Jump to content
Калькуляторы

Cisco ASA установка сертификата

Коллеги, всем привет.

Собственно вопрос, никогда такого не было и вот опять. Юзвери обновили свои macOS до версии Catalina и эта хрень перестала принимать сапомодписанные сертификаты.

Впервые сталкиваюсь с установкой SSL сертификата на Cisco ASA. Нашел одну контору, заполнил форму, подтвердил свой домен, они прислали мне на почту архив с 2 файлами *.crt и *.ca-bundle.

Пошел в ASDM, импортировал его

image.thumb.png.be4e575ee2dbe4f25a7477df404f0043.png

 

Далее перехожу в Identity Certificates а там пусто

image.thumb.png.8af0be20d98a0964b2e31dfb369cc44b.png

 

Нахожу маны по установке сертификата в Cisco ASA на сайтах регистраторах сертификатов, там везде говорится что нужно загрузить несколько промежуточных сертификатов, корневой и сертификат домена. Знающие могут объяснить что именно нужно и где его можно взять

Edited by FATHER_FBI

Share this post


Link to post
Share on other sites

Они должный быть в открытом доступе на сайте где сертификат покупал . Требуемый ca можно увидеть «расшифровав» имеющийся сертификат . Openssl в помощь

Share this post


Link to post
Share on other sites
9 часов назад, FATHER_FBI сказал:

архив с 2 файлами *.crt и *.ca-bundle. 

 

9 часов назад, FATHER_FBI сказал:

нужно загрузить несколько промежуточных сертификатов

*.ca-bundle - это скорей всего и есть рутовый и промежуточные сертификаты в одном файле, весь вопрос - в каком формате, понимает ли его такой ASA, и если нет - чем и как сконвертировать.

Share this post


Link to post
Share on other sites

Запросил 90 дневные сертификаты в letsencrypt, прислали пачку файлов, среди которых был файл PKCS12 сертификат с расширением .pfx. ASA его сожрала и все заработало. Теперь осталось найти контору которая сделает сертификат на пару лет.

Share this post


Link to post
Share on other sites
1 hour ago, FATHER_FBI said:

PKCS12

openssl умеет обычный pem в p12

 

openssl pkcs12 -export -out certificate.p12 -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Share this post


Link to post
Share on other sites

Тему можно закрывать.

Проблема решилась следующим образом. На ASA сгенерировал CSR сертификат, отдал его в RapidSSL, мне его там подписали, вернул его обратно в циску, она его приняла, далее на сайте RapidSSL скачал промежуточный и корневой сертификаты, установил их в CA и все поехало.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this