Installation und Verlängerung von Zertifikaten auf von ASDM verwalteter ASA

Download-Optionen

  • PDF     (7.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (7.6 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (5.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. November 2024
Dokument-ID:220395

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung
Voraussetzungen
Anforderungen
Verwendete Komponenten
Hintergrundinformationen
Überlegungen zur Sicherheit vertrauenswürdiger Zertifizierungsstellen
Risiken und Empfehlungen für die Authentifizierung von Zertifikaten
Standardverhalten für die Vertrauenspunktvalidierung
Risiken der Standardkonfiguration
Empfohlene Aktion
Beispielkonfiguration:
Autorisierungsrisiken und -empfehlungen
Empfohlene Aktion
Beispielkonfiguration
Zusätzliche Ressourcen
Anfordern und Installieren eines neuen Identitätszertifikats mit ASDM
Anfordern und Installieren eines neuen Identitätszertifikats mit Zertifikatsanforderung (Certificate Signing Request, CSR)
Erstellen eines CSR mit ASDM
Erstellen eines Vertrauenspunkts mit einem bestimmten Namen
(Optional) Erstellen eines neuen Schlüsselpaars
Wählen Sie den Namen des Schlüsselpaars aus.
Zertifikatantragsteller und vollständig qualifizierter Domänenname (FQDN) konfigurieren
Erstellen und Speichern der CSR-Anfrage
Installieren des Identitätszertifikats im PEM-Format mit ASDM
Installieren des Zertifizierungsstellenzertifikats, das den CSR signiert hat
Identitätszertifikat installieren
Anbinden des neuen Zertifikats an eine ASDM-Schnittstelle
Installieren eines im PKCS12-Format empfangenen Identitätszertifikats mit ASDM
Installieren der Identitäts- und Zertifizierungsstellenzertifikate aus einer PKCS12-Datei
Anbinden des neuen Zertifikats an eine ASDM-Schnittstelle
Erneuerung des Zertifikats
Erneuern eines Zertifikats, das für eine Zertifikatsanforderung (Certificate Signing Request, CSR) beim ASDM registriert ist
Erstellen eines CSR mit ASDM
Erstellen eines neuen Vertrauenspunkts mit einem bestimmten Namen
(Optional) Erstellen eines neuen Schlüsselpaars
Wählen Sie den Namen des Schlüsselpaars aus.
Zertifikatantragsteller und vollständig qualifizierter Domänenname (FQDN) konfigurieren
Erstellen und Speichern der CSR-Anfrage
Installieren des Identitätszertifikats im PEM-Format mit ASDM
Installieren des Zertifizierungsstellenzertifikats, das den CSR signiert hat
Identitätszertifikat installieren
Anbinden des neuen Zertifikats an eine ASDM-Schnittstelle
Erneuern eines Zertifikats, das bei einer PKCS12-Datei bei ASDM registriert ist
Installieren des verlängerten Identitätszertifikats und der Zertifizierungsstellenzertifikate aus einer PKCS12-Datei
Anbinden des neuen Zertifikats an eine ASDM-Schnittstelle
Überprüfung
Anzeigen installierter Zertifikate über ASDM
Fehlerbehebung
Häufig gestellte Fragen

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie bestimmte Zertifikatstypen auf der mit ASDM verwalteten Cisco ASA-Software anfordern, installieren, als vertrauenswürdig einstufen und verlängern.

    Voraussetzungen

    Anforderungen

    • Bevor Sie überprüfen, ob die Adaptive Security Appliance (ASA) über die richtige Uhrzeit, das richtige Datum und die richtige Zeitzone mit Zertifikatauthentifizierung verfügt, wird empfohlen, die Uhrzeit auf der ASA mit einem NTP-Server (Network Time Protocol) zu synchronisieren. Weitere Informationen finden Sie unter Zugehörige Informationen.
    • Um ein Zertifikat anzufordern, das eine CSR-Anfrage (Certificate Signing Request) verwendet, muss es Zugriff auf eine vertrauenswürdige interne Zertifizierungsstelle oder eine Zertifizierungsstelle eines Drittanbieters haben. Zu den CA-Anbietern von Drittanbietern gehören u. a. Entrust, Geotrust, GoDaddy, Thawte und VeriSign.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • ASA v9.18.1
    • Für die PKCS12-Erstellung wird OpenSSL verwendet.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.


    Hintergrundinformationen

    Folgende Zertifikatstypen werden in diesem Dokument adressiert:

    • Selbstsignierte Zertifikate
    • Zertifikate, die von einer Zertifizierungsstelle oder internen Zertifizierungsstelle eines Drittanbieters unterzeichnet wurden

    Die Secure Socket Layer (SSL)-, Transport Layer Security (TLS)- und IKEv2 rfc7296 für EAP-Authentifizierungsprotokolle erfordern, dass der SSL/TLS/IKEv2-Server dem Client ein Serverzertifikat für den Client bereitstellt, damit dieser die Serverauthentifizierung durchführen kann. Es wird empfohlen, vertrauenswürdige Zertifizierungsstellen von Drittanbietern zu verwenden, um SSL-Zertifikate an die ASA auszustellen.

    Cisco empfiehlt die Verwendung eines selbstsignierten Zertifikats nicht, da die Möglichkeit besteht, dass ein Benutzer versehentlich einen Browser so konfigurieren kann, dass er einem Zertifikat eines nicht autorisierten Servers vertraut. Für Benutzer ist es zudem unpraktisch, auf eine Sicherheitswarnung reagieren zu müssen, wenn sie eine Verbindung mit dem sicheren Gateway herstellen.

    Überlegungen zur Sicherheit vertrauenswürdiger Zertifizierungsstellen

    Risiken und Empfehlungen für die Authentifizierung von Zertifikaten

    Standardverhalten für die Vertrauenspunktvalidierung

    Wenn ein vertrauenswürdiges Zertifizierungsstellenzertifikat installiert ist, kann es zur Authentifizierung verschiedener Typen von VPN-Verbindungen mithilfe der Zertifikatauthentifizierung verwendet werden. Die Steuerung erfolgtvalidation-usageüber den Befehl trustpoint (Configuration > Device Management > Certificate Management > CA Certificates > Add -> More Options... > Advanced > select wanted Validation Usage).

