Introducción

Este documento describe cómo solicitar, instalar, confiar y renovar ciertos tipos de certificados en el software Cisco ASA administrado con ASDM.

Prerequisites

Requirements

• Antes de empezar a comprobar que el dispositivo de seguridad adaptable (ASA) tiene la hora del reloj, la fecha y la zona horaria correctas con autenticación de certificados, se recomienda utilizar un servidor de protocolo de tiempo de red (NTP) para sincronizar la hora en el ASA. Marque Información relacionada para referencia.
• Para solicitar un certificado que utilice la Solicitud de firma de certificado (CSR), es necesario tener acceso a una Autoridad de certificación (CA) interna o de terceros de confianza. Algunos ejemplos de proveedores de CA de terceros son, entre otros, Entrust, Geotrust, GoDaddy, Thawte y VeriSign.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• ASAv 9.18.1
• Para la creación de PKCS12, se utiliza OpenSSL.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Los tipos de certificados a los que se dirige este documento son:

• Certificados con firma automática
• Certificados firmados por una autoridad de certificación externa o una CA interna

Los protocolos de autenticación Secure Socket Layer (SSL), Transport Layer Security (TLS) e IKEv2 rfc7296 para EAP exigen que el servidor SSL/TLS/IKEv2 proporcione al cliente un certificado de servidor para que el cliente realice la autenticación del servidor. Se recomienda utilizar CA de terceros de confianza para emitir certificados SSL al ASA con este fin.

Cisco no recomienda el uso de un certificado autofirmado debido a la posibilidad de que un usuario pueda configurar inadvertidamente un navegador para confiar en un certificado de un servidor no autorizado. También existe la molestia para los usuarios de tener que responder a una advertencia de seguridad cuando se conecta al gateway seguro.

Consideraciones de seguridad de CA de confianza

Riesgos y recomendaciones de autenticación de certificados

Comportamiento predeterminado de uso de validación de Trustpoint

Cuando se instala un certificado de CA de confianza, se puede utilizar para autenticar diferentes tipos de conexiones VPN mediante la autenticación de certificados. Se controlavalidation-usagecon el comando trustpoint (Configuration > Device Management > Certificate Management >CA Certificates >Add -> More Options... > Advanced > select wanted Validation Usage).

Los tipos de uso de validación son:

• ipsec-client: Valida las conexiones del cliente IPsec.
• ssl-client: Valida las conexiones del cliente SSL.
• ssl-server: Valida los certificados de servidor SSL.

De forma predeterminada, el comando permite la validación para ipsec-client y ssl-client.

Riesgos de configuración predeterminados

• Cualquier certificado de CA instalado como de confianza se puede utilizar de forma predeterminada para autenticar certificados de identidad de cliente entrantes para cualquier grupo de túnel mediante la autenticación de certificados.
• Esta configuración predeterminada puede suponer un riesgo para la seguridad si no la conoce.

Acción Recomendada

Inhabilite el uso de validación para los puntos de confianza no deseados. Si un certificado de CA no está diseñado para autenticar peers o usuarios de VPN, inhabilite el uso de validación para ese punto de confianza.

Ejemplo de configuración:

Navigate to: Configuration > Device Management > Certificate Management > CA Certificates. 
a) Select a wanted trustpoint and click Edit. 
b) Navigate to Advanced and uncheck all Validation Usage options. 

trustpoint public-root-ca
 no validation-usage

Riesgos y recomendaciones de autorización

De forma predeterminada, se puede utilizar un certificado de CA de confianza para autenticar el par VPN o el usuario que se conecta a cualquier grupo de túnel. Se debe diseñar una autorización adecuada.

Acción Recomendada

Utilice mapas de certificados y mapas de grupos de túnel para asegurarse de que sólo se utilizan certificados autorizados para grupos de túnel específicos. Establezca una regla de mapa de grupo de túnel predeterminada que señale a un grupo de túnel sin acceso para restringir el acceso no autorizado.

Ejemplo de configuración

La autenticación de certificados solo se permite para:

• Máquinas con certificado emitido por cn=example.com y que tienen OU=máquinas en el asunto del certificado.
• Usuarios con certificado emitido por cn=example.com y usuarios OU=en asunto de certificado.

Los usuarios con otros certificados se asignan a no_access tunnel-group de forma predeterminada, graciastunnel-group-map default-group no_accessal comando. Las Reglas de Mapa de Certificados tienen prioridad sobre group-url graciastunnel-group-map enable rulesa comando. Conocer la url del grupo no ayuda a saltar las Reglas de Mapa de Certificados.

