So erhalten Sie ein digitales Zertifikat von einer Microsoft Windows CA mithilfe von ASDM auf einer ASA

Download-Optionen

PDF (1.0 MB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (1.1 MB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (1.2 MB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:8. Oktober 2018

Dokument-ID:71050

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einführung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Zugehörige Produkte

Konventionen

Konfigurieren der ASA zum Austausch von Zertifikaten mit der Microsoft CA

Aufgabe

Anleitung zur Konfiguration der ASA

Ergebnisse

Überprüfen

Überprüfen und Verwalten Ihres Zertifikats

Befehle

Fehlerbehebung

Befehle

Zugehörige Informationen

Einführung

Digitale Zertifikate können zur Authentifizierung von Netzwerkgeräten und -benutzern im Netzwerk verwendet werden. Sie können verwendet werden, um IPSec-Sitzungen zwischen Netzwerkknoten auszuhandeln.

Cisco Geräte identifizieren sich in einem Netzwerk auf drei Hauptmethoden sicher:

Vorinstallierte Schlüssel. Zwei oder mehr Geräte können denselben gemeinsamen geheimen Schlüssel haben. Peers authentifizieren sich gegenseitig durch Computing und Senden eines verschlüsselten Hashs von Daten, der den vorinstallierten Schlüssel enthält. Wenn der empfangende Peer in der Lage ist, den gleichen Hash unabhängig mithilfe seines vorinstallierten Schlüssels zu erstellen, weiß er, dass beide Peers denselben geheimen Schlüssel teilen und so den anderen Peer authentifizieren müssen. Diese Methode ist manuell und nicht sehr skalierbar.
Selbstsignierte Zertifikate. Ein Gerät generiert ein eigenes Zertifikat und signiert es als gültig. Diese Art von Zertifikat sollte nur begrenzt verwendet werden. Die Verwendung dieses Zertifikats mit SSH- und HTTPS-Zugriff für Konfigurationszwecke sind gute Beispiele. Zum Abschließen der Verbindung ist ein separates Benutzername/Kennwort-Paar erforderlich.

Hinweis: Persistente selbstsignierte Zertifikate überleben Router-Reloads, da sie im nichtflüchtigen RAM (NVRAM) des Geräts gespeichert werden. Weitere Informationen finden Sie unter Persistent Self-Signed Certificates (Dauerhafte selbstsignierte Zertifikate). Ein gutes Beispiel hierfür sind SSL VPN (WebVPN)-Verbindungen.
Zertifikat der Zertifizierungsstelle. Ein Drittanbieter validiert und authentifiziert die zwei oder mehr Knoten, die versuchen zu kommunizieren. Jeder Knoten verfügt über einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel verschlüsselt Daten, der private Schlüssel entschlüsselt Daten. Da sie ihre Zertifikate von derselben Quelle erhalten haben, können sie sich auf ihre jeweiligen Identitäten verlassen. Das ASA-Gerät kann ein digitales Zertifikat von einem Drittanbieter mit einer manuellen Anmeldungsmethode oder einer automatischen Anmeldungsmethode erhalten.

Hinweis: Die Registrierungsmethode und der Typ des digitalen Zertifikats, die Sie auswählen, hängen von den Funktionen und Merkmalen jedes Drittanbieterprodukts ab. Weitere Informationen erhalten Sie vom Anbieter des Zertifikatsdienstes.

Die Cisco Adaptive Security Appliance (ASA) kann zur Authentifizierung von IPSec-Verbindungen Pre-Shared Keys oder digitale Zertifikate verwenden, die von einer Zertifizierungsstelle (Certificate Authority, CA) eines Drittanbieters bereitgestellt werden. Darüber hinaus kann die ASA ein eigenes, selbstsigniertes digitales Zertifikat erstellen. Dies sollte für SSH-, HTTPS- und Cisco Adaptive Security Device Manager (ASDM)-Verbindungen mit dem Gerät verwendet werden.