    Die Verwendungsarten für die Validierung sind:

    • ipsec-client: Validiert IPsec-Clientverbindungen.
    • ssl-client: Validiert SSL-Clientverbindungen.
    • ssl-server: Validiert SSL-Serverzertifikate.

    Standardmäßig ermöglicht der Befehl die Validierung für ipsec-client und ssl-client.

    Risiken der Standardkonfiguration

    • Jedes als vertrauenswürdig installierte Zertifizierungsstellenzertifikat kann standardmäßig verwendet werden, um eingehende Client-Identitätszertifikate für jede Tunnelgruppe mithilfe der Zertifikatauthentifizierung zu authentifizieren.
    • Diese Standardeinstellung kann ein Sicherheitsrisiko darstellen, wenn Sie sich dessen nicht bewusst sind.

    Empfohlene Aktion

    Deaktivieren Sie die Validierungsverwendung für unbeabsichtigte Vertrauenspunkte. Wenn ein Zertifizierungsstellenzertifikat nicht zur Authentifizierung von VPN-Peers oder -Benutzern bestimmt ist, deaktivieren Sie die Validierungsverwendung für diesen Vertrauenspunkt.

    Beispielkonfiguration:

    Navigate to: Configuration > Device Management > Certificate Management > CA Certificates. 
    a) Select a wanted trustpoint and click Edit. 
    b) Navigate to Advanced and uncheck all Validation Usage options. 

    trustpoint public-root-ca
 no validation-usage

    Autorisierungsrisiken und -empfehlungen

    Standardmäßig kann ein vertrauenswürdiges Zertifizierungsstellenzertifikat verwendet werden, um einen VPN-Peer oder einen Benutzer zu authentifizieren, der eine Verbindung mit einer Tunnelgruppe herstellt. Es muss eine ordnungsgemäße Autorisierung konzipiert werden.

    Empfohlene Aktion

    Verwenden Sie Zertifikatzuordnungen und Tunnelgruppenzuordnungen, um sicherzustellen, dass nur autorisierte Zertifikate für bestimmte Tunnelgruppen verwendet werden. Legen Sie eine Standardregel für die Tunnelgruppenzuordnung fest, die auf eine Tunnelgruppe ohne Zugriff verweist, um den nicht autorisierten Zugriff zu beschränken.

    Beispielkonfiguration

    Die Zertifikatauthentifizierung ist nur zulässig für:

    • Maschinen mit Zertifikat, ausgestellt von cn=example.com und OU=Maschinen im Zertifikatantragsteller.
    • Benutzer mit einem von cn=example.com ausgestellten Zertifikat und OU=users im Zertifikatantragsteller.

    Benutzer mit anderen Zertifikaten werden standardmäßig danktunnel-group-map default-group no_accessBefehl no_access tunnel-group zugewiesen. Die Regeln der Zertifikatszuordnung haben danktunnel-group-map enable rulescommand Vorrang vor group-url. Wenn Sie die Gruppen-URL kennen, können Sie die Zertifikatzuordnungsregeln nicht umgehen.

    ! Configure group-policy preventing VPN access:

    Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add > General > More Options 
    a) Uncheck Inherit next to Simultaneous Logins and set the value 0.
    b) Uncheck Inherit next to Banner and set a wanted massage, for example NO ACCESS GROUP POLICY.

    group-policy no_access_gp internal 
    group-policy no_access_gp attributes 
     banner value NO ACCESS GROUP POLICY
     vpn-simultaneous-logins 0 


    ! Configure tunnel-groups for users and tunnel-group preventing VPN access:

    Navigate to: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles. Click Add and configure:
    a) Authentication method as Certificate.
    a) Client Address Pools.
    b) DNS Servers.
    c) Group Policy - for the no_access tunnel group use no_access_gp where simultaneous logins is set to 0.
    d) Group URLs - only for the mgmt-tunnel and users_access tunnel groups. Navigate to: Advanced > Group Alias/Group URL, click Add in the Group URLs section and configure a group URL.  

    tunnel-group mgmt-tunnel type remote-access
tunnel-group mgmt-tunnel general-attributes
 address-pool vpn_pool
 default-group-policy mgmt-tunnel
tunnel-group mgmt-tunnel webvpn-attributes
 authentication certificate
 group-url https://ftd.example.com/mgmt enable
!
tunnel-group users_access type remote-access
tunnel-group users_access general-attributes
 default-group-policy user_access_gp
 address-pool vpn_pool
tunnel-group users_access webvpn-attributes
 authentication certificate
 group-url https://ftd.example.com/users enable
!
tunnel-group no_access type remote-access
tunnel-group no_access general-attributes
 default-group-policy no_access_gp
 address-pool vpn_pool
tunnel-group no_access webvpn-attributes
 authentication certificate


    ! Create certificate maps for users and use the certificate maps for tunnel-group mapping:

    Navigate to: Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect and Clientless SSL VPN Connection Profile Maps. 
    a) Click Add to configure Certificate to Connection Profile Maps.
    b) Select New and configure a certificate group map name, for example mgmt_tunnel_map or users_access_map.
    c) Select a corresponding connection profile/tunnel group from the drop-down menu at Mapped to Connection Profile.
    d) Click Add to configure Mapping Criteria.
    e) Select: Field: Subject, Component: Organizational Unit (OU), Operator: Equals, Value: machines or users.
    d) Select: Field: Issuer, Component: Common Name (CN), Operator: Equals, Value: example.com.

    crypto ca certificate map mgmt_tunnel_map 10 
     issuer-name attr cn eq example.com 
     subject-name attr ou eq machines 
    crypto ca certificate map users_access_map 10 
     issuer-name attr cn eq example.com 
     subject-name attr ou eq users 
    !
    webvpn 
     (...) 
     certificate-group-map mgmt_tunnel_map 10 mgmt-tunnel 
     certificate-group-map users_access_map 10 users_access


    ! Enable tunnel-group maps and set the default tunnel-group preventing access if a user certificate did not match any other certificate map:
    
Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > Certificate to Connection Profile Maps > Policy.
    a) Check Use the configure rules to match a certificate to a Connection Profile.
    b) Check Defult to Connection Profile and select from the drop-down menu the no-access connection profile/tunnel group.
    