! Configure group-policy preventing VPN access:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add > General > More Options 
a) Uncheck Inherit next to Simultaneous Logins and set the value 0.
b) Uncheck Inherit next to Banner and set a wanted massage, for example NO ACCESS GROUP POLICY.

group-policy no_access_gp internal 
group-policy no_access_gp attributes 
 banner value NO ACCESS GROUP POLICY
 vpn-simultaneous-logins 0 


! Configure tunnel-groups for users and tunnel-group preventing VPN access:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles. Click Add and configure:
a) Authentication method as Certificate.
a) Client Address Pools.
b) DNS Servers.
c) Group Policy - for the no_access tunnel group use no_access_gp where simultaneous logins is set to 0.
d) Group URLs - only for the mgmt-tunnel and users_access tunnel groups. Navigate to: Advanced > Group Alias/Group URL, click Add in the Group URLs section and configure a group URL.  

tunnel-group mgmt-tunnel type remote-access
tunnel-group mgmt-tunnel general-attributes
 address-pool vpn_pool
 default-group-policy mgmt-tunnel
tunnel-group mgmt-tunnel webvpn-attributes
 authentication certificate
 group-url https://ftd.example.com/mgmt enable
!
tunnel-group users_access type remote-access
tunnel-group users_access general-attributes
 default-group-policy user_access_gp
 address-pool vpn_pool
tunnel-group users_access webvpn-attributes
 authentication certificate
 group-url https://ftd.example.com/users enable
!
tunnel-group no_access type remote-access
tunnel-group no_access general-attributes
 default-group-policy no_access_gp
 address-pool vpn_pool
tunnel-group no_access webvpn-attributes
 authentication certificate


! Create certificate maps for users and use the certificate maps for tunnel-group mapping:

Navigate to: Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect and Clientless SSL VPN Connection Profile Maps. 
a) Click Add to configure Certificate to Connection Profile Maps.
b) Select New and configure a certificate group map name, for example mgmt_tunnel_map or users_access_map.
c) Select a corresponding connection profile/tunnel group from the drop-down menu at Mapped to Connection Profile.
d) Click Add to configure Mapping Criteria.
e) Select: Field: Subject, Component: Organizational Unit (OU), Operator: Equals, Value: machines or users.
d) Select: Field: Issuer, Component: Common Name (CN), Operator: Equals, Value: example.com.

crypto ca certificate map mgmt_tunnel_map 10 
 issuer-name attr cn eq example.com 
 subject-name attr ou eq machines 
crypto ca certificate map users_access_map 10 
 issuer-name attr cn eq example.com 
 subject-name attr ou eq users 
!
webvpn 
 (...) 
 certificate-group-map mgmt_tunnel_map 10 mgmt-tunnel 
 certificate-group-map users_access_map 10 users_access


! Enable tunnel-group maps and set the default tunnel-group preventing access if a user certificate did not match any other certificate map:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > Certificate to Connection Profile Maps > Policy.
a) Check Use the configure rules to match a certificate to a Connection Profile.
b) Check Defult to Connection Profile and select from the drop-down menu the no-access connection profile/tunnel group.

tunnel-group-map enable rules
tunnel-group-map default-group no_access

Recursos adicionales

Para obtener instrucciones de configuración más detalladas, consulte la documentación de Cisco:

• Configuración de uso de validación -Referencia de comandos de Cisco Secure Firewall ASA Series, comandos T - Z
• Configuración del mapa de certificado -Referencia de Comandos de la Serie ASA de Cisco Secure Firewall, Comandos T - Z
• Configuración del Mapa de Grupo de Túnel -Referencia de Comandos de la Serie ASA de Cisco Secure Firewall, Comandos T - Z
• Tunnel-Group-Map Enable Configuration -Referencia de Comandos de la Serie ASA de Cisco Secure Firewall, Comandos T - Z

Solicitud e instalación de un nuevo certificado de identidad con ASDM

Se puede solicitar un certificado a una autoridad de certificación (CA) e instalarlo en un ASA de dos maneras:

1. Utilizar la solicitud de firma de certificado (CSR). Genere un par de claves, solicite un certificado de identidad de CA con una CSR e instale el certificado de identidad firmado obtenido de CA.
2. Utilice el archivo PKCS12 obtenido de una CA o exportado desde un dispositivo diferente. El archivo PKCS12 contiene pares de claves, certificados de identidad y certificados de CA.