In diesem Dokument werden die erforderlichen Verfahren zum automatischen Erhalt eines digitalen Zertifikats einer Microsoft Certificate Authority (CA) für die ASA beschrieben. Die manuelle Anmeldemethode ist darin nicht enthalten. In diesem Dokument wird ASDM für die Konfigurationsschritte sowie die endgültige CLI-Konfiguration (Command Line Interface) verwendet.

Weitere Informationen zum Szenario mit Cisco IOS^® Plattformen finden Sie im Konfigurationsbeispiel für die Cisco IOS-Zertifikatsregistrierung unter Verwendung erweiterter Anmeldebefehle.

Unter Konfigurieren des Cisco VPN 300 Concentrator 4.7.x zum Abrufen eines digitalen Zertifikats und eines SSL-Zertifikats finden Sie weitere Informationen zum Szenario mit dem Cisco VPN Concentrator der Serie 3000.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:

Anforderungen für ASA-Geräte

Konfigurieren Sie den Microsoft^® Windows 2003-Server als CA.

Weitere Informationen finden Sie in Ihrer Microsoft-Dokumentation oder in der Public Key Infrastructure für Windows Server 2003.
Um die Konfiguration der Cisco ASA oder PIX Version 7.x durch den Adaptive Security Device Manager (ASDM) zu ermöglichen, lesen Sie Zulassen von HTTPS-Zugriff für ASDM.
Installieren Sie das Add-on für Zertifikatsdienste (mscep.dll).
Rufen Sie die ausführbare Datei (cepsetup.exe) für das Add-On aus dem Simple Certificate Enrollment Protocol (SCEP)-Add-on für Zertifikatsdienste oder die Datei mscep.dll aus den Tools des Windows Server 2003 Resource Kit ab.

Hinweis: Konfigurieren Sie das richtige Datum, die richtige Uhrzeit und die richtige Zeitzone auf dem Microsoft Windows-Computer. Die Verwendung des Network Time Protocol (NTP) wird dringend empfohlen, ist jedoch nicht erforderlich.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

Cisco Adaptive Security Appliance der Serie ASA 5500, Softwareversion 7.x und höher
Cisco Adaptive Security Device Manager Version 5.x und höher
Microsoft Windows 2003 Server Certificate Authority

Zugehörige Produkte

Diese Konfiguration kann auch mit Cisco Security Appliances der Serie PIX 500, Version 7.x, verwendet werden.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Konfigurieren der ASA zum Austausch von Zertifikaten mit der Microsoft CA

Aufgabe

In diesem Abschnitt wird gezeigt, wie Sie die ASA so konfigurieren, dass sie ein Zertifikat von der Microsoft Certificate Authority erhält.

Anleitung zur Konfiguration der ASA

Digitale Zertifikate verwenden das Datum/die Uhrzeit/die Zeitzone als eine der Prüfungen auf Gültigkeit von Zertifikaten. Die Microsoft CA und alle Ihre Geräte müssen unbedingt mit dem richtigen Datum und der richtigen Uhrzeit konfiguriert werden. Die Microsoft CA verwendet ein Add-on (mscep.dll) für ihre Zertifikatsdienste, um Zertifikate für Cisco Geräte freizugeben.

Gehen Sie wie folgt vor, um die ASA zu konfigurieren:

