Думаю нет необходимости как получать сертификат на сайте StartSSL. Это уже было множество раз расписано.
Интересности начинают в момент когда необходимо залить ключ и сертификат на Cisco ASA.
Из особенностей:
- необходимо сгенерировать ключ 2048 бит. Старые железки и прошивки версией ниже 9.1 не поддерживают ключи 4096 и выше
- ключ должен быть сгенерирован не на стороне ASA
Дальше идет начинаются особенности:
из архива, который был скачан с сайта StartSSL нас интересует архив внутри с названием OtherServer.zip
из архива OtherServer.zip достаем файлы
- сохраняем эти файлы там же, где лежит сгенерированный до этого ключ
- далее конвертируем openssl в сертификат PKCS12:
openssl pkcs12 -export -out <subdomain>.pfx -inkey <subdomain>.key -in <subdomain>.crt -certfile root.crt ( echo "-----BEGIN PKCS12-----"; openssl base64 -in <subdomain>.pfx ; echo "-----END PKCS12-----"; ) > <subdomain>.pkcs12
- подключаемся к необходимой нам Cisco ASA
- чистим уже существующие сертификаты если необходимо:
no crypto ca trustpoint <trustpoint-name>
- следующим шагом загружаем PKCS12 сертификат на наше устройство (необходимо будет ввести пароль, который использовался при генерировании самого сертификата):
crypto ca import TrustPoint-Name pkcs12 password Now enter the PKCS12 encoded file followed by <code>quit</code> on an empty line. .... CERT... quit % The CA cert is not self-signed. % Do you also want to create trustpoints for CAs higher in % the hierarchy? [yes/no]: yes
- последним шагом лучше всего подключиться через ASDM и переопределить сертификат, который используется для Anyconnect VPN