tunnel-group-map enable rules
tunnel-group-map default-group no_access

    Zusätzliche Ressourcen

    Ausführliche Konfigurationsanweisungen finden Sie in der Cisco Dokumentation:

    Anfordern und Installieren eines neuen Identitätszertifikats mit ASDM

    Ein Zertifikat kann von einer Zertifizierungsstelle angefordert und auf einem ASA auf zwei Arten installiert werden:

    1. Verwenden der Zertifikatsanforderung (CSR) Generieren Sie ein Schlüsselpaar, fordern Sie ein Identitätszertifikat von der Zertifizierungsstelle mit einem CSR an, installieren Sie das signierte Identitätszertifikat, das Sie von der Zertifizierungsstelle erhalten haben.
    2. Verwenden Sie eine PKCS12-Datei, die von einer CA abgerufen oder von einem anderen Gerät exportiert wurde. Die PKCS12-Datei enthält Schlüsselpaar, Identitätszertifikat, Zertifizierungsstellenzertifikat(e).

    Anfordern und Installieren eines neuen Identitätszertifikats mit Zertifikatsanforderung (Certificate Signing Request, CSR)

    Eine CSR-Anfrage wird auf dem Gerät erstellt, für das ein Identitätszertifikat erforderlich ist. Verwenden Sie dazu ein auf dem Gerät erstelltes Schlüsselpaar.

    Ein CSR enthält:

    • Zertifikatanforderungsinformationen - angeforderter Betreff und andere Attribute, öffentlicher Schlüssel vom Schlüsselpaar.
    • Signaturalgorithmus-Information
    • digitale Signatur der Zertifikatanforderungsinformationen, signiert mit dem privaten Schlüssel des Schlüsselpaars.

    Der CSR wird an die Zertifizierungsstelle (Certificate Authority, CA) übergeben, damit er ihn in einem PKCS#10-Formular signiert.

    Das signierte Zertifikat wird von der Zertifizierungsstelle in PEM-Form zurückgegeben.

    Anmerkung:   CA kann die Parameter FQDN und Subject Name (Antragstellername) ändern, die im Trustpoint definiert sind, wenn sie den CSR signiert und ein signiertes Identitätszertifikat erstellt.

    Erstellen eines CSR mit ASDM

    1. Erstellen eines Vertrauenspunkts mit einem bestimmten Namen

      1. Navigieren Sie zu Konfiguration > Geräteverwaltung > Zertifikatsverwaltung > Identitätszertifikate.

        ASDM

      2. Klicken Sie auf Hinzufügen.
      3. Definieren Sie einen Vertrauenspunktnamen.

        ASDM Image with Name Highlighted

      4. Klicken Sie auf das Optionsfeld Neues Identitätszertifikat hinzufügen.

    2. (Optional) Erstellen eines neuen Schlüsselpaars

      Anmerkung: Standardmäßig wird der RSA-Schlüssel mit dem Namen Default-RSA-Key und der Größe 2048 verwendet. Es wird jedoch empfohlen, für jedes Identitätszertifikat ein eindeutiges privates/öffentliches Schlüsselpaar zu verwenden.

      1. Klicken Sie auf Neu, um ein neues Schlüsselpaar zu generieren.

        New Keypair Option 1

      2. Wählen Sie die Option Neuen Schlüsselpaarnamen eingeben und geben Sie einen Namen für das neue Schlüsselpaar ein.
      3. Wählen Sie den Schlüsseltyp aus - RSA oder ECDSA.
      4. Wählen Sie die Schlüssellänge aus. für RSA, wählen Sie Allgemeiner Zweck für Verwendung.
      5. Klicken Sie auf Jetzt generieren. Das Schlüsselpaar wird nun erstellt.

        New Keypair Option 2

    3. Wählen Sie den Namen des Schlüsselpaars aus.

      • Wählen Sie das Schlüsselpaar aus, mit dem der CSR signiert und mit dem neuen Zertifikat verknüpft werden soll.

        Select Keypair

    4. Zertifikatantragsteller und vollständig qualifizierter Domänenname (FQDN) konfigurieren

      Vorsicht: Der FQDN-Parameter muss mit dem FQDN oder der IP-Adresse der ASA-Schnittstelle übereinstimmen, für die das Identitätszertifikat verwendet wird. Dieser Parameter legt die angeforderte SAN-Erweiterung (Subject Alternative Name) für das Identitätszertifikat fest. Die SAN-Erweiterung wird vom SSL/TLS/IKEv2-Client verwendet, um zu überprüfen, ob das Zertifikat mit dem FQDN übereinstimmt, mit dem es verbunden wird.

      1. Klicken Sie auf Auswählen.

        CSR Request

      2. Konfigurieren Sie im Fenster Zertifikatantragsteller-DN Zertifikatattribute. Wählen Sie das Attribut aus der Dropdown-Liste aus, geben Sie den Wert ein, und klicken Sie auf Hinzufügen.

        CSR FQDN Step 1

        CSR FQDN Step 2

        Attribut Beschreibung
        KN Der Name, über den auf die Firewall zugegriffen werden kann (normalerweise der vollqualifizierte Domänenname, z. B. vpn.example.com).
        OU Der Name Ihrer Abteilung innerhalb der Organisation.
        O Der gesetzlich registrierte Name Ihrer Organisation/Ihres Unternehmens.
        C Landesvorwahl (2-Buchstaben-Code ohne Interpunktion).
        ST Der Status, in dem sich Ihre Organisation befindet.
        L Die Stadt, in der Ihre Organisation ansässig ist.
        EA E-Mail-Adresse

        Anmerkung: Keiner der vorherigen Feldwerte darf mehr als 64 Zeichen umfassen. Ein größerer Wert kann zu Problemen bei der Installation des Identitätszertifikats führen. Außerdem müssen nicht alle DN-Attribute definiert werden.

        Klicken Sie nach Hinzufügen aller Attribute auf OK.
      3. Konfigurieren Sie den FQDN des Geräts: Klicken Sie auf Erweitert.

        CSR FQDN Step 3

      4. Geben Sie im Feld FQDN den vollqualifizierten Domänennamen ein, über den das Gerät vom Internet aus erreichbar ist. Klicken Sie auf OK.

