отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Правильный SSL сертификат, для Cisco ASA из CLI за 5 минут не считая ожидания писем

New Member

Можно бесплатно.

Регистрируемся например на сайте StartSSL.
Просим сертификат для удостоверения сайта.
 

С Cisco ASA нужен запрос на сертификат:
Делаем:

crypto key generate vpn.mysite.net modulus 20148

crypto ca trustpoint vpn.mysite.net
 fqdn trustpoint vpn.mysite.net
 subject-name CN=vpn.mysite.net
 keypair  vpn.mysite.net
 enrollment terminal
 

crypto ca enroll vpn.mysite.net
 
Видим чтото типа:
WARNING: The certificate enrollment is configured with an fqdn
that differs from the system fqdn. If this certificate will be
used for VPN authentication this may cause connection problems.
 Would you like to continue with this enrollment? [yes/no]: 
говорим Y
потом еще раз Y
Display Certificate Request to terminal? [yes/no]: 
и еще раз Y
 
Видим запрос:
-----BEGIN CERTIFICATE REQUEST-----
тут всякое....
-----END CERTIFICATE REQUEST-----
 
Его нужно будет ввести например в специальном окошке на StartSSL.
В ответ вам сделают сертификат, который нужно будет оттуда забрать.
 
Но сначала нужно авторизовать нашу trustpoint либо корневым, либо промежуточным сертификатом того кто вам его предоставляет - например все тот же StartSSL.
Качаем их сертификат (промежуточный (intermediate) например).
Затем на Cisco делаем:
 
crypto ca authenticate vpn.mysite.net
Видим:
Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself
Тут все в принципе понятно - вводим в BASE 64, intermediate или root сертификат
-----BEGIN CERTIFICATE-----
Много всего.....
-----END CERTIFICATE-----
quit
 
Ну и последнее:
Импортируем наш сертификат (забираем его у того, кто его предоставил):
 
crypto ca import vpn.mysite.net certificate
Тут можем увидеть:
WARNING: The certificate enrollment is configured with an fqdn
that differs from the system fqdn. If this certificate will be
used for VPN authentication this may cause connection problems.
 Would you like to continue with this enrollment? [yes/no]:
Жмем Y
% The fully-qualified domain name in the certificate will be: vpn.mysite.net
 
 
Enter the base 64 encoded certificate.
End with the word "quit" on a line by itself
Ну наконец вводим наш сертификат:
 
-----BEGIN CERTIFICATE-----
Опять много букв и циферок....
-----END CERTIFICATE-----
quit
 
Все.
 
Теперь:
 
ssl trust-point vpn.mysite.net
 
Ну и проверяем:
 
sh crypto ca certificates
 
Certificate
  Status: Available
  Certificate Serial Number: 9999999777
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=StartCom Class 1 Primary Intermediate Server CA
    ou=Secure Digital Certificate Signing
    o=StartCom Ltd.
    c=IL
  Subject Name:
    ea=adminnn@mysite.net
    cn=vpn.mysite.net
    c=RU
  OCSP AIA:
    URL: http://ocsp.startssl.com/sub/class1/server/ca
  CRL Distribution Points:
    [1]  http://crl.startssl.com/crt1-crl.crl
  Validity Date:
    start date: 02:53:53 MSK Apr 1 1899
    end   date: 05:43:23 MSK Apr 1 2099
  Associated Trustpoints: vpn.mysite.net
 
CA Certificate
  Status: Available
  Certificate Serial Number: 17153d9eab3fbf
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Signature Algorithm: SHA256 with RSA Encryption
  Issuer Name:
    cn=StartCom Certification Authority
    ou=Secure Digital Certificate Signing
    o=StartCom Ltd.
    c=IL
  Subject Name:
    cn=StartCom Class 1 Primary Intermediate Server CA
    ou=Secure Digital Certificate Signing
    o=StartCom Ltd.
    c=IL
  OCSP AIA:
    URL: http://ocsp.startssl.com/ca
  CRL Distribution Points:
    [1]  http://crl.startssl.com/sfsca.crl
  Validity Date:
    start date: 23:54:17 MSK Oct 14 2007
    end   date: 23:54:17 MSK Oct 14 2022
  Associated Trustpoints: vpn.mysite.net
23
Просмотры
1
Полезный материал
0
Комментарии