Jump to content
Калькуляторы

Cisco ASA установка сертификата

Reply to this topic

FATHER_FBI   

FATHER_FBI
Posted (edited) · Report post

Коллеги, всем привет.

Собственно вопрос, никогда такого не было и вот опять. Юзвери обновили свои macOS до версии Catalina и эта хрень перестала принимать сапомодписанные сертификаты.

Впервые сталкиваюсь с установкой SSL сертификата на Cisco ASA. Нашел одну контору, заполнил форму, подтвердил свой домен, они прислали мне на почту архив с 2 файлами *.crt и *.ca-bundle.

Пошел в ASDM, импортировал его

image.thumb.png.be4e575ee2dbe4f25a7477df404f0043.png

 

Далее перехожу в Identity Certificates а там пусто

image.thumb.png.8af0be20d98a0964b2e31dfb369cc44b.png

 

Нахожу маны по установке сертификата в Cisco ASA на сайтах регистраторах сертификатов, там везде говорится что нужно загрузить несколько промежуточных сертификатов, корневой и сертификат домена. Знающие могут объяснить что именно нужно и где его можно взять

Edited by FATHER_FBI

Share this post

Link to post
Share on other sites

EvgeniySerb   

EvgeniySerb
Posted · Report post

Они должный быть в открытом доступе на сайте где сертификат покупал . Требуемый ca можно увидеть «расшифровав» имеющийся сертификат . Openssl в помощь

Share this post

Link to post
Share on other sites

azhur   

azhur
Posted · Report post
9 часов назад, FATHER_FBI сказал:

архив с 2 файлами *.crt и *.ca-bundle. 

 

9 часов назад, FATHER_FBI сказал:

нужно загрузить несколько промежуточных сертификатов

*.ca-bundle - это скорей всего и есть рутовый и промежуточные сертификаты в одном файле, весь вопрос - в каком формате, понимает ли его такой ASA, и если нет - чем и как сконвертировать.

Share this post

Link to post
Share on other sites

FATHER_FBI   

FATHER_FBI
Posted · Report post

Запросил 90 дневные сертификаты в letsencrypt, прислали пачку файлов, среди которых был файл PKCS12 сертификат с расширением .pfx. ASA его сожрала и все заработало. Теперь осталось найти контору которая сделает сертификат на пару лет.

Share this post

Link to post
Share on other sites

ShyLion   

ShyLion
Posted · Report post
1 hour ago, FATHER_FBI said:

PKCS12

openssl умеет обычный pem в p12

 

openssl pkcs12 -export -out certificate.p12 -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Share this post

Link to post
Share on other sites

FATHER_FBI   

FATHER_FBI
Posted · Report post

Тему можно закрывать.

Проблема решилась следующим образом. На ASA сгенерировал CSR сертификат, отдал его в RapidSSL, мне его там подписали, вернул его обратно в циску, она его приняла, далее на сайте RapidSSL скачал промежуточный и корневой сертификаты, установил их в CA и все поехало.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...