        CSR FQDN Step 4

    5. Erstellen und Speichern der CSR-Anfrage

      1. Klicken Sie auf Zertifikat hinzufügen.

        CSR FQDN Step 5

      2. Es wird eine Aufforderung angezeigt, den CSR in einer Datei auf dem lokalen Computer zu speichern.

        CSR FQDN Step 6

        Klicken Sie auf Durchsuchen, wählen Sie einen Speicherort für die CSR-Datei aus, und speichern Sie die Datei mit der Erweiterung .txt.

        Anmerkung: Wenn die Datei mit der Erweiterung .txt gespeichert wird, kann die PKCS#10-Anforderung geöffnet und mit einem Texteditor (z. B. Editor) angezeigt werden.

      3. Jetzt wird der neue Vertrauenspunkt im Status Ausstehend angezeigt.

        CSR FQDN Step 7

    Installieren des Identitätszertifikats im PEM-Format mit ASDM

    Bei den Installationsschritten wird davon ausgegangen, dass die Zertifizierungsstelle den CSR signiert und ein PEM-codiertes (.pem,.cer, .crt) Identitätszertifikat und Zertifizierungsstellen-Zertifikatpaket bereitgestellt hat.

    1. Installieren des Zertifizierungsstellenzertifikats, das den CSR signiert hat

      1. Navigieren Sie zu Configuration > Device Management > Certificate Management >, und wählen Sie CA Certificates aus. Klicken Sie auf Hinzufügen.

        ASDM9

      2. Geben Sie den Namen des Vertrauenspunkts ein, und wählen Sie Install From File (Von Datei installieren) aus, klicken Sie auf Browse (Durchsuchen), und wählen Sie das Zwischen-Zertifikat aus. Sie können auch das PEM-codierte CA-Zertifikat aus einer Textdatei in das Textfeld einfügen.

        CSR CA 1

        Anmerkung: Installieren Sie das CA-Zertifikat, das den CSR signiert hat. Verwenden Sie denselben Namen des Vertrauenspunkts wie das Identitätszertifikat. Die anderen Zertifizierungsstellenzertifikate weiter oben in der PKI-Hierarchie können in separaten Vertrauenspunkten installiert werden.

      3. Klicken Sie auf Zertifikat installieren

        ASDM-13-CA Cert Installed

    2. Identitätszertifikat installieren

      1. Wählen Sie das Identitätszertifikat aus, das zuvor während der CSR-Generierung erstellt wurde. Klicken Sie auf Install (Installieren).

        ASDM10 - TP with Pending CSR Install

        Anmerkung: Das Feld "Ausgestellt von" kann den Wert "Nicht verfügbar" und das Feld "Ablaufdatum" den Wert "Ausstehend" haben. 

      2. Wählen Sie eine Datei aus, die das von der Zertifizierungsstelle empfangene PEM-codierte Identitätszertifikat enthält, oder öffnen Sie das PEM-codierte Zertifikat in einem Texteditor, und kopieren Sie das von der Zertifizierungsstelle bereitgestellte Identitätszertifikat, und fügen Sie es in das Textfeld ein.

        ASDM11 Select Install

        Anmerkung: Das Identitätszertifikat kann im Format .pem, .cer oder .crt installiert werden.

      3. Klicken Sie auf Zertifikat installieren.

        ASDM12 Cert Installed

    3. Anbinden des neuen Zertifikats an eine ASDM-Schnittstelle

      Die ASA muss so konfiguriert werden, dass das neue Identitätszertifikat für WebVPN-Sitzungen verwendet wird, die auf der angegebenen Schnittstelle enden.

      1. Navigieren Sie zu Configuration > Remote Access VPN > Advanced > SSL Settings.

      2. Wählen Sie unter Certificates (Zertifikate) die Schnittstelle aus, die zum Beenden von WebVPN-Sitzungen verwendet wird. In diesem Beispiel wird die externe Schnittstelle verwendet.

        Klicken Sie auf Bearbeiten.

      3. Wählen Sie in der Dropdown-Liste Zertifikat (Certificate) das neu installierte Zertifikat aus.

        CSR Bind Step 1

      4. Klicken Sie auf OK.

      5. Klicken Sie auf Apply (Anwenden).

        CSR Bind Step 2

        Jetzt wird das neue Identitätszertifikat verwendet.

    Installieren eines im PKCS12-Format empfangenen Identitätszertifikats mit ASDM

    Die PKCS12-Datei (im .p12- oder .pfx-Format) enthält Identitätszertifikat, Schlüsselpaar und Zertifizierungsstellenzertifikat(e). Er wird von der Zertifizierungsstelle erstellt (falls es sich um ein Platzhalterzertifikat handelt) oder von einem anderen Gerät exportiert. Es handelt sich um eine Binärdatei, die nicht mit einem Texteditor angezeigt werden kann.

    1. Installieren der Identitäts- und Zertifizierungsstellenzertifikate aus einer PKCS12-Datei

      Identitätszertifikat, Zertifizierungsstellenzertifikat(e) und Schlüsselpaar müssen in einer einzigen PKCS12-Datei gebündelt werden. 
      1. Navigieren Sie zu Configuration > Device Management > Certificate Management, und wählen Sie Identity Certificates aus.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie einen Vertrauenspunktnamen an.

        ASDM-14-add-pkcs12

      4. Klicken Sie auf das Optionsfeld Identitätszertifikat aus einer Datei importieren.

        ASDM-14-select-pkcs12

      5. Geben Sie die Passphrase ein, die zum Erstellen der PKCS12-Datei verwendet wird.

        ASDM-14 Enter Password

      6. Klicken Sie auf Zertifikat hinzufügen.

        ASDM-15-pkcs12-cert-installed

        Anmerkung: Wenn Sie eine PKCS12 mit einer Zertifizierungsstellenzertifikatenkette importieren, erstellt der ASDM die Upstream-Zertifizierungsstellentreupunkte automatisch mit Namen mit dem Suffix "-Nummer".
        ASDM-8

    2. Anbinden des neuen Zertifikats an eine ASDM-Schnittstelle

      Die ASA muss so konfiguriert werden, dass das neue Identitätszertifikat für WebVPN-Sitzungen verwendet wird, die auf der angegebenen Schnittstelle enden.