Öffnen Sie die ASDM-Anwendung, und klicken Sie auf die Schaltfläche Konfiguration.
1. Klicken Sie im linken Menü auf die Schaltfläche Eigenschaften.
2. Klicken Sie im Navigationsbereich auf Device Administration > Device (Geräteverwaltung > Gerät).
3. Geben Sie einen Hostnamen und einen Domänennamen für die ASA ein. Klicken Sie auf Übernehmen.
4. Wenn Sie dazu aufgefordert werden, klicken Sie auf Speichern > Ja.
Konfigurieren Sie die ASA mit dem richtigen Datum, der richtigen Uhrzeit und der richtigen Zeitzone. Dies ist für die Zertifikatsgenerierung des Geräts wichtig. Verwenden Sie nach Möglichkeit einen NTP-Server.
1. Klicken Sie im Navigationsbereich auf Device Administration > Clock.
2. Verwenden Sie im Fenster Uhr die Felder und die Dropdown-Pfeile, um das richtige Datum, die richtige Uhrzeit und die richtige Zeitzone festzulegen.
Die ASA muss über ein eigenes Schlüsselpaar verfügen (private und öffentliche Schlüssel). Der öffentliche Schlüssel wird an die Microsoft CA gesendet.
1. Klicken Sie im Navigationsbereich auf Zertifikat > Schlüsselpaar.
2. Klicken Sie auf die Schaltfläche Hinzufügen, und das Dialogfeld Schlüsselpaar hinzufügen wird angezeigt.
3. Aktivieren Sie das Optionsfeld neben dem leeren Feld des Bereichs Name, und geben Sie den Namen für den Schlüssel ein.
4. Klicken Sie auf Größe: im Dropdown-Feld nach, um eine Größe für den Schlüssel auszuwählen oder die Standardeinstellung zu akzeptieren.
5. Aktivieren Sie das Optionsfeld Allgemein unter Verwendung.
6. Klicken Sie auf die Schaltfläche Jetzt generieren, um die Schlüssel neu zu generieren und zum Fenster Schlüsselpaar zurückzukehren, in dem Sie die Informationen für das Schlüsselpaar anzeigen können.
Konfigurieren Sie die Microsoft CA als vertrauenswürdig. Klicken Sie im Navigationsbereich auf Trustpoint > Configuration.
1. Klicken Sie im Konfigurationsfenster auf die Schaltfläche Hinzufügen.
2. Das Fenster Konfiguration bearbeiten wird angezeigt.
3. Geben Sie einen Namen für den Trustpoint mit dem Namen der CA ein.
4. Klicken Sie auf das Schlüsselpaar: im Dropdown-Feld nach, und wählen Sie den Namen des von Ihnen erstellten Schlüsselpaars aus.
5. Aktivieren Sie das Optionsfeld Automatische Anmeldung verwenden, und geben Sie die URL für die Microsoft CA: http://CA_IP_Address/certsrv/mscep/mscep.dll.
Klicken Sie auf die Registerkarte Crl Retrieval Method.
1. Deaktivieren Sie die Kontrollkästchen HTTP aktivieren und LDAP (Lightweight Directory Access Protocol) aktivieren.
2. Aktivieren Sie das Kontrollkästchen Enable Simple Certificate Enrollment Protocol (SCEP). Behalten Sie alle anderen Registerkarten-Einstellungen in den Standardeinstellungen bei.
3. Klicken Sie auf die Schaltfläche OK.
Authentifizierung und Anmeldung bei der Microsoft CA Klicken Sie im Navigationsbereich auf Zertifikat > Authentifizierung. Stellen Sie sicher, dass der neu erstellte Trustpoint im Trustpoint Name angezeigt wird: ein. Klicken Sie auf die Schaltfläche Authentifizieren.
Es wird ein Dialogfeld angezeigt, das Sie darüber informiert, dass der Vertrauenspunkt authentifiziert wurde. Klicken Sie auf die Schaltfläche OK.
Klicken Sie im Navigationsbereich auf Anmelden. Stellen Sie sicher, dass der Name des Vertrauenspunkts im Feld Name des Vertrauenspunkts angezeigt wird, und klicken Sie auf die Schaltfläche Registrieren.
Es wird ein Dialogfeld angezeigt, in dem Sie darüber informiert werden, dass die Anfrage an die CA gesendet wurde. Klicken Sie auf die Schaltfläche OK.