Solicitar e instalar un nuevo certificado de identidad con solicitud de firma de certificado (CSR)

Se crea una CSR en el dispositivo que necesita un certificado de identidad; utilice un par de claves creado en el dispositivo.

Una CSR contiene:

• información de solicitud de certificado: asunto solicitado y otros atributos, clave pública del par de claves.
• información del algoritmo de firma
• firma digital de la información de solicitud de certificado, firmada con la clave privada del par de claves.

La CSR se pasa a la autoridad de certificación (CA) para que la firme, en un formulario PKCS#10.

El certificado firmado se devuelve desde la CA en un formulario PEM.

Nota:   La CA puede modificar los parámetros FQDN y nombre de sujeto definidos en el punto de confianza cuando firma el CSR y crea un certificado de identidad firmado.

Generación de un CSR con ASDM

1. Crear un punto de confianza con un nombre específico

   1. Vaya a Configuración > Administración de dispositivos > Administración de certificados > Certificados de identidad.

      

   2. Haga clic en Add (Agregar).
   3. Defina un nombre de punto de confianza.

      

   4. Haga clic en el botón de opción Add a New Identity Certificate .

2. (Opcional) Creación de un nuevo par de claves

   Nota: De forma predeterminada, se utiliza la clave RSA con el nombre Default-RSA-Key y un tamaño de 2048. Sin embargo, se recomienda utilizar un único par de claves pública y privada para cada certificado de identidad.

   1. Haga clic en Nuevo para generar un nuevo par de claves.

      

   2. Elija la opción Enter new Key Pair name e ingrese un nombre para el nuevo Key Pair.
   3. Elija el Tipo de clave: RSA o ECDSA.
   4. Elija el tamaño de clave; para RSA, seleccione Propósito general para Uso.
   5. Haga clic en Generar ahora. Ya se ha creado el par de claves.

      

3. Elija el nombre del par de claves

   • Elija el par de claves con el que firmar el CSR y al que se vinculará con el nuevo certificado.

     

4. Configure el asunto del certificado y el nombre de dominio completamente calificado (FQDN)

   Precaución: El parámetro FQDN debe coincidir con el FQDN o la dirección IP de la interfaz ASA para la que se utiliza el certificado de identidad. Este parámetro establece la extensión de nombre alternativo de sujeto (SAN) solicitada para el certificado de identidad. El cliente SSL/TLS/IKEv2 utiliza la extensión SAN para verificar si el certificado coincide con el FQDN al que se conecta.

   1. Haga clic en Seleccionar.

      

   2. En la ventana Certificate Subject DN, configure certificate attributes - choose attribute from drop-down list, ingrese el valor, haga clic en Add.

      

      

      Atributo	Descripción
      CN	El nombre a través del cual se puede acceder al firewall (normalmente el nombre de dominio completo, por ejemplo, vpn.example.com).
      OU	El nombre de su departamento dentro de la organización.
      O	El nombre registrado legalmente de su organización o empresa.
      C	Código de país (código de 2 letras sin puntuación).
      ST	El estado en el que se encuentra la organización.
      L	La ciudad en la que se encuentra su organización.
      EA	Dirección de correo

      Nota: Ninguno de los valores de los campos anteriores puede superar un límite de 64 caracteres. Un valor mayor podría causar problemas con la instalación del certificado de identidad. Además, no es necesario definir todos los atributos DN.

      Haga clic en Aceptar después de agregar todos los atributos.
   3. Configure el FQDN del dispositivo: haga clic en Advanced.

      

   4. En el campo FQDN, introduzca el nombre de dominio completo a través del cual se puede acceder al dispositivo desde Internet. Click OK.

      

5. Generar y guardar el CSR

   1. Haga clic en Agregar certificado.

      

   2. Se muestra un mensaje para guardar el CSR en un archivo en la máquina local.

      

      Haga clic en Browse, elija una ubicación en la que guardar el CSR, y guarde el archivo con la extensión .txt.

      Nota: Cuando el archivo se guarda con la extensión .txt, la solicitud PKCS#10 se puede abrir y ver con un editor de texto (como el Bloc de notas).