      1. Navigieren Sie zu Configuration > Remote Access VPN > Advanced > SSL Settings.

      2. Wählen Sie unter Zertifikate die Schnittstelle aus, die zum Beenden von WebVPN-Sitzungen verwendet wird. In diesem Beispiel wird die externe Schnittstelle verwendet.

        Klicken Sie auf Bearbeiten.

      3. Wählen Sie in der Dropdown-Liste Zertifikat (Certificate) das neu installierte Zertifikat aus.

        PKCS12 Bind 1

      4. Klicken Sie auf OK.

      5. Klicken Sie auf Apply (Anwenden).

        ASDM-13-Cert Applied

        Jetzt wird das neue Identitätszertifikat verwendet.

    Erneuerung des Zertifikats

    Erneuern eines Zertifikats, das für eine Zertifikatsanforderung (Certificate Signing Request, CSR) beim ASDM registriert ist

    Für die Erneuerung eines Zertifikats, das von einem CSR registriert wurde, müssen Sie einen neuen Vertrauenspunkt erstellen und registrieren. Sie muss einen anderen Namen haben (z. B. den alten Namen mit dem Suffix für das Registrierungsjahr). Es können die gleichen Parameter und das Schlüsselpaar wie das alte Zertifikat verwendet werden, oder es können verschiedene verwendet werden.

    Erstellen eines CSR mit ASDM

    1. Erstellen eines neuen Vertrauenspunkts mit einem bestimmten Namen

      1. Navigieren Sie zu Konfiguration > Geräteverwaltung > Zertifikatsverwaltung > Identitätszertifikate.

        ASDM

      2. Klicken Sie auf Hinzufügen.
      3. Definieren Sie einen Vertrauenspunktnamen.

        ASDM2-Image with Name Highlighted

      4. Klicken Sie auf das Optionsfeld Neues Identitätszertifikat hinzufügen.

    2. (Optional) Erstellen eines neuen Schlüsselpaars 

      Anmerkung: Standardmäßig wird der RSA-Schlüssel mit dem Namen Default-RSA-Key und einer Größe von 2048 verwendet. Es wird jedoch empfohlen, für jedes Identitätszertifikat ein eindeutiges privates/öffentliches Schlüsselpaar zu verwenden.

      1. Klicken Sie auf Neu, um ein neues Schlüsselpaar zu generieren.

        Renew CSR Step 1

      2. Wählen Sie die Option Neuen Schlüsselpaarnamen eingeben und geben Sie einen Namen für das neue Schlüsselpaar ein.
      3. Wählen Sie den Schlüsseltyp aus - RSA oder ECDSA.
      4. Wählen Sie die Schlüssellänge aus. für RSA, wählen Sie Allgemeiner Zweck für Verwendung.
      5. Klicken Sie auf Jetzt generieren. Das Schlüsselpaar wird nun erstellt.

        Renew CSR Step 2

    3. Wählen Sie den Namen des Schlüsselpaars aus.

      • Wählen Sie das Schlüsselpaar, mit dem der CSR signiert und mit dem neuen Zertifikat verknüpft werden soll.

        Renew CSR Step 3

    4. Zertifikatantragsteller und vollständig qualifizierter Domänenname (FQDN) konfigurieren

      Vorsicht: Der FQDN-Parameter muss mit dem FQDN oder der IP-Adresse der ASA-Schnittstelle übereinstimmen, für die das Zertifikat verwendet wird. Dieser Parameter legt den alternativen Antragstellernamen (SAN) für das Zertifikat fest. Das SAN-Feld wird vom SSL/TLS/IKEv2-Client verwendet, um zu überprüfen, ob das Zertifikat mit dem FQDN übereinstimmt, mit dem die Verbindung hergestellt wird.

      Anmerkung:  CA kann die Parameter FQDN und Subject Name (Antragstellername) ändern, die im Vertrauenspunkt definiert sind, wenn sie den CSR signiert und ein signiertes Identitätszertifikat erstellt.

      1. Klicken Sie auf Auswählen.

        Renew CSR Step 4

      2. Konfigurieren Sie im Fenster Zertifikatantragsteller-DN Zertifikatattribute - wählen Sie ein Attribut aus der Dropdown-Liste aus, geben Sie den Wert ein, und klicken Sie auf Hinzufügen.

        Renew CSR Step 5

        Attribut

        		 Beschreibung

        KN

        Der Name, über den auf die Firewall zugegriffen werden kann (normalerweise der vollqualifizierte Domänenname, z. B. vpn.example.com).

        OU

        Der Name Ihrer Abteilung innerhalb der Organisation.

        O

        Der gesetzlich registrierte Name Ihrer Organisation/Ihres Unternehmens.

        C

        Landesvorwahl (Code aus 2 Buchstaben ohne Interpunktion)

        ST

        Der Status, in dem sich Ihre Organisation befindet.

        L

        Die Stadt, in der Ihre Organisation ansässig ist.

        EA

        E-Mail-Adresse

        Anmerkung: Keines der vorherigen Felder darf mehr als 64 Zeichen enthalten. Ein größerer Wert kann zu Problemen bei der Installation des Identitätszertifikats führen. Außerdem müssen nicht alle DN-Attribute definiert werden.

        Klicken Sie nach Hinzufügen aller Attribute auf OK.
      3. Um den FQDN des Geräts zu konfigurieren, klicken Sie auf Advanced (Erweitert).

        Renew CSR Step 6

      4. Geben Sie im Feld FQDN den vollqualifizierten Domänennamen ein, über den das Gerät vom Internet aus erreichbar ist. Klicken Sie auf OK.

        Renew CSR Step 7

    5. Erstellen und Speichern der CSR-Anfrage

      1. Klicken Sie auf Zertifikat hinzufügen.

        Renew CSR Step 8

      2. Es wird eine Aufforderung angezeigt, den CSR in einer Datei auf dem lokalen Computer zu speichern.

        Renew CSR Step 9

        Klicken Sie auf Durchsuchen. Wählen Sie einen Speicherort, an dem die CSR-Datei gespeichert werden soll, und speichern Sie die Datei mit der Erweiterung .txt.

        Anmerkung: Wenn die Datei mit der Erweiterung .txt gespeichert wird, kann die PKCS#10-Anforderung geöffnet und mit einem Texteditor (z. B. Editor) angezeigt werden.