Hinweis: Auf einem eigenständigen Microsoft Windows-Computer müssen Sie die Zertifikate für alle an die CA gesendeten Anforderungen ausstellen. Das Zertifikat hat den Status "Ausstehend", bis Sie mit der rechten Maustaste auf das Zertifikat klicken und auf dem Microsoft Server auf das Problem klicken.

Ergebnisse

Dies ist die CLI-Konfiguration, die sich aus den ASDM-Schritten ergibt:

Ciscoasa
ciscoasa# sh run ASA Version 7.2(1) ! hostname ciscoasa domain-name cisco.com enable password t/G/EqWCJSp/Q6R4 encrypted names name 172.22.1.172 AUSNMLAAA01 ! interface Ethernet0/0 nameif outside security-level 0 ip address 172.22.1.160 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.4.4.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive !--- Set your correct date/time/time zone ! clock timezone CST -6 clock summer-time CDT recurring dns server-group DefaultDNS domain-name cisco.com pager lines 20 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 asdm image disk0:/asdm521.bin no asdm history enable arp timeout 14400 nat (inside) 0 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 172.22.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute username cisco password VjcVTJy0i9Ys9P45 encrypted privilege 15 http server enable http AUSNMLAAA01 255.255.255.255 outside http 172.22.1.0 255.255.255.0 outside http 64.101.0.0 255.255.0.0 outside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart ! !--- identify the trustpoint ! crypto ca trustpoint ausnmlaaa01 enrollment url http://172.22.1.172:80/certsrv/mscep/mscep.dll keypair key1 crl configure no protocol http no protocol ldap !--- the certificate chain generated automatically crypto ca certificate chain ausnmlaaa01 certificate 61c79bea000100000008 30820438 30820320 a0030201 02020a61 c79bea00 01000000 08300d06 092a8648 86f70d01 01050500 30423113 3011060a 09922689 93f22c64 01191603 636f6d31 15301306 0a099226 8993f22c 64011916 05636973 636f3114 30120603 55040313 0b617573 6e6d6c61 61613031 301e170d 30363038 31363231 34393230 5a170d30 37303831 36323135 3932305a 30233121 301f0609 2a864886 f70d0109 02131263 6973636f 6173612e 63697363 6f2e636f 6d30819f 300d0609 2a864886 f70d0101 01050003 818d0030 81890281 8100c2c7 fefc4b18 74e7972e daee53a2 b0de432c 4d34ec76 48ba37e6 e7294f9b 1f969088 d3b2aaef d6c44cfa bdbe740b f5a89131 b177fd52 e2bfb91c d665f54e 7eee0916 badc4601 79b4f7b3 8102645a 01fedb62 e8db2a60 188d13fc 296803a5 68739bb6 940cd33a d746516f 01d52935 8b6302b6 3c3e1087 6c5e91a9 c5e2f92b d3cb0203 010001a3 8201d130 8201cd30 0b060355 1d0f0404 030205a0 301d0603 551d1104 16301482 12636973 636f6173 612e6369 73636f2e 636f6d30 1d060355 1d0e0416 0414080d fe9b7756 51b5e63b fa6dcfa5 076030db 08c5301f 0603551d 23041830 16801458 026754ae 32e081b7 8522027e 33bffe79 c6abb730 75060355 1d1f046e 306c306a a068a066 86306874 74703a2f 2f617573 6e6d6c61 61613031 2f436572 74456e72 6f6c6c2f 6175736e 6d6c6161 61303128 31292e63 726c8632 66696c65 3a2f2f5c 5c415553 4e4d4c41 41413031 5c436572 74456e72 6f6c6c5c 6175736e 6d6c6161 61303128 31292e63 726c3081 a606082b 06010505 07010104 81993081 96304806 082b0601 05050730 02863c68 7474703a 2f2f6175 736e6d6c 61616130 312f4365 7274456e 726f6c6c 2f415553 4e4d4c41 41413031 5f617573 6e6d6c61 61613031 2831292e 63727430 4a06082b 06010505 07300286 3e66696c 653a2f2f 5c5c4155 534e4d4c 41414130 315c4365 7274456e 726f6c6c 