   3. Ahora el nuevo punto de confianza se muestra en estado Pendiente.

      

Instalación del Certificado de Identidad en formato PEM con ASDM

En los pasos de instalación, se supone que la CA firmó el CSR y proporcionó un paquete de certificados de CA y un certificado de identidad codificado por PEM (.pem, .cer, .crt).

1. Instalar el certificado de CA que firmó el CSR

   1. Vaya a Configuration > Device Management >Certificate Management > y elija CA Certificates. Haga clic en Add (Agregar).

      

   2. Ingrese el nombre de Trustpoint y seleccione Install From File, haga clic en el botón Browse, y seleccione el certificado intermedio . También puede pegar el certificado de CA codificado por PEM de un archivo de texto en el campo de texto.

      

      Nota: Instale el certificado de CA que firmó el CSR. Utilice el mismo nombre de punto de confianza que el certificado de identidad. Los otros certificados de CA superiores en la jerarquía PKI se pueden instalar en puntos de confianza independientes.

   3. Haga clic en Install Certificate. 

      

2. Instalar certificado de identidad

   1. Elija el Certificado de identidad creado previamente durante la generación de CSR. Haga clic en Instale.

      

      Nota: El campo Emitido por del certificado de identidad puede estar como No disponible y el campo Fecha de vencimiento como Pendiente. 

   2. Elija un archivo que contenga el Certificado de identidad codificado por PEM recibido de la CA, o abra el certificado codificado por PEM en un editor de texto y copie y pegue el Certificado de identidad proporcionado por la CA en el campo de texto.

      

      Nota: El certificado de identidad puede estar en formato .pem, .cer o .crt para instalar.

   3. Haga clic en Install Certificate.

      

3. Enlace del Nuevo Certificado a la Interfaz con ASDM

   El ASA debe configurarse para utilizar el nuevo certificado de identidad para las sesiones WebVPN que terminan en la interfaz especificada.

   1. Vaya a Configuration > Remote Access VPN > Advanced > SSL Settings.

   2. En Certificados, elija la interfaz que se utiliza para terminar las sesiones WebVPN. En este ejemplo, se utiliza la interfaz externa.

      Haga clic en Editar.

   3. En la lista desplegable Certificado, elija el certificado recién instalado.

      

   4. Click OK.

   5. Haga clic en Apply (Aplicar).

      

      Ahora el nuevo certificado de identidad está en uso.

Instalación de un Certificado de Identidad Recibido en Formato PKCS12 con ASDM

El archivo PKCS12 (formato .p12 o .pfx) contiene el certificado de identidad, el par de claves y los certificados de CA. Es creado por la CA, en el caso de un certificado comodín, o exportado desde un dispositivo diferente. Es un archivo binario y no se puede ver con el editor de texto.

1. Instalar la identidad y los certificados de CA desde un archivo PKCS12

   El certificado de identidad, los certificados de CA y el par de claves deben incluirse en un único archivo PKCS12. 
   1. Navegue hasta Configuration > Device Management > Certificate Management, y elija Identity Certificates.
   2. Haga clic en Add (Agregar).
   3. Especifique un nombre de punto de confianza.

      

   4. Haga clic en el botón de opción Import The Identity Certificate from a File .

      

   5. Introduzca la frase de paso utilizada para crear el archivo PKCS12.

      

   6. Haga clic en Agregar certificado.

      

      Nota: Al importar un PKCS12 con la cadena de certificados de CA, el ASDM crea automáticamente los puntos de confianza de CA ascendentes con nombres con el sufijo -number agregado.
      

2. Enlace del Nuevo Certificado a la Interfaz con ASDM

   El ASA debe configurarse para utilizar el nuevo certificado de identidad para las sesiones WebVPN que terminan en la interfaz especificada.

   1. Vaya a Configuration > Remote Access VPN > Advanced > SSL Settings.

   2. En Certificados, seleccione la interfaz que se utiliza para terminar las sesiones WebVPN. En este ejemplo, se utiliza la interfaz externa.

      Haga clic en Editar.

   3. En la lista desplegable Certificado, seleccione el certificado recién instalado.

      

   4. Click OK.

   5. Haga clic en Apply (Aplicar).

      

      Ahora el nuevo certificado de identidad está en uso.

Renovación de certificados

Renovación de un certificado inscrito con solicitud de firma de certificado (CSR) con ASDM

La renovación del certificado de CSR inscrito requiere que cree e inscriba un nuevo punto de confianza. Debe tener un nombre diferente (por ejemplo, nombre antiguo con sufijo de año de inscripción). Puede utilizar los mismos parámetros y par de claves que el certificado anterior, o puede utilizar otros diferentes.

