FATHER_FBI Posted October 15, 2019 Posted October 15, 2019 (edited) Коллеги, всем привет. Собственно вопрос, никогда такого не было и вот опять. Юзвери обновили свои macOS до версии Catalina и эта хрень перестала принимать сапомодписанные сертификаты. Впервые сталкиваюсь с установкой SSL сертификата на Cisco ASA. Нашел одну контору, заполнил форму, подтвердил свой домен, они прислали мне на почту архив с 2 файлами *.crt и *.ca-bundle. Пошел в ASDM, импортировал его Далее перехожу в Identity Certificates а там пусто Нахожу маны по установке сертификата в Cisco ASA на сайтах регистраторах сертификатов, там везде говорится что нужно загрузить несколько промежуточных сертификатов, корневой и сертификат домена. Знающие могут объяснить что именно нужно и где его можно взять Edited October 15, 2019 by FATHER_FBI Вставить ник Quote
EvgeniySerb Posted October 15, 2019 Posted October 15, 2019 Они должный быть в открытом доступе на сайте где сертификат покупал . Требуемый ca можно увидеть «расшифровав» имеющийся сертификат . Openssl в помощь Вставить ник Quote
azhur Posted October 16, 2019 Posted October 16, 2019 9 часов назад, FATHER_FBI сказал: архив с 2 файлами *.crt и *.ca-bundle. 9 часов назад, FATHER_FBI сказал: нужно загрузить несколько промежуточных сертификатов *.ca-bundle - это скорей всего и есть рутовый и промежуточные сертификаты в одном файле, весь вопрос - в каком формате, понимает ли его такой ASA, и если нет - чем и как сконвертировать. Вставить ник Quote
FATHER_FBI Posted October 16, 2019 Author Posted October 16, 2019 Запросил 90 дневные сертификаты в letsencrypt, прислали пачку файлов, среди которых был файл PKCS12 сертификат с расширением .pfx. ASA его сожрала и все заработало. Теперь осталось найти контору которая сделает сертификат на пару лет. Вставить ник Quote
ShyLion Posted October 16, 2019 Posted October 16, 2019 1 hour ago, FATHER_FBI said: PKCS12 openssl умеет обычный pem в p12 openssl pkcs12 -export -out certificate.p12 -inkey privateKey.key -in certificate.crt -certfile CACert.crt Вставить ник Quote
FATHER_FBI Posted October 16, 2019 Author Posted October 16, 2019 Тему можно закрывать. Проблема решилась следующим образом. На ASA сгенерировал CSR сертификат, отдал его в RapidSSL, мне его там подписали, вернул его обратно в циску, она его приняла, далее на сайте RapidSSL скачал промежуточный и корневой сертификаты, установил их в CA и все поехало. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.