5c415553 4e4d4c41 41413031 5f617573 6e6d6c61 61613031 2831292e 63727430 3f06092b 06010401 82371402 04321e30 00490050 00530045 00430049 006e0074 00650072 006d0065 00640069 00610074 0065004f 00660066 006c0069 006e0065 300d0609 2a864886 f70d0101 05050003 82010100 0247af67 30ae031c cbd9a2fb 63f96d50 a49ddff6 16dd377d d6760968 8ad6c9a8 c0371d65 b5cd6a62 7a0746ed 184b9845 84a42512 67af6284 e64a078b 9e9d1b7a 028ffdd7 d262f6ba f28af7cf 57a48ad4 761dcfda 3420c506 e8c4854c e4178304 a1ae6e38 a1310b5b 2928012b 40aaad56 1a22d4ce 7d62a0e5 931f74f5 5510574f 27a6ea21 3f3d2118 2a087aad 0177cc56 1f8c024c 42f9fb9a ef180bc1 4fca1504 59c3b850 acad01a9 c2fbb46b 2be53a9f 10ad50a4 1f557b8d 1f25f7ae b2e2eeca 7800053c 3afd436 73863d76 53bd58c9 803fe5e9 708f00fd 85e84220 0c713c3f 4ccb0c0b 84bb265d fd40c9d0 a68efb3e d6faeef0 b9958ca7 d1eb25f8 51f38a50 quit certificate ca 62829194409db5b94487d34f44c9387b 308203ff 308202e7 a0030201 02021062 82919440 9db5b944 87d34f44 c9387b30 0d06092a 864886f7 0d010105 05003042 31133011 060a0992 268993f2 2c640119 1603636f 6d311530 13060a09 92268993 f22c6401 19160563 6973636f 31143012 06035504 03130b61 75736e6d 6c616161 3031301e 170d3036 30383136 31383135 31325a17 0d313130 38313631 38323430 325a3042 31133011 060a0992 268993f2 2c640119 1603636f 6d311530 13060a09 92268993 f22c6401 19160563 6973636f 31143012 06035504 03130b61 75736e6d 6c616161 30313082 0122300d 06092a86 4886f70d 01010105 00038201 0f003082 010a0282 01010096 1abddec6 ce3768e6 4e04b42f ec28d6f9 330cd9a2 9ec3eb9e 8a091cf8 b4969158 3dc6d6ba 332bc3b4 32fc1495 9ac85322 1c842df1 7a110be2 7f2fc5e2 3a475da8 711e4ff7 0dd06c21 6f6e3517 621c89f9 a01779b8 3a5fce63 3ed66c58 2982dbf2 21f9c139 5cd6cf17 7bde4c0a 22033312 d1b98435 e3a05003 888da568 6223243f 834316f0 4874168d c291f098 24177ade a71d5128 120e1848 6f8a5a33 6f4efa1c 27bb7c4d f49fb0f7 57736f7d 320cf834 1ef28649 b719ae7c e58de17f 1259f121 df90668d aee59f71 dd1110a2 de8a2a8b db6de0c7 b5540e21 4ff1a0c5 7cb0290e bfd5a7bb 21bd7ad3 bce7b986 e0f77b30 c8b719d9 37c355f6 ec103188 7d5d3702 03010001 a381f030 81ed300b 0603551d 0f040403 02018630 0f060355 1d130101 ff040530 030101ff 301d0603 551d0e04 16041458 026754ae 32e081b7 8522027e 33bffe79 c6abb730 75060355 1d1f046e 306c306a a068a066 86306874 74703a2f 2f617573 6e6d6c61 61613031 2f436572 74456e72 6f6c6c2f 6175736e 6d6c6161 61303128 31292e63 726c8632 66696c65 3a2f2f5c 5c415553 4e4d4c41 41413031 5c436572 74456e72 6f6c6c5c 6175736e 6d6c6161 61303128 31292e63 726c3012 06092b06 01040182 37150104 05020301 00013023 06092b06 01040182 37150204 16041490 48bcef49 d228efee 7ba90b35 879a5a61 6a276230 0d06092a 864886f7 0d010105 05000382 01010042 f59e2675 0defc49d abe504b8 eb2b2161 b76842d3 ab102d7c 37c021d4 a18b62d7 d5f1337e 22b560ae acbd9fc5 4b230da4 01f99495 09fb930d 5ff0d869 e4c0bf07 004b1deb e3d75bb6 ef859b13 6b6e0697 403a4a58 4f6dd1bc 3452f329 a73b572a b41327f7 5af61809 c9fb86a4 b8d4aca6 f5ebc97f 2c3e306b ea58ed49 c245be2a 03f40878 273ae747 02b22219 5e3450a9 6fd72f1d 40e0931a 7b5cc3b0 d6558ec7 514ef928 b1dfa9ab 732ecea0 40a458c3 e824fd6f b7c6b306 122da64d b3ab23b1 adacf609 1d1132fb 15aa6786 06fbf713 b25a4a5c 07de565f 6364289c 324aacff abd6842e b24d4116 5c0934b3 794545df 47da8f8d 2b0e8461 b2405ce4 6528 99 quit telnet 64.101.0.0 255.255.0.0 outside telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:fa0c88a5c687743ab26554d54f6cb40d : end

