Правильный SSL сертификат на Cisco ASA

Регистрируемся на например StartSSL.
Просим сертификат для удостоверения сайта.
С ASA нужен запрос на сертификат:
Делаем:

crypto key generate vpn.mysite.net modulus 20148

 crypto ca trustpoint vpn.mysite.net
 fqdn trustpoint vpn.mysite.net
 subject-name CN=vpn.mysite.net
 keypair  vpn.mysite.net
 enrollment terminal


crypto ca enroll vpn.mysite.net

Видим чтото типа:
WARNING: The certificate enrollment is configured with an fqdn
that differs from the system fqdn. If this certificate will be
used for VPN authentication this may cause connection problems.
 Would you like to continue with this enrollment? [yes/no]: 
говорим Y
потом еще раз Y
Display Certificate Request to terminal? [yes/no]: 
и еще раз Y

Видим запрос:
-----BEGIN CERTIFICATE REQUEST-----
тут всякое....
-----END CERTIFICATE REQUEST-----

Его нужно будет ввести например в специальном окошке на StartSSL.
В ответ вам сделают сертификат, который нужно будет оттуда забрать.

Но сначала нужно авторизовать нашу trustpoint либо корневым, либо промежуточным сертификатом того кто вам его предоставляет - например все тот же StartSSL.
Качаем с него их сертификат (промежуточный например).
Затем на Cisco делаем:

crypto ca authenticate vpn.mysite.net
Видим:
Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself
Тут все в принципе понятно - вводим в BASE 64, intermediate или root сертификат
-----BEGIN CERTIFICATE-----
Много всего.....
-----END CERTIFICATE-----
quit

Ну и последнее:
Импортируем наш сертификат (забираем его у того, кто его предоставил):

crypto ca import vpn.mysite.net certificate
Тут можем увидеть:
WARNING: The certificate enrollment is configured with an fqdn
that differs from the system fqdn. If this certificate will be
used for VPN authentication this may cause connection problems.
 Would you like to continue with this enrollment? [yes/no]:
Жмем Y
% The fully-qualified domain name in the certificate will be: vpn.mysite.net


Enter the base 64 encoded certificate.
End with the word "quit" on a line by itself
Ну наконец вводим наш сертификат:

-----BEGIN CERTIFICATE-----
Опять много букв и циферок....
-----END CERTIFICATE-----
quit

Все.

Теперь вешаем эту trustpoint на SSL:

ssl trust-point vpn.mysite.net

Ну и проверяем:

sh crypto ca certificates

Certificate
  Status: Available
  Certificate Serial Number: xxxxxxxxxxx
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=StartCom Class 1 Primary Intermediate Server CA
    ou=Secure Digital Certificate Signing
    o=StartCom Ltd.
    c=IL
  Subject Name:
    ea=adminnn@mysite.net
    cn=vpn.mysite.net
    c=RU
  OCSP AIA:
    URL: http://ocsp.startssl.com/sub/class1/server/ca
  CRL Distribution Points:
    [1]  http://crl.startssl.com/crt1-crl.crl
  Validity Date:
    start date: 02:53:53 MSK Apr 1 1899
    end   date: 05:43:23 MSK Apr 1 2099
  Associated Trustpoints: vpn.mysite.net

CA Certificate
  Status: Available
  Certificate Serial Number: 17153d9eab3fbf
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=StartCom Certification Authority
    ou=Secure Digital Certificate Signing
    o=StartCom Ltd.
    c=IL
  Subject Name:
    cn=StartCom Class 1 Primary Intermediate Server CA
    ou=Secure Digital Certificate Signing
    o=StartCom Ltd.
    c=IL
  OCSP AIA:
    URL: http://ocsp.startssl.com/ca
  CRL Distribution Points:
    [1]  http://crl.startssl.com/sfsca.crl
  Validity Date:
    start date: 23:54:17 MSK Oct 14 2007
    end   date: 23:54:17 MSK Oct 14 2022
  Associated Trustpoints: vpn.mysite.net

Комментарии

Отправить комментарий

Популярные сообщения