Generación de un CSR con ASDM

1. Crear un nuevo punto de confianza con un nombre específico

   1. Vaya a Configuración > Administración de dispositivos > Administración de certificados > Certificados de identidad.

      

   2. Haga clic en Add (Agregar).
   3. Defina un nombre de punto de confianza.

      

   4. Haga clic en el botón de opción Agregar un nuevo certificado de identidad.

2. (Opcional) Creación de un nuevo par de claves 

   Nota: De forma predeterminada, se utiliza la clave RSA con el nombre Default-RSA-Key y un tamaño de 2048; sin embargo, se recomienda utilizar un único par de claves pública y privada para cada certificado de identidad.

   1. Haga clic en Nuevo para generar un nuevo par de claves.

      

   2. Elija la opción Enter new Key Pair name e ingrese un nombre para el nuevo Key Pair.
   3. Elija el Tipo de clave: RSA o ECDSA.
   4. Elija el tamaño de clave; para RSA, seleccione Propósito general para Uso.
   5. Haga clic en Generar ahora. Ya se ha creado el par de claves.

      

3. Seleccione el nombre del par de claves

   • Elija el Par de claves con el que firmar el CSR y que se vinculará con el nuevo certificado.

     

4. Configure el asunto del certificado y el nombre de dominio completamente calificado (FQDN)

   Precaución: El parámetro FQDN debe coincidir con el FQDN o la dirección IP de la interfaz ASA para la que se utiliza el certificado. Este parámetro establece el nombre alternativo del sujeto (SAN) para el certificado. El campo SAN es utilizado por el cliente SSL/TLS/IKEv2 para verificar si el certificado coincide con el FQDN al que se conecta.

   Nota:  La CA puede modificar los parámetros FQDN y nombre de sujeto definidos en el punto de confianza cuando firma el CSR y crea un certificado de identidad firmado.

   1. Haga clic en Seleccionar.

      

   2. En la ventana Certificate Subject DN, configure certificate attributes - select attribute from drop-down list, ingrese el valor, haga clic en Add.

      

      Atributo	Descripción
      CN	El nombre a través del cual se puede acceder al firewall (normalmente el nombre de dominio completo, por ejemplo, vpn.example.com).
      OU	El nombre de su departamento dentro de la organización.
      O	El nombre registrado legalmente de su organización o empresa.
      C	Código de país (código de 2 letras sin puntuación)
      ST	El estado en el que se encuentra la organización.
      L	La ciudad en la que se encuentra su organización.
      EA	Dirección de correo

      Nota: Ninguno de los campos anteriores puede superar un límite de 64 caracteres. Un valor mayor podría causar problemas con la instalación del certificado de identidad. Además, no es necesario definir todos los atributos DN.

      Haga clic en Aceptar después de agregar todos los atributos.
   3. Para configurar el FQDN del dispositivo, haga clic en Advanced.

      

   4. En el campo FQDN, introduzca el nombre de dominio completo a través del cual se puede acceder al dispositivo desde Internet. Click OK.

      

5. Generar y guardar el CSR

   1. Haga clic en Agregar certificado.

      

   2. Se muestra un mensaje para guardar el CSR en un archivo en la máquina local.

      

      Haga clic en Examinar. Elija una ubicación en la que guardar el CSR y guarde el archivo con la extensión .txt.

      Nota: Cuando el archivo se guarda con la extensión .txt, la solicitud PKCS#10 se puede abrir y ver con un editor de texto (como el Bloc de notas).

   3. Ahora el nuevo punto de confianza se muestra en estado Pendiente.

      

Instalación del Certificado de Identidad en Formato PEM con ASDM

En los pasos de instalación se supone que la CA firmó el CSR y proporcionó un nuevo paquete de certificados de identidad y certificados de CA codificado por PEM (.pem, .cer, .crt).

1. Instalar el certificado de CA que firmó el CSR

   El certificado de CA que firmó el certificado de identidad se puede instalar en el punto de confianza creado para el certificado de identidad. Si el certificado de identidad está firmado por una CA intermedia, este certificado de CA se puede instalar en el punto de confianza del certificado de identidad. Todos los certificados de CA en sentido ascendente en la jerarquía y se pueden instalar en puntos de confianza de CA independientes.
   1. Vaya a Configuración > Administración de dispositivos >Administración de certificados > y elija Certificados de CA. Haga clic en Add (Agregar).

