Cisco ASA sslvpn可信证书配置

61次阅读
没有评论
1. 创建trustpoint
    fqdn = 证书绑定的域名
    subject-name = 证书绑定的域名
    enrollment terminal
    无需配置keypair
    示例命令: 
    crypto ca trustpoint vpn_point
        enrollment terminal
        fqdn vpn.xx.com
        subject-name vpn.xx.com
        no ca-check
2. 证书导入
    示例命令:
    crypto ca import vpn_point pkcs12 ebe111
    Enter the base 64 encoded pkcs12. //此处提示需要导入由base64编码的证书文件
    -----BEGIN PKCS12-----
     #证书内容
    -----END PKCS12-----
    quit
    WARNING: CA certificates can be used to validate VPN connections,
    by default.  Please adjust the validation-usage of this
    trustpoint to limit the validation scope, if necessary.
    INFO: Import PKCS12 operation completed successfully.

    # 其中 vpn_point 为刚创建的trustpoint名称
    # pkcs12 指导入的证书格式
    # ebe111 为证书秘钥(私钥)

    2.1 证书制作(pfx类型)
    公网证书包含pfx或pcks12类型证书
    base64编码证书转换
    我们使用pfx证书进行转换,转换工具:openssl
    openssl base64 -in certificate.pfx > ca.base64 #后缀名无所谓
    转换完成后,ca.base64还不能正常使用,需要用文本工具打开,在首位分别添加以下标识
    -----BEGIN PKCS12-----
     #证书内容
    -----END PKCS12-----
    2.2 证书制作(非pfx)
    公网证书不包含pfx或pcks12证书
    可在线搜索或使用命令合成
    在线地址:https://www.myssl.cn/tools/merge-pfx-cert.html
    合成命令:openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt 
    # 输出文件名称:server.pfx
    # 证书私钥文件名称:server.key
    # 证书文件名称:server.crt
    # 因为各大证书机构办法的证书格式差异,此处对文件做了详细解释,但是肯定会包含证书文件,私钥文件
    # 得到pfx格式证书后,在返回base64编码证书的制作即可

    2.3 证书格式详解
    private.pem
    # 证书私钥,可更改后缀为key。如果使用的是自己上传的CSR文件,将不包含改文件。
    fullchain.crt
    # 完整的证书链,可更改后缀为pem。文件里一般有两段证书(也会有三张),一张是你的域名证书,另一张是所依赖的证    书链(可能会有两张证书链)。

    certificate.pfx
    # PFX类型证书,一般IIS和Tomcat使用,秘钥在detail.txt中。当然,你也可以根据上面的两个文件自行生成PFX    格式的证书。
    certificate.crt
    # 域名证书,里面内容同时存在于fullchain.crt文件中
    chain.crt
    # 依赖的证书链,里面内容同时存在于fullchain.crt文件中
    chain_old.crt
    # 旧版的证书链,虽然已经到期,但是可以兼容古老的设备(见于letsencrypt)。
  
  

3. 配置证书ssl 接口可信
    ssl trust-point ASDM_TrustPoint1 outside
    # point名称:ASDM_TrustPoint1
    # 在哪个端口调用: outside

admin
版权声明:本站原创文章,由 admin2022-05-25发表,共计1542字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)