Configuración del Concentrador Cisco VPN 3000 4.7.x para Obtener un Certificado Digital y un Certificado SSL

Opciones de descarga

PDF (786.4 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (793.3 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (1.1 MB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:21 de abril de 2008

ID del documento:4123

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Convenciones

Instalar certificados digitales en el concentrador VPN

Instalar certificados SSL en el concentrador VPN

Renovación de certificados SSL en el concentrador VPN

Información Relacionada

Introducción

Este documento incluye instrucciones paso a paso sobre cómo configurar los Cisco VPN 3000 Series Concentrators para autenticarse con el uso de certificados digitales o de identidad y certificados SSL.

Nota: En el concentrador VPN, el balanceo de carga debe desactivarse antes de generar otro certificado SSL, ya que esto impide la generación del certificado.

Consulte Cómo obtener un Certificado Digital de una CA de Microsoft Windows que utiliza ASDM en un ASA para aprender más sobre el mismo escenario con PIX/ASA 7.x.

Consulte Ejemplo de Configuración de Inscripción de Certificados de Cisco IOS Usando Comandos de Inscripción Mejorados para obtener más información sobre el mismo escenario con las Plataformas Cisco IOS®.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en el Cisco VPN 3000 Concentrator que ejecuta la versión 4.7.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Instalar certificados digitales en el concentrador VPN

Complete estos pasos:

Elija Administration > Certificate Management > Enroll para seleccionar la solicitud de certificado digital o de identidad.
Elija Administration > Certificate Management > Enrollment > Identity Certificate y haga clic en Enroll via PKCS10 Request(Manual).
Rellene los campos solicitados y, a continuación, haga clic en Inscribir.

Estos campos se rellenan en este ejemplo.
- Nombre común: altiga30
- Unidad organizativa: IPSECCERT (la unidad organizativa debe coincidir con el nombre de grupo IPsec configurado)
- Organización: Cisco Systems
- Localidad: RTP
- Estado/provincia: Carolina del Norte
- País: Estados Unidos
- Nombre de dominio completo: (no se utiliza aquí)
- Tamaño de clave: 512
Nota: Si solicita un certificado SSL o un certificado de identidad mediante el protocolo simple de inscripción de certificados (SCEP), estas son las únicas opciones RSA disponibles.
- RSA 512 bits
- RSA 768 bits
- RSA 1024 bits
- RSA 2048 bits
- DSA 512 bits
- DSA 768 bits
- DSA 1024 bits
Después de hacer clic en Inscribir, aparecen varias ventanas. La primera ventana confirma que ha solicitado un certificado.

También se abre una nueva ventana del navegador y se muestra el archivo de solicitud PKCS.
En el servidor de la entidad de certificación (CA), resalte la solicitud y péguela en el servidor de la CA para enviarla. Haga clic en Next (Siguiente).
Seleccione Advanced request y haga clic en Next.
Seleccione Enviar una solicitud de certificado mediante un archivo PKCS #10 codificado en base64 o una solicitud de renovación mediante un archivo PKCS #7 codificado en base64 y, a continuación, haga clic en Siguiente.
Corte y pegue el archivo PKCS en el campo de texto de la sección Solicitud guardada. A continuación, haga clic en Enviar.
Emita el certificado de identidad en el servidor de la CA.
Descargue la raíz y los certificados de identidad. En el servidor de la CA, seleccione Comprobar un certificado pendiente y haga clic en Siguiente.
Seleccione Base 64 codificado y haga clic en Descargar certificado de CA en el servidor de la CA.
Guarde el certificado de identidad en la unidad local.
En el servidor de la CA, seleccione Recuperar el certificado de la CA o la lista de revocaciones de certificados para obtener el certificado raíz. Luego haga clic en Next (Siguiente).
Guarde el certificado raíz en la unidad local.
Instale la raíz y los certificados de identidad en el concentrador VPN 3000. Para hacerlo, seleccione Administration > Certificate Manager > Installation > Install certificate received via enrollment. En Estado de inscripción, haga clic en Instalar.
Haga clic en Cargar archivo desde la estación de trabajo.
Haga clic en Browse y seleccione el archivo de certificado raíz que guardó en su unidad local.

Seleccione Install para instalar el certificado de identidad en el concentrador VPN. La administración | La ventana Administración de certificados aparece como confirmación y el nuevo certificado de identidad aparece en la tabla Certificados de identidad.

Nota: Complete estos pasos para generar un nuevo certificado si falla el certificado.
1. Seleccione Administration > Certificate Management.
2. Haga clic en Eliminar en el cuadro Acciones para la lista Certificado SSL.
3. Seleccione Administration > System Reboot.
4. Seleccione Save the active configuration at time of reboot, elija Now y haga clic en Apply. Ahora puede generar un nuevo certificado después de que se complete la recarga.

Instalar certificados SSL en el concentrador VPN

Si utiliza una conexión segura entre su navegador y el concentrador VPN, el concentrador VPN requiere un certificado SSL. También necesita un certificado SSL en la interfaz que utiliza para administrar el concentrador VPN y para WebVPN, y para cada interfaz que termina los túneles WebVPN.

Los certificados SSL de la interfaz, si no existen, se generan automáticamente cuando el concentrador VPN 3000 se reinicia después de actualizar el software del concentrador VPN 3000. Dado que un certificado autofirmado se genera automáticamente, este certificado no se puede comprobar. Ninguna autoridad certificadora ha garantizado su identidad. Pero este certificado le permite hacer contacto inicial con el concentrador VPN usando el navegador. Si desea sustituirlo por otro certificado SSL autofirmado, siga estos pasos:

Elija Administration > Certificate Management.
Haga clic en Generate para mostrar el nuevo certificado en la tabla SSL Certificate y reemplazar el existente.

Esta ventana le permite configurar campos para los certificados SSL que el Concentrador VPN genera automáticamente. Estos certificados SSL son para interfaces y para balanceo de carga.

Si desea obtener un certificado SSL verificable (es decir, uno emitido por una autoridad certificadora), vea la sección Instalación de Certificados Digitales en el Concentrador VPN de este documento para utilizar el mismo procedimiento que utiliza para obtener certificados de identidad. Pero esta vez, en la ventana Administration > Certificate Management > Enroll, haga clic en SSL certificate (en lugar de Identity Certificate).

Nota: Consulte la sección Administración | Sección Gestión de Certificados de VPN 3000 Concentrator Reference Volume II: Administration and Monitoring Release 4.7 para obtener información completa sobre certificados digitales y certificados SSL.

Renovación de certificados SSL en el concentrador VPN

Esta sección describe cómo renovar los certificados SSL:

Si es para el certificado SSL generado por el Concentrador VPN, vaya a Administration > Certificate Management en la sección SSL. Haga clic en la opción renew y se renovará el certificado SSL.

Si se trata de un certificado concedido por un servidor de CA externo, siga estos pasos:

Elija Administration > Certificate Management >Delete bajo SSL Certificates para eliminar los certificados caducados de la interfaz pública.

Haga clic en Sí para confirmar la eliminación del certificado SSL.
Elija Administration > Certificate Management > Generate para generar el nuevo certificado SSL.

Aparece el nuevo certificado SSL para la interfaz pública.