Ciscoasa

ciscoasa# sh run
ASA Version 7.2(1)
!
hostname ciscoasa
domain-name cisco.com
enable password t/G/EqWCJSp/Q6R4 encrypted
names
name 172.22.1.172 AUSNMLAAA01
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.4.4.1 255.255.255.0
!
interface Ethernet0/2
shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

!--- Set your correct date/time/time zone

!
clock timezone CST -6
clock summer-time CDT recurring
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 20
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username cisco password VjcVTJy0i9Ys9P45 encrypted privilege 15
http server enable
http AUSNMLAAA01 255.255.255.255 outside
http 172.22.1.0 255.255.255.0 outside
http 64.101.0.0 255.255.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!

!--- identify the trustpoint

!
crypto ca trustpoint ausnmlaaa01
 enrollment url http://172.22.1.172:80/certsrv/mscep/mscep.dll
 keypair key1
 crl configure
  no protocol http
  no protocol ldap

!--- the certificate chain generated automatically

crypto ca certificate chain ausnmlaaa01
 certificate 61c79bea000100000008
    30820438 30820320 a0030201 02020a61 c79bea00 01000000 08300d06 092a8648
    86f70d01 01050500 30423113 3011060a 09922689 93f22c64 01191603 636f6d31
    15301306 0a099226 8993f22c 64011916 05636973 636f3114 30120603 55040313
    0b617573 6e6d6c61 61613031 301e170d 30363038 31363231 34393230 5a170d30
    37303831 36323135 3932305a 30233121 301f0609 2a864886 f70d0109 02131263
    6973636f 6173612e 63697363 6f2e636f 6d30819f 300d0609 2a864886 f70d0101
    01050003 818d0030 81890281 8100c2c7 fefc4b18 74e7972e daee53a2 b0de432c
    4d34ec76 48ba37e6 e7294f9b 1f969088 d3b2aaef d6c44cfa bdbe740b f5a89131
    b177fd52 e2bfb91c d665f54e 7eee0916 badc4601 79b4f7b3 8102645a 01fedb62
    e8db2a60 188d13fc 296803a5 68739bb6 940cd33a d746516f 01d52935 8b6302b6
    3c3e1087 6c5e91a9 c5e2f92b d3cb0203 010001a3 8201d130 8201cd30 0b060355
    1d0f0404 030205a0 301d0603 551d1104 16301482 12636973 636f6173 612e6369
73636f2e 636f6d30 1d060355 1d0e0416 0414080d fe9b7756 51b5e63b fa6dcfa5
    076030db 08c5301f 0603551d 23041830 16801458 026754ae 32e081b7 8522027e
    33bffe79 c6abb730 75060355 1d1f046e 306c306a a068a066 86306874 74703a2f
    2f617573 6e6d6c61 61613031 2f436572 74456e72 6f6c6c2f 6175736e 6d6c6161
    61303128 31292e63 726c8632 66696c65 3a2f2f5c 5c415553 4e4d4c41 41413031
    5c436572 74456e72 6f6c6c5c 6175736e 6d6c6161 61303128 31292e63 726c3081
    a606082b 06010505 07010104 81993081 96304806 082b0601 05050730 02863c68
    7474703a 2f2f6175 736e6d6c 61616130 312f4365 7274456e 726f6c6c 2f415553
    4e4d4c41 41413031 5f617573 6e6d6c61 61613031 2831292e 63727430 4a06082b
    06010505 07300286 3e66696c 653a2f2f 5c5c4155 534e4d4c 41414130 315c4365
    7274456e 726f6c6c 5c415553 4e4d4c41 41413031 5f617573 6e6d6c61 61613031
    2831292e 63727430 3f06092b 06010401 82371402 04321e30 00490050 00530045
    00430049 006e0074 00650072 006d0065 00640069 00610074 0065004f 00660066
    006c0069 006e0065 300d0609 2a864886 f70d0101 05050003 82010100 0247af67
