSubCAcertificatestilltheRootCA)使用Web浏览器验证为WebVPN安装的证书要验证WebVPN是否使用新证书,请完成以下步骤:连接对WebVPN接口通过Web浏览器.
与用于的FQDN一起请使用https://为了请求证书(例如1.
,https://vpn.
remoteasa.
com).
双击WebVPN登录页右下角显示的锁图标.
预装证书信息必须出现.
2.
查看内容为了验证它匹配第三方供应商已签发证书.
3.
更新在ASA的SSL证书重新生成CSR在ASA,或者与Openssl或在CA使用属性和旧有证书一样.
遵从在CSR生成给的步骤.
1.
提交在CA的CSR并且与CA证书一起生成在PEM格式(.
pem的一新的身份证书,.
cer,.
crt).
一旦PKCS12certficate也将有一新的专用密钥.
一旦GoDaddyCA,证书可以重新生成密钥与生成的新的CSR.
去GoDaddyaccount并且单击管理在SSL证书下.
2.
点击需要的域名的视图状态.
单击设法为了给出重新生成密钥的证书选项.
展开选项键变更证书并且添加新的CSR.
保存并且继续对下一步.
GoDaddy将发出根据CSR的新证书提供.
如ASA部分的,SSL认证安装所显示安装在一新的信任点的新证书.
3.
常见问题1.
什么是转接身份证书的最佳方法从在不同的ASA上的一个ASA当中与密钥一起导出证书到PKCS12文件.
请使用此命令为了通过从原始ASA的CLI导出证书:ASA(config)#cryptocaexportpkcs12对应的ASDM配置:请使用此命令为了通过CLI导入证书到目标ASA:ASA(config)#cryptocaimportpkcs12对应的ASDM配置:这可能通过在ASDM的备份/恢复功能也也执行与这些步骤:登陆对ASA通过ASDM并且选择Tools>备份配置.
1.
备份所有配置或身份证书.
2.
在目标ASA,请打开ASDM并且选择Tools>恢复配置.
3.
2.
如何生成SSL证书为了用在VPN负载均衡ASA上有能使用设置与SSL证书的ASAVPN负载均衡环境的多种方法.
请使用有负载平衡FQDN作为DN和其中每一个ASAFQDN的单个统一通信/多个域证书(UCC),因为一分开的附属的替代方案名称(SAN).
有支持这样证书的几著名的CA类似GoDaddy、Entrust,科莫多和其他.
当您选择此方法时,请记住ASA当前不支持CSR的创建与多个SAN字段的.
这在增强CiscoBugIDCSCso70867描述了.
在这种情况下有两个选项生成CSR通过CLI或ASDM.
当CSR提交对CA时,请添加在CA门户的多个SAN.
如此部分所显示,请使用Openssl为了生成CSR和包括多个SAN在openssl.
cnf文件.
一旦CSR提交对CA和生成的证书,请导入此PEM证书对生成CSR的ASA.
如上一个问题所显示,一旦完成,请导出并且导入在PKCS12格式的此证书在另一个成员ASA上.
1.
请使用一通配符证书.
这是较少安全和灵活方法,当与使用UC证书比较.
在案件中CA不支持UC证书,CSR可以生成在CA或与FQDN在*.
domain.
com表的Openssl.
一旦CSR提交对CA和生成的证书,请导入PKCS12证书对在集群的所有ASA.
2.
请使用一分开的证书其中每一个成员ASA和为负载平衡FQDN.
这是最少有效解决方案.
如本文所显示,其中每一的证书个人ASA可以创建.
VPN负载均衡的FQDN证书在一个ASA将创建并且导出并且导入作为在其他ASA上的一PKCS12证书.
3.
3.
证书是否需要复制从主要的ASA到在ASA故障切换对的第二ASA没有需要手工复制从主要的证书到第二ASA,因为应该同步证书在ASA之间,只要有状态故障切换配置.
如果在故障切换初始设置,证书在暂挂设备看不到,请发出writestandby命令为了强制同步.
4.
如果使用ECDSA密钥,SSL证书生成过程是否是不同的唯一的差异在配置方面是密钥对生成步骤,ECDSA密钥对将生成而不是RSA密钥对.
步骤的其余依然是同样.
CLI命令生成的ECDSA密钥是如下显示:MainASA(config)#crykeygenerateecdsalabelSSL-Keypairelliptic-curve256INFO:Thenameforthekeyswillbe:SSL-KeypairKeypairgenerationprocessbegin.
Pleasewait.
.
.
故障排除故障排除命令这些调试指令将收集在CLI一旦SSL认证安装失败:debugcryptoca255debugcryptoca消息255debugcryptoca处理255常见问题不信任证书警告,当曾经在外部接口的一有效第三方SSL证书在ASA运行9.
4(1)及以后时.

解决方案:当RSA密钥对与证书一起使用时,此问题提交自己.
在从9.
4(1)的ASA版本向前,所有ECDSA和RSA密码器启用默认情况下,并且最强的密码器(通常ECDSA密码器)将使用协商.
如果这发生,ASA提交一自签名证书而不是当前配置的基于RSA的证书.
当一基于RSA的证书在接口安装和由CiscoBugIDCSCuu02848时,跟踪到位有更改行为的增强.
建议操作:有这些CLI命令的禁用ECDSA密码器:MainASA(config)#crykeygenerateecdsalabelSSL-Keypairelliptic-curve256INFO:Thenameforthekeyswillbe:SSL-KeypairKeypairgenerationprocessbegin.
Pleasewait.
.
.
或者,与ASDM,请导航对Configuration>远程访问VPN>Advanced,并且选择SSL设置.
在加密部分下,挑选tlsv1.
2密码器版本和编辑它与自定义字符串AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5附录附录A:ECDSA或RSAECDSA算法是椭圆曲线加密算法(ECC)的部分并且使用椭圆曲线的等式生成公共密钥,而RSA算法使用产品两填装加上一个更加小的编号生成公共密钥.
这意味着用ECDSA安全级别和RSA一样可以完成,但是与更加小的密钥.
这减少计算时间并且增加使用ECDSA证书的站点的连接时间.