Po obvyklých 2 letech.
A je potřeba ho obnovit (protože jinak to uživatelům do VPN hází nehezkou hlášku, kterou musí odkliknout).
Certifikát firewalu má totiž vztah k SSL VPN, které jsou zabezpečeny certifikátem (jednoletým) a k interní Certifikační autoritě na MS Windows Server 2008.
Ještě je potřeba poznamenat, že situace je trošičku složitější, protože Certifikační autorita nemá z jakýchsi historických důvodů instalovánu možnost (roli) automatické potvrzování žádosti síťových zařízení.
1. Generace žádosti na CISCO ASA 5510 - na příkazovém řádku ASA 9.1(4)
crypto ca trustpoint ASDM_TrustPoint3
revocation-check none
keypair 2048-key
id-usage ssl-ipsec
fqdn vpn.firma.cz
subject-name CN=vpn.firma.cz,OU=IT,O="Firma, spol. s r.o.",C=CZ
enrollment terminal
crypto ca enroll ASDM_TrustPoint3 noconfirm
nebo Generace žádosti na CISCO ASA 5510 - v ASDM verze 7.1(5)100
- CONFIGURATION
- REMOTE ACCESS VPN
- Certificate Management
- CA Certificates ... zde musí být platný certifikát interní Certifikační autority (jen pro kontrolu)
- Identity Certificates ... zde provede vygenerování žádosti o certifikát
- tlačítko ADD a v novém okně
vyberu Add a new identity certificate a následně tlačítko SELECT
a zde vyplníme atributy a postupně je přidáváme skrz tlačítko ADD- pro atribut CN zadáme: vpn.firma.cz
- pro atribut OU zadáme: IT
- pro atribut O zadáme: Firma, spol. s r.o.
- pro atribut C zadáme: CZ
Atributy je potřeba zadávat dle svých požadavků. - tlačítko ADVANCED
na záložce Certificate Parametres v kolonce FQDN zadáme: vpn.firma.cz
a klikneme na tlačítko OK - Tlačítkem ADD CERTIFICATE vygenerujeme požadavek na interní Certifikační autoritu
soubor s požadavkem uložíme do souboru
Protože Certifikační autorita je z MS Windows Serveru 2008, je nutné použít MSIE 9 nebo jiný alternativní spolupracující www prohlížeč (např. GOOGLE CHROME ve verzi 33).
Na Certifikační autoritu je nutno se přihlásit s odpovídajícími právy (obyčejný uživatel nestačí).
- Vyžádat certifikát
- Rozšířený požadavek certifikátu
- Do kolonky ULOŽENÁ ŹÁDOST (base-64)
zkopírujeme obsah požadavku na certifikát (souboru od firewallu)
- Jako template (šablonu) certifikátu nesmíme vybrat uživatele.
- Jako šablonu certifikátu musíme zvolit např. WEB SERVER.
- Odešleme ke zpracování certifikační autority a následně provedeme stažení ve formátu BASE-64
- Následně si certifikát stáhneme STÁHNOUT CERTIFIKÁT (musíme vybrat možnost kódování BASE 64)
3. INSTALACE certifikát na firewalu CISCO ASA5510
vrátíme se zpět na firewall CISCO ASA 5510
V ASDM ... opět v Identity Certificates vybereme požadavek ... rozsvítilo se tlačítko INSTALL
A zde překopíruje obsah certifikátu (odpověď od Certifikační autority) do ASA 5510.
4. Výměna certifikátu (změna certifikačního bodu) v ASDM
- CONFIGURATION
- REMOTE ACCESS VPN
- ADVANCED
- SSL SETTINGS
- v kolonce Certificates vybereme příslušný Interface a kliknene na tlačítko EDIT
a zvolíme nový certifikát.
Následně dáme APPLY a SAVE.
a je hotovo.
A ještě dodatečná poznámka na závěr:
Následně až bylo po všem jsem našel tento následující článek na stránkách CISCO.
Přestože je článek cílen na ASA 8.x s ASDM 6.x a firewall řady CISCO ASA 5500-X
je použitelný i pro starší řadu firewallu CISCO ASA 5500 a novější verze ASA 9.x a ASDM 7.x .
Článek je zde: ASA 8.x: Renew and Install the SSL Certificate with ASDM
Žádné komentáře:
Okomentovat