    30ae031c cbd9a2fb 63f96d50 a49ddff6 16dd377d d6760968 8ad6c9a8 c0371d65
    b5cd6a62 7a0746ed 184b9845 84a42512 67af6284 e64a078b 9e9d1b7a 028ffdd7
    d262f6ba f28af7cf 57a48ad4 761dcfda 3420c506 e8c4854c e4178304 a1ae6e38
    a1310b5b 2928012b 40aaad56 1a22d4ce 7d62a0e5 931f74f5 5510574f 27a6ea21
    3f3d2118 2a087aad 0177cc56 1f8c024c 42f9fb9a ef180bc1 4fca1504 59c3b850
    acad01a9 c2fbb46b 2be53a9f 10ad50a4 1f557b8d 1f25f7ae b2e2eeca 7800053c
3afd436 73863d76 53bd58c9 803fe5e9 708f00fd 85e84220 0c713c3f 4ccb0c0b
    84bb265d fd40c9d0 a68efb3e d6faeef0 b9958ca7 d1eb25f8 51f38a50
  quit
 certificate ca 62829194409db5b94487d34f44c9387b
    308203ff 308202e7 a0030201 02021062 82919440 9db5b944 87d34f44 c9387b30
    0d06092a 864886f7 0d010105 05003042 31133011 060a0992 268993f2 2c640119
    1603636f 6d311530 13060a09 92268993 f22c6401 19160563 6973636f 31143012
    06035504 03130b61 75736e6d 6c616161 3031301e 170d3036 30383136 31383135
    31325a17 0d313130 38313631 38323430 325a3042 31133011 060a0992 268993f2
    2c640119 1603636f 6d311530 13060a09 92268993 f22c6401 19160563 6973636f
    31143012 06035504 03130b61 75736e6d 6c616161 30313082 0122300d 06092a86
    4886f70d 01010105 00038201 0f003082 010a0282 01010096 1abddec6 ce3768e6
    4e04b42f ec28d6f9 330cd9a2 9ec3eb9e 8a091cf8 b4969158 3dc6d6ba 332bc3b4
    32fc1495 9ac85322 1c842df1 7a110be2 7f2fc5e2 3a475da8 711e4ff7 0dd06c21
    6f6e3517 621c89f9 a01779b8 3a5fce63 3ed66c58 2982dbf2 21f9c139 5cd6cf17
    7bde4c0a 22033312 d1b98435 e3a05003 888da568 6223243f 834316f0 4874168d
    c291f098 24177ade a71d5128 120e1848 6f8a5a33 6f4efa1c 27bb7c4d f49fb0f7
    57736f7d 320cf834 1ef28649 b719ae7c e58de17f 1259f121 df90668d aee59f71
    dd1110a2 de8a2a8b db6de0c7 b5540e21 4ff1a0c5 7cb0290e bfd5a7bb 21bd7ad3
    bce7b986 e0f77b30 c8b719d9 37c355f6 ec103188 7d5d3702 03010001 a381f030
 81ed300b 0603551d 0f040403 02018630 0f060355 1d130101 ff040530 030101ff
    301d0603 551d0e04 16041458 026754ae 32e081b7 8522027e 33bffe79 c6abb730
    75060355 1d1f046e 306c306a a068a066 86306874 74703a2f 2f617573 6e6d6c61
    61613031 2f436572 74456e72 6f6c6c2f 6175736e 6d6c6161 61303128 31292e63
    726c8632 66696c65 3a2f2f5c 5c415553 4e4d4c41 41413031 5c436572 74456e72
    6f6c6c5c 6175736e 6d6c6161 61303128 31292e63 726c3012 06092b06 01040182
    37150104 05020301 00013023 06092b06 01040182 37150204 16041490 48bcef49
    d228efee 7ba90b35 879a5a61 6a276230 0d06092a 864886f7 0d010105 05000382
    01010042 f59e2675 0defc49d abe504b8 eb2b2161 b76842d3 ab102d7c 37c021d4
    a18b62d7 d5f1337e 22b560ae acbd9fc5 4b230da4 01f99495 09fb930d 5ff0d869
    e4c0bf07 004b1deb e3d75bb6 ef859b13 6b6e0697 403a4a58 4f6dd1bc 3452f329
    a73b572a b41327f7 5af61809 c9fb86a4 b8d4aca6 f5ebc97f 2c3e306b ea58ed49
    c245be2a 03f40878 273ae747 02b22219 5e3450a9 6fd72f1d 40e0931a 7b5cc3b0
    d6558ec7 514ef928 b1dfa9ab 732ecea0 40a458c3 e824fd6f b7c6b306 122da64d
    b3ab23b1 adacf609 1d1132fb 15aa6786 06fbf713 b25a4a5c 07de565f 6364289c
    324aacff abd6842e b24d4116 5c0934b3 794545df 47da8f8d 2b0e8461 b2405ce4 6528
99
  quit

