Правильный SSL сертификат на Cisco ASA
Регистрируемся на например StartSSL.
Просим сертификат для удостоверения сайта.
С ASA нужен запрос на сертификат:
Делаем:
crypto key generate vpn.mysite.net modulus 20148
crypto ca trustpoint vpn.mysite.net
fqdn trustpoint vpn.mysite.net
subject-name CN=vpn.mysite.net
keypair vpn.mysite.net
enrollment terminal
Просим сертификат для удостоверения сайта.
С ASA нужен запрос на сертификат:
Делаем:
crypto key generate vpn.mysite.net modulus 20148
crypto ca trustpoint vpn.mysite.net
fqdn trustpoint vpn.mysite.net
subject-name CN=vpn.mysite.net
keypair vpn.mysite.net
enrollment terminal
crypto ca enroll vpn.mysite.net
Видим чтото типа:
WARNING: The certificate enrollment is configured with an fqdn
that differs from the system fqdn. If this certificate will be
used for VPN authentication this may cause connection problems.
Would you like to continue with this enrollment? [yes/no]:
говорим Y
потом еще раз Y
Display Certificate Request to terminal? [yes/no]:
и еще раз Y
Видим запрос:
-----BEGIN CERTIFICATE REQUEST-----
тут всякое....
-----END CERTIFICATE REQUEST-----
Его нужно будет ввести например в специальном окошке на StartSSL.
В ответ вам сделают сертификат, который нужно будет оттуда забрать.
Но сначала нужно авторизовать нашу trustpoint либо корневым, либо промежуточным сертификатом того кто вам его предоставляет - например все тот же StartSSL.
Качаем с него их сертификат (промежуточный например).
Затем на Cisco делаем:
crypto ca authenticate vpn.mysite.net
Видим:
Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself
Тут все в принципе понятно - вводим в BASE 64, intermediate или root сертификат
-----BEGIN CERTIFICATE-----
Много всего.....
-----END CERTIFICATE-----
quit
Ну и последнее:
Импортируем наш сертификат (забираем его у того, кто его предоставил):
crypto ca import vpn.mysite.net certificate
Тут можем увидеть:
WARNING: The certificate enrollment is configured with an fqdn
that differs from the system fqdn. If this certificate will be
used for VPN authentication this may cause connection problems.
Would you like to continue with this enrollment? [yes/no]:
Жмем Y
% The fully-qualified domain name in the certificate will be: vpn.mysite.net
Enter the base 64 encoded certificate.
End with the word "quit" on a line by itself
Ну наконец вводим наш сертификат:
-----BEGIN CERTIFICATE-----
Опять много букв и циферок....
-----END CERTIFICATE-----
quit
Все.
Теперь вешаем эту trustpoint на SSL:
ssl trust-point vpn.mysite.net
Ну и проверяем:
sh crypto ca certificates
Certificate
Status: Available
Certificate Serial Number: xxxxxxxxxxx
Certificate Usage: General Purpose
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
cn=StartCom Class 1 Primary Intermediate Server CA
ou=Secure Digital Certificate Signing
o=StartCom Ltd.
c=IL
Subject Name:
ea=adminnn@mysite.net
cn=vpn.mysite.net
c=RU
OCSP AIA:
URL: http://ocsp.startssl.com/sub/class1/server/ca
CRL Distribution Points:
[1] http://crl.startssl.com/crt1-crl.crl
Validity Date:
start date: 02:53:53 MSK Apr 1 1899
end date: 05:43:23 MSK Apr 1 2099
Associated Trustpoints: vpn.mysite.net
CA Certificate
Status: Available
Certificate Serial Number: 17153d9eab3fbf
Certificate Usage: General Purpose
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA256 with RSA Encryption
Issuer Name:
cn=StartCom Certification Authority
ou=Secure Digital Certificate Signing
o=StartCom Ltd.
c=IL
Subject Name:
cn=StartCom Class 1 Primary Intermediate Server CA
ou=Secure Digital Certificate Signing
o=StartCom Ltd.
c=IL
OCSP AIA:
URL: http://ocsp.startssl.com/ca
CRL Distribution Points:
[1] http://crl.startssl.com/sfsca.crl
Validity Date:
start date: 23:54:17 MSK Oct 14 2007
end date: 23:54:17 MSK Oct 14 2022
Associated Trustpoints: vpn.mysite.net
Комментарии
Отправить комментарий