      3. Jetzt wird der neue Vertrauenspunkt im Status Ausstehend angezeigt.

        Renew CSR Step 10

    Installieren des Identitätszertifikats im PEM-Format mit ASDM

    Bei den Installationsschritten wird davon ausgegangen, dass die Zertifizierungsstelle den CSR signiert und ein PEM-codiertes (.pem, .cer, .crt) neues Identitätszertifikat- und Zertifizierungsstellen-Zertifikatpaket bereitgestellt hat.

    1. Installieren des Zertifizierungsstellenzertifikats, das den CSR signiert hat

      Das Zertifizierungsstellenzertifikat, das das Identitätszertifikat signiert hat, kann in dem für das Identitätszertifikat erstellten Vertrauenspunkt installiert werden. Wenn das Identitätszertifikat von einer zwischengeschalteten Zertifizierungsstelle signiert wird, kann dieses Zertifizierungsstellenzertifikat im Vertrauenspunkt für das Identitätszertifikat installiert werden. Alle Zertifizierungsstellenzertifikate, die der Hierarchie vorgeschaltet sind und in separaten Zertifizierungsstellentreupunkten installiert werden können.
      1. Navigieren Sie zu Configuration > Device Management > Certificate Management >, und wählen Sie CA Certificates aus. Klicken Sie auf Hinzufügen.

        Renew CSR Install 1

      2. Geben Sie den Namen des Vertrauenspunkts ein, und wählen Sie Install From File (Von Datei installieren) aus, klicken Sie auf Browse (Durchsuchen), und wählen Sie das Zwischen-Zertifikat aus. Sie können auch das PEM-codierte CA-Zertifikat aus einer Textdatei in das Textfeld einfügen.

        Renew CSR Install 2

        Anmerkung: Installieren Sie das Zwischenzertifikat mit dem gleichen Vertrauenspunktnamen wie den Namen des Vertrauenspunkts des Identitätszertifikats, wenn das Identitätszertifikat vom Zwischenzertifikat signiert wird.

      3. Klicken Sie auf Zertifikat installieren

        Renew CSR Install 3

        Im Beispiel wird das neue Zertifikat mit demselben CA-Zertifikat signiert wie das alte. Dieselbe Zertifizierungsstelle ist nun zwei Vertrauenspunkten zugeordnet.
        Renew CSR Install 4

    2. Identitätszertifikat installieren

      1. Wählen Sie das Identitätszertifikat aus, das zuvor mit der CSR-Generation erstellt wurde. Klicken Sie auf Install (Installieren).

        Renew CSR Installl 5

        Anmerkung: Das Identitätszertifikat kann im Feld Ausgestellt von als Nicht verfügbar und im Feld Ablaufdatum als Ausstehend angegeben werden

      2. Wählen Sie eine Datei aus, die das von der Zertifizierungsstelle empfangene PEM-kodierte Identitätszertifikat enthält, oder öffnen Sie das PEM-kodierte Zertifikat in einem Texteditor, und kopieren Sie das von der Zertifizierungsstelle bereitgestellte Identitätszertifikat, und fügen Sie es in das Textfeld ein.

        Renew CSR Install 6

        Anmerkung: Das Identitätszertifikat kann im Format .pem, .cer oder .crt installiert werden.

      3. Klicken Sie auf Zertifikat installieren.

        Renew CSR Install 7

        Nach der Installation sind alte und neue Identitätszertifikate vorhanden.
        Renew CSR Install 8

    3. Anbinden des neuen Zertifikats an eine ASDM-Schnittstelle

      Die ASA muss so konfiguriert werden, dass das neue Identitätszertifikat für WebVPN-Sitzungen verwendet wird, die auf der angegebenen Schnittstelle enden.

      1. Navigieren Sie zu Configuration > Remote Access VPN > Advanced > SSL Settings.

      2. Wählen Sie unter Certificates (Zertifikate) die Schnittstelle aus, die zum Beenden von WebVPN-Sitzungen verwendet wird. In diesem Beispiel wird die externe Schnittstelle verwendet.

        Klicken Sie auf Bearbeiten.

      3. Wählen Sie in der Dropdown-Liste Zertifikat (Certificate) das neu installierte Zertifikat aus.

        Renew CSR Bind 1

      4. Klicken Sie auf OK.

      5. Klicken Sie auf Apply (Anwenden). Jetzt wird das neue Identitätszertifikat verwendet.

        Renew CSR Bind 2

    Erneuern eines Zertifikats, das bei einer PKCS12-Datei bei ASDM registriert ist

    Für die Zertifikatverlängerung eines für PKCS12 registrierten Zertifikats müssen Sie einen neuen Vertrauenspunkt erstellen und registrieren. Sie muss einen anderen Namen haben (z. B. den alten Namen mit dem Suffix für das Registrierungsjahr).

    Die PKCS12-Datei (im .p12- oder .pfx-Format) enthält Identitätszertifikat, Schlüsselpaar und Zertifizierungsstellenzertifikat(e). Sie wird von der Zertifizierungsstelle erstellt, z. B. bei einem Platzhalterzertifikat, oder von einem anderen Gerät exportiert. Es handelt sich um eine Binärdatei, die nicht mit einem Texteditor angezeigt werden kann.

    1. Installieren des verlängerten Identitätszertifikats und der Zertifizierungsstellenzertifikate aus einer PKCS12-Datei

      Identitätszertifikat, Zertifizierungsstellenzertifikat(e) und Schlüsselpaar müssen in einer einzigen PKCS12-Datei gebündelt werden.
      1. Navigieren Sie zu Configuration > Device Management > Certificate Management, und wählen Sie Identity Certificates aus.
      2. Klicken Sie auf Hinzufügen.
      3. Geben Sie einen neuen Vertrauenspunktnamen an.

        ASDM-14-add-pkcs12

      4. Klicken Sie auf das Optionsfeld Identitätszertifikat aus einer Datei importieren.

        ASDM-14-select-pkcs12

      5. Geben Sie die Passphrase ein, die zum Erstellen der PKCS12-Datei verwendet wird.

        ASDM-14 Enter Password

      6. Klicken Sie auf Zertifikat hinzufügen.

        ASDM-15-pkcs12-cert-installed

        Anmerkung: Wenn eine PKCS12 mit CAs-Zertifikatskette importiert wird, erstellt der ASDM die Trustpoints der Upstream-CAs automatisch mit Namen mit dem Suffix "-Nummer".
        ASDM-8

    2. Anbinden des neuen Zertifikats an eine ASDM-Schnittstelle

      Die ASA muss so konfiguriert werden, dass das neue Identitätszertifikat für WebVPN-Sitzungen verwendet wird, die auf der angegebenen Schnittstelle enden.

