2009-10-22

ASA: change https/ASDM certificate

по-умолчанию, аса использует самоподписанный сертификат при подключении по https/asdm. краткая инструкция как это исправить.

1) получаем законный сертификат
а) добавляем центр сертификации:


(config)# crypto ca trustpoint CorpCA
(config-ca-trustpoint)# enrollment url http://172.26.26.50/certsrv/mscep/mscep.dll


b) подтверждаем сертификат CorpCA


crypto ca authenticate CorpCA
Do you accept this certificate? [yes/no]: yes


c) указываем атрибуты для своего будущего сертификата


(config)# crypto ca trustpoint CorpCA
(config-ca-trustpoint)# subject-name cn=CORP-ASA


d) запрашиваем сертификат


(config)# crypto ca enroll CorpCA
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Re-enter password:

% The subject name in the certificate will be: cn=CORP-ASA

% The fully-qualified domain name in the certificate will be: CORP-ASA

% Include the device serial number in the subject name? [yes/no]: no

Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority


2) привязываем свой сертификат к интерфейсу


(config)# ssl trust-point ASA inside

Немає коментарів: