Мне нужно приобрести и установить сертификат SSL на моем брандмауэре Cisco ASA. Это позволит моим пользователям VPN подключаться к моему ASA без получения ошибки сертификата от ненадежного самоназначенного SSL-сертификата, который в настоящее время находится на ASA.
У меня был хороший опыт использования сертификатов SSL, которые продает GoDaddy. Однако я обеспокоен их использованием. На своих веб-серверах я также должен установить «промежуточный пакет сертификатов» GoDaddy. На ASA не думаю, что смогу что-то подобное сделать. Я не совсем понимаю, что делает «промежуточный пакет сертификатов», но, очевидно, это важно.
Итак, мой вопрос: могу ли я использовать SSL-сертификат GoDaddy на ASA, чтобы мои пользователи не получали никаких предупреждений или ошибок при подключении к сайту, использующему ненадежный SSL-сертификат. Мне нужно, чтобы это было как можно проще для моих конечных пользователей, а предупреждающие сообщения всегда пугают :)
Спасибо!
У меня есть групповой сертификат GoDaddy (стандартный, а не роскошный), который я использую на моем ASA 5510 для доступа к ASDM. ASDM говорит, что «параметры SSL влияют как на ASDM, так и на доступ SSL VPN», поэтому, если это работает для меня, то должно быть для вас и SSL VPN.
У меня возникли проблемы с импортом версии моей цепочки сертификатов .pem. Использование * .pfx (например, IIS) работало нормально.
Я взял gd_intermediate.crt из https://certs.godaddy.com/Repository.go
В ASDM, Конфигурация, Управление устройствами, Управление сертификатами, Сертификаты CA; нажмите «Добавить», не меняйте значения по умолчанию, установите из файла, найдите файл gd_intermediate.crt.
Я также попытался загрузить gd_bundle.crt, который используют некоторые из наших сертификатов, и это не удалось, но поскольку gd_intermediate.crt работал и это то, что использует мой подстановочный знак, я больше не тестировал.
После загрузки промежуточного сертификата перейдите в раздел «Сертификаты удостоверения» (прямо под сертификатами CA) и сделайте что-то подобное (добавьте, импортируйте из файла, выберите файл .pfx и введите пароль для файла .pfx.
Теперь, когда сертификат успешно установлен, укажите, на каких интерфейсах он будет использоваться. Это в разделе «Управление устройством», «Дополнительно», «Настройки SSL». Щелкните интерфейс (возможно, снаружи), щелкните «Изменить» и выберите имя точки доверия сертификата, добавленного на последнем шаге. Нажмите "ОК", "Применить" и попробуйте перейти на свой https: //vpn.url и посмотрите, загружает ли он правильный сертификат.
Пошаговое руководство по установке сертификата Wild Card от Godaddy.com на устройства серии Cisco ASA 5500.
Скачать промежуточный сертификат из https://certs.godaddy.com/anonymous/repository.seam.
Перейти к https://www.sslshopper.com/ssl-converter.html и конвертируйте ваш файл .cer в .pfx (формат Pkcs12), введя urdomain.cer и intermedicate.cer и закрытый ключ (примите во внимание, что вы загрузили свои закрытые ключи и сертификаты, например. * .urdomain.com) с gogaddy.com
После создания файла .pfx в ASDM, Конфигурация, Управление устройствами, Управление сертификатами, Сертификаты CA; нажмите «Добавить», не меняйте настройки по умолчанию, установите из файла, найдите файл gd_intermediate.crt. После загрузки промежуточного сертификата перейдите в раздел «Сертификаты удостоверения» (прямо под сертификатами CA) и сделайте что-то подобное (добавьте, импортируйте из файла, выберите файл .pfx и введите пароль для файла .pfx.
Вот и все, и примените на внешнем интерфейсе, чтобы использовать этот сертификат.
Промежуточный центр сертификации связывает ваш сертификат с доверенным корневым центром сертификации. Это важное звено в цепи доверия.
В Википедии есть краткая статья о Промежуточные центры сертификации. Также есть хорошее описание Вот. Обратите внимание, что связанный сертификат и промежуточный сертификат обычно относятся к одному и тому же.
В любом случае, я думаю, вы сможете использовать такой сертификат на своем устройстве ... Я нашел следующие инструкции через Google. Это страница в другом промежуточном центре сертификации, который проходит через установку своего промежуточного сертификата на устройстве ASA перед установкой сертификата SSL, который они будут выдавать: Установите сертификаты в Cisco ASA 5500 SSL VPN / межсетевой экран.