      

   2. Ingrese el nombre de Trustpoint y elija Install From File, haga clic en el botón Browse, y elija el certificado intermedio . Como alternativa, pegue el certificado de CA codificado PEM de un archivo de texto en el campo de texto.

      

      Nota: Instale el certificado intermedio con el mismo nombre de punto de confianza que el nombre de punto de confianza del certificado de identidad, si el certificado de identidad está firmado por un certificado de CA intermedio.

   3. Haga clic en Install Certificate. 

      

      En el ejemplo, el nuevo certificado se firma con el mismo certificado de CA que el antiguo. El mismo certificado de CA está asociado ahora a dos puntos de confianza.
      

2. Instalar certificado de identidad

   1. Elija el Certificado de identidad creado previamente con la generación CSR. Haga clic en Instale.

      

      Nota: El certificado de identidad puede tener el campo Emitido por como No disponible, y el campo Fecha de vencimiento como Pendiente. 

   2. Elija un archivo que contenga el certificado de identidad con codificación PEM recibido de la CA, o abra el certificado con codificación PEM en un editor de texto, y copie y pegue el certificado de identidad proporcionado por la CA en el campo text.

      

      Nota: El certificado de identidad puede estar en formato .pem, .cer o .crt para instalar.

   3. Haga clic en Install Certificate.

      

      Después de la instalación, hay certificados de identidad nuevos y antiguos presentes.
      

3. Enlace del Nuevo Certificado a la Interfaz con ASDM

   El ASA debe configurarse para utilizar el nuevo certificado de identidad para las sesiones WebVPN que terminan en la interfaz especificada.

   1. Vaya a Configuration > Remote Access VPN > Advanced > SSL Settings.

   2. En Certificados, elija la interfaz que se utiliza para terminar las sesiones WebVPN. En este ejemplo, se utiliza la interfaz externa.

      Haga clic en Editar.

   3. En la lista desplegable Certificate, elija el certificado recién instalado.

      

   4. Click OK.

   5. Haga clic en Apply (Aplicar). Ahora el nuevo certificado de identidad está en uso.

      

Renovación de un Certificado Inscrito con el Archivo PKCS12 con ASDM

La renovación de certificados del certificado inscrito PKCS12 requiere que cree e inscriba un nuevo punto de confianza. Debe tener un nombre diferente (por ejemplo, nombre antiguo con sufijo de año de inscripción).

El archivo PKCS12 (formato .p12 o .pfx) contiene el certificado de identidad, el par de claves y los certificados de CA. Es creado por la CA, por ejemplo, en el caso de un certificado comodín, o exportado desde un dispositivo diferente. Es un archivo binario y no se puede ver con el editor de texto.

1. Instalación del certificado de identidad renovado y los certificados de CA desde un archivo PKCS12

   El certificado de identidad, los certificados de CA y el par de claves deben incluirse en un único archivo PKCS12.
   1. Navegue hasta Configuration > Device Management > Certificate Management, y elija Identity Certificates.
   2. Haga clic en Add (Agregar).
   3. Especifique un nuevo nombre de Trustpoint Name.

      

   4. Haga clic en el botón de opción Import The Identity Certificate from a File .

      

   5. Introduzca la frase de paso utilizada para crear el archivo PKCS12.

      

   6. Haga clic en Agregar certificado.

      

      Nota: Cuando se importa una cadena PKCS12 con certificados de CA, el ASDM crea los puntos de confianza de CA ascendentes automáticamente con nombres con el sufijo -number agregado.
      

2. Enlace del Nuevo Certificado a la Interfaz con ASDM

   El ASA debe configurarse para utilizar el nuevo certificado de identidad para las sesiones WebVPN que terminan en la interfaz especificada.

   1. Vaya a Configuration > Remote Access VPN > Advanced > SSL Settings.

   2. En Certificados, elija la interfaz que se utiliza para terminar las sesiones WebVPN. En este ejemplo, se utiliza la interfaz externa.

      Haga clic en Editar.

   3. En la lista desplegable Certificado, elija el certificado recién instalado.

      

   4. Click OK.

   5. Haga clic en Apply (Aplicar).

      

      Ahora el nuevo certificado de identidad está en uso.

Verificación

Siga estos pasos para verificar la correcta instalación del certificado de proveedor de terceros y su uso para conexiones VPN SSL.

