Обновление SSL сертификата StartSSL на Cisco ASA

Думаю нет необходимости как получать сертификат на сайте StartSSL. Это уже было множество раз расписано.

Интересности начинают в момент когда необходимо залить ключ и сертификат на Cisco ASA.

Из особенностей:

  • необходимо сгенерировать ключ 2048 бит. Старые железки и прошивки версией ниже 9.1 не поддерживают ключи 4096 и выше
  • ключ должен быть сгенерирован не на стороне ASA

Дальше идет начинаются особенности:

из архива, который был скачан с сайта StartSSL нас интересует архив внутри с названием OtherServer.zip

из архива OtherServer.zip достаем файлы .crt и root.crt

  • сохраняем эти файлы там же, где лежит сгенерированный до этого ключ
  • далее конвертируем openssl в сертификат PKCS12:
openssl pkcs12 -export -out <subdomain>.pfx  -inkey <subdomain>.key  -in <subdomain>.crt -certfile root.crt 
( echo "-----BEGIN PKCS12-----";      openssl base64 -in <subdomain>.pfx ;      echo "-----END PKCS12-----"; ) >  <subdomain>.pkcs12
  • подключаемся к необходимой нам Cisco ASA
  • чистим уже существующие сертификаты если необходимо:
no crypto ca trustpoint <trustpoint-name>
  • следующим шагом загружаем PKCS12 сертификат на наше устройство (необходимо будет ввести пароль, который использовался при генерировании самого сертификата):
crypto ca import TrustPoint-Name pkcs12 password
Now enter the PKCS12 encoded file followed by <code>quit</code> on an empty line.
.... CERT...
quit
% The CA cert is not self-signed.
 
% Do you also want to create trustpoints for CAs higher in
% the hierarchy? [yes/no]: yes
  • последним шагом лучше всего подключиться через ASDM и переопределить сертификат, который используется для Anyconnect VPN
Dmytro Prokhorenkov avatar
About Dmytro Prokhorenkov
comments powered by Disqus