      1. Navigieren Sie zu Configuration > Remote Access VPN > Advanced > SSL Settings.

      2. Wählen Sie unter Certificates (Zertifikate) die Schnittstelle aus, die zum Beenden von WebVPN-Sitzungen verwendet wird. In diesem Beispiel wird die externe Schnittstelle verwendet.

        Klicken Sie auf Bearbeiten.

      3. Wählen Sie in der Dropdown-Liste Zertifikat (Certificate) das neu installierte Zertifikat aus.

        PKCS12 Bind 1

      4. Klicken Sie auf OK.

      5. Klicken Sie auf Apply (Anwenden).

        ASDM-13-Cert Applied

        Jetzt wird das neue Identitätszertifikat verwendet.

    Überprüfung

    Verwenden Sie diese Schritte, um die erfolgreiche Installation des Drittanbieter-Zertifikats zu überprüfen und für SSL VPN-Verbindungen zu verwenden.

    Anzeigen installierter Zertifikate über ASDM

    1. Navigieren Sie zu Configuration > Remote Access VPN > Certificate Management, und wählen Sie Identity Certificates aus.
    2. Das vom Drittanbieter ausgestellte Identitätszertifikat kann angezeigt werden.

    ASDM-13-Cert Applied

    Fehlerbehebung

    Dieser Debug-Befehl wird in der CLI gesammelt, wenn bei der Installation des SSL-Zertifikats ein Fehler auftritt.

    • debug crypto ca 14

    Häufig gestellte Fragen


    F. Was ist ein PKCS12?
    A. Bei der Verschlüsselung definiert PKCS12 ein Archivdateiformat, das zum Speichern vieler Kryptografieobjekte als eine einzige Datei erstellt wurde. Es wird häufig verwendet, um einen privaten Schlüssel mit seinem X.509-Zertifikat zu bündeln oder um alle Mitglieder einer Vertrauenskette zu bündeln.

    F. Was ist eine CSR?
    A. In PKI-Systemen (Public Key Infrastructure) ist eine Zertifikatsunterzeichnungsanforderung (auch CSR oder Zertifizierungsanforderung) eine Nachricht, die von einem Antragsteller an eine Registrierungsbehörde der Public Key-Infrastruktur gesendet wird, um ein digitales Identitätszertifikat zu beantragen. Es enthält in der Regel den öffentlichen Schlüssel, für den das Zertifikat ausgestellt werden kann, Informationen zur Identifizierung des signierten Zertifikats (z. B. einen Domänennamen im Betreff) und Integritätsschutz (z. B. eine digitale Signatur).

    Frage: Wo ist das Kennwort für PKCS12?
    A. Wenn Zertifikate und Schlüsselpaare in eine PKCS12-Datei exportiert werden, wird das Kennwort im Exportbefehl angegeben.  Um eine pkcs12-Datei zu importieren, muss das Kennwort vom Besitzer des Zertifizierungsstellenservers oder von der Person übermittelt werden, die die PKCS12-Datei von einem anderen Gerät exportiert hat.

    F. Was ist der Unterschied zwischen der Wurzel und der Identität?
    A. Bei Kryptografie und Computersicherheit ist ein Stammzertifikat ein Zertifikat mit öffentlichem Schlüssel, das eine Stammzertifizierungsstelle (Certificate Authority, CA) identifiziert. Stammzertifikate sind selbstsigniert (und ein Zertifikat kann über mehrere vertrauenswürdige Pfade verfügen, z. B. wenn das Zertifikat von einem Stamm ausgestellt wurde, der kreuzsigniert wurde) und bilden die Grundlage einer X.509-basierten Public Key Infrastructure (PKI). Ein Public-Key-Zertifikat, auch als digitales Zertifikat oder Identitätszertifikat bezeichnet, ist ein elektronisches Dokument, mit dem der Besitz eines öffentlichen Schlüssels nachgewiesen wird. Das Zertifikat enthält Informationen über den Schlüssel, Informationen über die Identität seines Besitzers (als Antragsteller bezeichnet) und die digitale Signatur einer Stelle, die den Inhalt des Zertifikats überprüft hat (als Aussteller bezeichnet). Wenn die Signatur gültig ist und die Software, die das Zertifikat prüft, dem Aussteller vertraut, kann sie diesen Schlüssel verwenden, um sicher mit dem Antragsteller des Zertifikats zu kommunizieren.

    F. Ich installierte das Zertifikat, warum funktioniert es nicht?
    A. Dies könnte aus vielen Gründen der Fall sein, beispielsweise:

    1. Das Zertifikat und der Vertrauenspunkt sind konfiguriert, wurden jedoch nicht an den Prozess gebunden, der es verwendet.  Der zu verwendende Trustpoint ist beispielsweise nicht an die externe Schnittstelle gebunden, die AnyConnect-Clients terminiert.

    2. Eine PKCS12-Datei ist installiert, es werden jedoch Fehler ausgegeben, da in der PKCS12-Datei ein Zertifikat der zwischengeschalteten Zertifizierungsstelle fehlt. Die Clients, bei denen das Zwischenzertifikat der Zertifizierungsstelle vertrauenswürdig ist, das Stammzertifikat der Zertifizierungsstelle jedoch nicht vertrauenswürdig ist, können nicht die gesamte Zertifikatkette überprüfen und das Serveridentitätszertifikat als nicht vertrauenswürdig melden.

    3. Ein mit falschen Attributen gefülltes Zertifikat kann zu Installationsfehlern oder clientseitigen Fehlern führen. Bestimmte Attribute werden beispielsweise mit dem falschen Format codiert. Ein weiterer Grund besteht darin, dass im Identitätszertifikat der alternative Antragstellername (SAN) fehlt oder der Domänenname, der für den Zugriff auf den Server verwendet wird, nicht als SAN vorhanden ist.

