将SSL Web服务器证书安装到CISCO ASA 5520上

问题

安装SSL Web服务器证书

安装证书

原因

此过程提供了使用手动证书请求配置证书的步骤。对于您为手动注册配置的每个信任点，应重复这些步骤。完成此过程后，安全设备将收到用于信任点的CA证书以及用于签名和加密目的的一个或两个证书。如果使用通用RSA密钥，则收到的证书用于签名和加密。如果您使用单独的RSA密钥进行签名和加密，则收到的证书将专门用于每种目的。

解

 要将证书安装到Cisco ASA 5520设备中，请执行以下步骤：

1.下载用于SSL Web服务器证书的Thawte中级CA：AR1384

2.导入CA证书。

为此，请使用crypto ca authenticate命令。以下示例显示了对信任点Main的CA证书请求： 

主机名（config）＃crypto ca验证主用户 

输入基本的64位编码的CA证书。 

以空行或单词“ quit ”  结尾

MIIDRTCCAu + gAwIBAgIQKVcqP / KW74VP0NZzL + JbRTANBgkqhkiG9w0BAQUFADCB 

[证书数据省略] 

/ 7QEM8izy0EOTSErKu7Nd76jwf5e4qttkQ == 

放弃 

INFO：证书具有以下属性：指纹：24b81433 409b3fd5 e5431699 8d490d34 

您接受此证书吗？[是/否]：y 

接受Trustpoint CA证书。 

％证书成功导入 

主机名（配置）＃ 

3.生成证书请求。

为此，请使用crypto ca enroll命令。以下示例显示了对信任点Main的证书和加密密钥请求，该信任点被配置为使用手动注册和通用RSA密钥进行签名和加密： 

主机名（config）＃crypto ca注册Main 

％开始证书注册。 

％证书中的标准域名为：securityappliance.example.com 

％在主题名称中包含设备序列号？[是/否]：n 

向终端显示证书请求？[是/否]：y 

证书申请如下：

MIIBoDCCAQkCAQAwIzEhMB8GCSqGSIb3DQEJAhYSRmVyYWxQaXguY2lzY28uY29t 

[证书申请数据省略] 

jF4waw68eOxQxVmdgMWeQ + RbIOYmvt8g6hnBTrd0GdqjjVLt 

---结束-该行不属于证书申请的一部分- 

重新显示注册请求？[是/否]：n

主机名（配置）＃

4.对于crypto ca enroll命令生成的每个请求，请从适用的信任点代表的CA获取证书。确保证书为base-64格式。

5.对于从CA收到的每个证书，请使用crypto ca import certificate命令。安全设备提示您将证书以base-64格式粘贴到终端。

6.使用show crypto ca certificate命令验证注册过程是否成功。例如，显示从信任点Main收到的证书：

主机名/上下文（config）＃显示crypto ca证书Main

此命令的输出显示为安全设备发布的证书和为信任点的CA证书的详细信息。 

7.使用write memory命令保存配置：hostname / contexta（config）＃write memory

如果将单独的RSA密钥用于签名和加密，则crypto ca enroll命令将显示两个证书请求，每个密钥请求一个。要完成注册，请为crypto ca enroll命令生成的所有证书请求获取证书。

如果将单独的RSA密钥对用于签名和加密，请分别对每个证书执行此步骤。安全设备自动确定证书是用于签名密钥还是加密密钥对。导入两个证书的顺序无关紧要。

以下示例为信任点Main手动导入证书：

主机名（配置）＃crypto ca import主证书

％证书中的标准域名为：securityappliance.example.com

输入基数为64的编码证书。

以空行结尾或一行本身以“ quit ” 结束

[证书数据省略]

放弃

INFO：证书已成功导入

主机名（配置）＃

在安装证书之前，请确保已生成Trustpoint