telnet 64.101.0.0 255.255.0.0 outside
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:fa0c88a5c687743ab26554d54f6cb40d
: end

Überprüfen

In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Überprüfen und Verwalten Ihres Zertifikats

Überprüfen und verwalten Sie Ihr Zertifikat.

Öffnen Sie die ASDM-Anwendung, und klicken Sie auf die Schaltfläche Konfiguration.
Klicken Sie im linken Menü auf die Schaltfläche Eigenschaften.
1. Klicken Sie auf Zertifikat.
2. Klicken Sie auf Zertifikat verwalten.

Befehle

Auf der ASA können Sie mehrere show-Befehle in der Befehlszeile verwenden, um den Status eines Zertifikats zu überprüfen.

Der Befehl show crypto ca certificate wird verwendet, um Informationen über Ihr Zertifikat, das Zertifizierungsstellenzertifikat und alle Zertifizierungsstellen-Zertifikate anzuzeigen.
Der Befehl show crypto ca trustpoints wird verwendet, um die Konfiguration der Vertrauenspunkte zu überprüfen.
Mit dem Befehl show crypto key mypubkey rsa werden die öffentlichen RSA-Schlüssel Ihrer ASA angezeigt.
Der Befehl show crypto ca crls wird verwendet, um alle zwischengespeicherten CRLs anzuzeigen.

Hinweis: Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.