    F. Ist für die Installation eines neuen Zertifikats ein Wartungsfenster erforderlich oder treten Ausfallzeiten auf?
    A. Die Installation eines neuen Zertifikats (Identität oder CA) ist nicht aufdringlich und verursacht keine Ausfallzeiten oder erfordert ein Wartungsfenster. Um die Verwendung eines neuen Zertifikats für einen bereits vorhandenen Service zu aktivieren, ist eine Änderung erforderlich, und es muss ein Fenster für den Änderungsantrag bzw. die Wartung eingerichtet werden.

    Frage: Können die verbundenen Benutzer durch Hinzufügen oder Ändern eines Zertifikats getrennt werden?
    A. Nein, die Benutzer, die aktuell verbunden sind, bleiben in Verbindung. Das Zertifikat wird beim Verbindungsaufbau verwendet. Sobald die Benutzer die Verbindung wieder herstellen, wird das neue Zertifikat verwendet.

    Frage: Wie kann ich eine CSR-Anfrage mit einem Platzhalter erstellen? Oder einen alternativen Antragstellernamen (SAN)?
    A. Derzeit kann ASA/FTD keine CSR-Anfrage mit einem Platzhalter erstellen. Dieser Prozess kann jedoch mit OpenSSL durchgeführt werden. Um den CSR- und ID-Schlüssel zu generieren, können Sie die folgenden Befehle ausführen:
         openssl genrsa -out id.key 2048

         openssl req -out id.csr -key id.key -new
    Wenn ein Vertrauenspunkt mit dem FQDN-Attribut (Fully Qualified Domain Name) konfiguriert ist, enthält der von ASA/FTD erstellte CSR das SAN mit diesem Wert. Weitere SAN-Attribute können von der CA hinzugefügt werden, wenn sie den CSR signiert, oder der CSR kann mit OpenSSL erstellt werden

    Frage:  Wird der Zertifikatersatz sofort wirksam?

    A. Das neue Serveridentitätszertifikat wird nur für die neuen Verbindungen verwendet. Das neue Zertifikat ist sofort nach der Änderung einsatzbereit, wird aber tatsächlich mit neuen Verbindungen verwendet.

    Frage:  Wie kann ich überprüfen, ob die Installation funktioniert hat?
    A. Der zu überprüfende CLI-Befehl: show crypto ca cert <Vertrauensstellenname>

    F. Wie wird PKCS12 aus dem Identitätszertifikat, dem Zertifizierungsstellenzertifikat und dem privaten Schlüssel generiert?
    Antwort:  PKCS12 kann mit OpenSSL mit dem folgenden Befehl erstellt werden:
         openssl pkcs12 -export -out p12.pfx -inkey id.key -in id.crt -certfile ca.crt


    Frage:  Wie exportiere ich ein Zertifikat, um es in einer neuen ASA zu installieren?
    Antwort:

    • Mit CLI: Verwenden Sie den Befehl: crypto ca export <trustpointname> pkcs12 <Kennwort>

    • Mit ASDM:

      1. Navigieren Sie zu Configuration > Device Management > Certificate Management > Identity Certificates, und wählen Sie das Identity Certificate aus. Klicken Sie auf Exportieren.

        Cert Export 1

      2. Wählen Sie aus, wohin die Datei exportiert werden soll, geben Sie das Exportkennwort an, und klicken Sie auf Zertifikat exportieren.

        Cert Export 2

        Das exportierte Zertifikat kann sich auf dem Datenträger befinden. Bitte legen Sie die Passphrase an einem sicheren Ort, die Datei ist ohne sie nutzlos.


    Frage: Unterscheidet sich der Generierungsprozess für das SSL-Zertifikat bei Verwendung von ECDSA-Schlüsseln?
    A. Der einzige Konfigurationsunterschied besteht in der Erzeugung eines Tastenpaars, bei dem anstelle eines RSA-Tastenpaars ein ECDSA-Tastenpaar generiert werden kann. Die übrigen Schritte bleiben gleich.


    Frage: Muss immer ein neues Schlüsselpaar generiert werden?
    A.Der Schritt zum Generieren von Schlüsselpaaren ist optional. Vorhandenes Schlüsselpaar kann verwendet werden, oder im Fall von PKCS12 wird das Schlüsselpaar mit dem Zertifikat importiert. Informationen zur jeweiligen Anmeldungs-/Erneuerungsart finden Sie im Abschnitt Wählen Sie den Key-Pair-Namen aus.


    Frage: Ist es sicher, ein neues Schlüsselpaar für ein neues Identitätszertifikat zu generieren?
    A. Der Prozess ist sicher, solange ein neuer Schlüsselpaarname verwendet wird. In diesem Fall werden die alten Schlüsselpaare nicht geändert.


    Frage: Muss der Schlüssel erneut generiert werden, wenn eine Firewall ersetzt wird (z. B. RMA)?
    Antwort: Die neue Firewall enthält keine Schlüsselpaare auf der alten Firewall.
    Die Sicherung der aktuellen Konfiguration enthält nicht die Schlüsselpaare. Die vollständige Sicherung mit ASDM kann die Schlüsselpaare enthalten.
    Die Identitätszertifikate können von einem ASA-Gerät mit ASDM oder CLI exportiert werden, bevor ein Fehler auftritt. Bei einem Failover-Paar werden die Zertifikate und Schlüsselpaare mit einem Write Standby-Befehl mit einem Standby-Gerät synchronisiert. Falls ein Knoten des Failover-Paars ersetzt wird, reicht es aus, das grundlegende Failover zu konfigurieren und die Konfiguration auf das neue Gerät zu übertragen.
    Wenn ein Schlüsselpaar mit dem Gerät verloren geht und es keine Sicherung gibt, muss ein neues Zertifikat signiert werden, wobei das Schlüsselpaar auf dem neuen Gerät vorhanden ist.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    4.0
    15-Nov-2024
    Aktualisierte maschinelle Übersetzung und Formatierung.
    3.0
    25-Jul-2024
    Aktualisierter Alternativtext, Stilprobleme, Ausdrücke und Zeichensetzung/Groß-/Kleinschreibung.
    2.0
    22-Apr-2023
    Teilnehmerliste aktualisiert.
    1.0
    19-Apr-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Mateusz Grzesiak
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren