使用ASDM安装和续订SSL证书

简介

本文档介绍如何续订SSL证书并将其安装在ASA上的供应商或您自己的证书服务器上。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

此过程涉及自适应安全设备(ASA)版本8.x和自适应安全设备管理器(ASDM) 6.0(2)版或更高版本。

本文档中的步骤基于通过安装并用于 SSL VPN 访问的证书所进行的有效配置。只要当前证书未删除，此过程就不会影响您的网络。此过程逐步介绍了如何为当前证书发出新的 CSR，这些证书有发出原始根 CA 的相同的根证书。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

背景信息

本文档介绍的步骤可作为任何证书供应商或您自己的根证书服务器的指南。有时，证书供应商会提出特殊证书参数要求，但本文档旨在提供续订 SSL 证书并将其安装在使用 8.0 软件的 ASA 上所需要的一般步骤。

步骤

请完成以下步骤：

1. 在 Configuration > Device Management > Identity Certificates 下选择要续订的证书，然后单击 Add。

   图 1
   

2. 在 Add Identity Certificate 下，选中 Add a new identity certificate 单选按钮，然后从下拉菜单中选择密钥对。

   

   注意：建议不要使用，因为如果重新生成SSH密钥，证书将失效。如果没有 RSA 密钥，请完成步骤 a 和 b。如果有，则继续进行步骤 3。

   图 2
   

   1. （可选）如果还没有配置 RSA 密钥，请完成以下步骤；反之则跳到步骤 3。

      单击New...。

   2. 在 Enter new key pair name 字段中输入密钥对的名称，然后单击 Generate Now。

      图 3
      

3. 单击选择。

4. 如图 4 所示，输入相应的证书属性。完成后单击 OK。然后单击 Add Certificate。

   图 4
   

   CLI 输出：

   crypto ca trustpoint ASDM_TrustPoint0
           keypair CertKey
           id-usage ssl-ipsec 
           fqdn 5540-uwe
           subject-name CN=website address,OU=LAB,O=Cisco ystems,C=US,St=CA
           enrollment terminal
    crypto ca enroll ASDM_TrustPoint0
   

1. 在身份证书请求弹出窗口中，将证书签名请求(CSR)保存到文本文件，并单击确定。

   图 5
   

2. （可选）在ASDM中验证CSR是否处于挂起状态。

   图 6
   

3. 向在服务器上签发证书的证书管理员提交证书请求。可通过 Web 界面或电子邮件方式提交，也可直接提交到用于证书签发过程的根 CA 服务器。

4. 请完成以下步骤，以便安装续订的证书。

   1. 如图6所示，在Configuration > Device Management > Identity Certificates 下选择证书请求，然后单击Install。

   2. 在 Install Identity Certificate 窗口中，选中 Paste the certificate data in base-64 format 单选按钮，然后单击 Install Certificate。

      

      注意：或者，如果证书是以.cer文件而非基于文本的文件或电子邮件方式签发，您也可以选择Install from a file，然后浏览到PC上的相应文件，再依次单击Install ID certificate file和Install Certificate。

      图 7
      

   CLI 输出：

   crypto ca import ASDM_TrustPoint0 certificate
   WIID2DCCAsCgAwIBAgIKYb9wewAAAAAAJzANBgkqhkiG9w0BAQUFADAQMQ       	
   
   !--- output truncated
   
   wPevLEOl6TsMwng+izPQZG/f0+AnXukWHQiUPwrYw83jqNIxi5aDV/4atBbgiiBa
   6duUocUGyQ+SgegCcmmEyMSd5UtbWAc4xOMMFw==
           quit

5. 此时将出现一个窗口，确认已成功安装证书。单击OK 进行确认。

   图 8

6. 确保新证书出现在 Identity Certificates 下。

   图 9
   

7. 请完成以下步骤，以便将新证书绑定到接口上：

   1. 如图 10 所示，选择 Configuration > Device Management > Advanced > SSL Settings。

   2. 在证书下选择接口。单击 Edit。

   图 10
   

8. 从下拉菜单中选择新证书，然后单击OK，再单击Apply。

   ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1   
   ssl trust-point ASDM_TrustPoint0 outside

   图 11
   

9. 将配置保存在 ASDM 中或 CLI 上。

验证

您可以使用 CLI 界面验证新证书是否已正确安装到 ASA，如以下示例输出所示：

ASA(config)#show crypto ca certificates 
Certificate
  Status: Available
  Certificate Serial Number: 61bf707b000000000027
  Certificate Usage: General Purpose
  Public Key Type: RSA (1024 bits)
  Issuer Name: 
    cn=MS-CA
  Subject Name:
    cn=websiteaddress 
!---new certificate

    ou=LAB
    o=Cisco Systems
    st=CA
    c=US
  CRL Distribution Points: 
    [1]  http://win2k3-base1/CertEnroll/MS-CA.crl
    [2]  file://\\win2k3-base1\CertEnroll\MS-CA.crl
  Validity Date: 
    start date: 22:39:31 UTC Aug 29 2008
    end   date: 22:49:31 UTC Aug 29 2009
  Associated Trustpoints: ASDM_TrustPoint0 

CA Certificate
  Status: Available
  Certificate Serial Number: 211020a79cfd96b34ba93f3145d8e571
  Certificate Usage: Signature
  Public Key Type: RSA (2048 bits)
  Issuer Name: 
    cn=MS-CA
  Subject Name: 
    cn=MS-CA 
!---’old’ certificate

  CRL Distribution Points: 
    [1]  http://win2k3-base1/CertEnroll/MS-CA.crl
    [2]  file://\\win2k3-base1\CertEnroll\MS-CA.crl
  Validity Date: 
    start date: 00:26:08 UTC Jun 8 2006
    end   date: 00:34:01 UTC Jun 8 2011
  Associated Trustpoints: test 

Certificate
  Status: Available
  Certificate Serial Number: 611f8630000000000026
  Certificate Usage: General Purpose
  Public Key Type: RSA (1024 bits)
  Issuer Name: 
    cn=MS-CA
  Subject Name:
    cn=*.vpn1.com
  CRL Distribution Points: 
    [1]  http://win2k3-base1/CertEnroll/MS-CA.crl
    [2]  file://\\win2k3-base1\CertEnroll\MS-CA.crl
  Validity Date: 
    start date: 23:53:16 UTC Mar 10 2008
    end   date: 00:03:16 UTC Mar 11 2009
  Associated Trustpoints: test 

ASA(config)#

故障排除

（可选）在 CLI 上验证是否已对界面应用正确的证书：

ASA(config)#show running-config ssl
ssl trust-point ASDM_TrustPoint0 outside 

!--- Shows that the correct trustpoint is tied to the outside interface that terminates SSL VPN.

ASA(config)#

如何将SSL证书从一个ASA复制到另一个ASA

如果已生成可导出的密钥，则可以执行此操作。您需要将证书导出到PKCS文件。这包括导出所有相关密钥。

使用此命令通过CLI导出证书：

ASA(config)#crypto ca export 
     
     
       pkcs12 
       
     

使用以下命令在CLI中导入证书：

SA(config)#crypto ca import 
     
     
       pkcs12 
       
     

这也可以通过ASA故障切换对的ASDM完成。要执行此操作，请完成以下步骤：

1. 通过ASDM登录主ASA，然后选择Tools > Backup Configuration。

2. 您可以备份所有内容或仅备份证书。

3. 在备用上，打开ASDM并选择Tools > Restore Configuration。

相关信息

• Cisco 自适应安全设备 (ASA) 支持页
• 技术支持和文档 - Cisco Systems