数字证书是搭建SSLVPN中不可或缺的一步,即使安全设备可以生成自己签署的证书,但仍强烈建议使用外部CA(ASA设备使用指南)
环境:
CA证书服务器
ASA
保证两者可以传输文件
1.获得CA证书
ASDM:Configuration > Device Management > CA Certificates
点击ADD
输入信任点名称,选择Install from a file,Browse,导入本地CA证书,最后Install Certificate
导入成功
2.请求证书
进入Identity Cerificates
点击ADD
输入之前创建的信任点名称,勾选Add a new identity certificate,选择之前注册的密钥对(如果有的话),没有则点击NEW
可以为密钥对修改名称,选择General purpose,类型选择RSA
然后key pair选择创建好的密钥对,DN一般默认
其中, Generate self-signed certificate为创建自签名证书
要取消勾选Enable CA flag in basic contraints extension
然后会提示你要将证书申请保存在哪里
得到证书申请文件
提交申请,可以选择复制文件信息或者直接申请
申请完之后保存在本地,导入到ASA中
然后自行将申请传输到CA服务器上,并签署证书
提交证书申请之后,证书应一直处于待定状态,直到CA管理员批准为止。实体证书通过批准之后,选择待定证书请求并点击INSTALL
然后可以选择直接安装本地的证书文件或粘贴编码的证书,Install Certificate将证书安装到设备中
3.为SSLVPN连接应用实体证书
CLI:ASA(config)#ssl trust-point 信任点名称 接口名
选择应用的外部接口并EDIT
选择证书并确认
完成