1. 创建trustpoint
fqdn = 证书绑定的域名
subject-name = 证书绑定的域名
enrollment terminal
无需配置keypair
示例命令:
crypto ca trustpoint vpn_point
enrollment terminal
fqdn vpn.xx.com
subject-name vpn.xx.com
no ca-check
2. 证书导入
示例命令:
crypto ca import vpn_point pkcs12 ebe111
Enter the base 64 encoded pkcs12. //此处提示需要导入由base64编码的证书文件
-----BEGIN PKCS12-----
#证书内容
-----END PKCS12-----
quit
WARNING: CA certificates can be used to validate VPN connections,
by default. Please adjust the validation-usage of this
trustpoint to limit the validation scope, if necessary.
INFO: Import PKCS12 operation completed successfully.
# 其中 vpn_point 为刚创建的trustpoint名称
# pkcs12 指导入的证书格式
# ebe111 为证书秘钥(私钥)
2.1 证书制作(pfx类型)
公网证书包含pfx或pcks12类型证书
base64编码证书转换
我们使用pfx证书进行转换,转换工具:openssl
openssl base64 -in certificate.pfx > ca.base64 #后缀名无所谓
转换完成后,ca.base64还不能正常使用,需要用文本工具打开,在首位分别添加以下标识
-----BEGIN PKCS12-----
#证书内容
-----END PKCS12-----
2.2 证书制作(非pfx)
公网证书不包含pfx或pcks12证书
可在线搜索或使用命令合成
在线地址:https://www.myssl.cn/tools/merge-pfx-cert.html
合成命令:openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
# 输出文件名称:server.pfx
# 证书私钥文件名称:server.key
# 证书文件名称:server.crt
# 因为各大证书机构办法的证书格式差异,此处对文件做了详细解释,但是肯定会包含证书文件,私钥文件
# 得到pfx格式证书后,在返回base64编码证书的制作即可
2.3 证书格式详解
private.pem
# 证书私钥,可更改后缀为key。如果使用的是自己上传的CSR文件,将不包含改文件。
fullchain.crt
# 完整的证书链,可更改后缀为pem。文件里一般有两段证书(也会有三张),一张是你的域名证书,另一张是所依赖的证 书链(可能会有两张证书链)。
certificate.pfx
# PFX类型证书,一般IIS和Tomcat使用,秘钥在detail.txt中。当然,你也可以根据上面的两个文件自行生成PFX 格式的证书。
certificate.crt
# 域名证书,里面内容同时存在于fullchain.crt文件中
chain.crt
# 依赖的证书链,里面内容同时存在于fullchain.crt文件中
chain_old.crt
# 旧版的证书链,虽然已经到期,但是可以兼容古老的设备(见于letsencrypt)。
3. 配置证书ssl 接口可信
ssl trust-point ASDM_TrustPoint1 outside
# point名称:ASDM_TrustPoint1
# 在哪个端口调用: outside
Cisco ASA sslvpn可信证书配置
版权声明:本站原创文章,由 admin2022-05-25发表,共计1542字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)
站内搜索
A Wbesite
阅读量
8478
评论数
3
热门文章