Ver certificados instalados mediante ASDM

1. Navegue hasta Configuration > Remote Access VPN > Certificate Management, y elija Identity Certificates.
2. Puede aparecer el certificado de identidad emitido por el proveedor externo.

Troubleshoot

Este comando de depuración se debe recolectar en la CLI en caso de una falla en la Instalación del Certificado SSL.

• debug crypto ca 14

Preguntas Frecuentes

P. ¿Qué es un PKCS12?
R. En criptografía, PKCS12 define un formato de archivo de almacenamiento creado para almacenar muchos objetos criptográficos como un único archivo. Se suele utilizar para agrupar una clave privada con su certificado X.509 o para agrupar todos los miembros de una cadena de confianza.

P. ¿Qué es una RSC?
R. En los sistemas de infraestructura de clave pública (PKI), una solicitud de firma de certificado (también CSR o solicitud de certificación) es un mensaje enviado por un solicitante a una autoridad de registro de la infraestructura de clave pública para solicitar un Certificado de Identidad digital. Normalmente contiene la clave pública para la que se puede emitir el certificado, información que se utiliza para identificar el certificado firmado (como un nombre de dominio en Asunto) y protección de la integridad (por ejemplo, una firma digital).

P. ¿Dónde está la contraseña del PKCS12?
R. Cuando los certificados y los pares de claves se exportan a un archivo PKCS12, la contraseña se proporciona en el comando export.  Para importar un archivo pkcs12, el propietario del servidor de la CA o la persona que exportó el PKCS12 desde otro dispositivo debe proporcionar la contraseña.

P. ¿Cuál es la diferencia entre la raíz y la identidad?
R. En criptografía y seguridad del equipo, un certificado raíz es un certificado de clave pública que identifica una entidad emisora de certificados (CA) raíz. Los certificados raíz son autofirmados (y es posible que un certificado tenga varias rutas de confianza, por ejemplo, si el certificado fue emitido por una raíz que tenía una firma cruzada) y constituyen la base de una infraestructura de clave pública (PKI) basada en X.509. Un certificado de clave pública, también conocido como certificado digital o certificado de identidad, es un documento electrónico utilizado para probar la propiedad de una clave pública. El certificado incluye información sobre la clave, información sobre la identidad de su propietario (denominado el sujeto) y la firma digital de una entidad que ha verificado el contenido del certificado (denominada el emisor). Si la firma es válida y el software que examina el certificado confía en el emisor, puede utilizar esa clave para comunicarse de forma segura con el sujeto del certificado.

P. Instalé el certificado, ¿por qué no funciona?
R. Esto podría deberse a muchas razones, por ejemplo:

1. El certificado y el punto de confianza están configurados, pero no se han enlazado al proceso que los utiliza.  Por ejemplo, el punto de confianza que se va a utilizar no está enlazado a la interfaz externa que termina con los clientes de Anyconnect.

2. Hay instalado un archivo PKCS12, pero se producen errores debido a que falta el certificado de CA intermedio en el archivo PKCS12. Los clientes que tienen el certificado de la CA intermedia como de confianza, pero no tienen el certificado de la CA raíz como de confianza, no pueden verificar toda la cadena de certificados y notificar que el certificado de identidad del servidor no es de confianza.

3. Un certificado con atributos incorrectos puede provocar un error en la instalación o errores en el cliente. Por ejemplo, algunos atributos se codifican con un formato incorrecto. Otro motivo es que falta el nombre alternativo del sujeto (SAN) en el certificado de identidad o el nombre de dominio utilizado para acceder al servidor no está presente como SAN.

P. ¿La instalación de un certificado nuevo requiere un período de mantenimiento o provoca tiempo de inactividad?
R. La instalación de un nuevo certificado (identidad o CA) no es intrusiva y no causa tiempo de inactividad ni requiere una ventana de mantenimiento. Habilitar el uso de un nuevo certificado para un servicio existente es un cambio y requiere una ventana de solicitud de cambio/mantenimiento.

P. ¿Añadir o cambiar un certificado puede desconectar a los usuarios conectados?
R. No, los usuarios conectados actualmente permanecen conectados. El certificado se utiliza en el establecimiento de conexión. Una vez que los usuarios se vuelven a conectar, se utiliza el nuevo certificado.

P. ¿Cómo puedo crear un CSR con un comodín? ¿O un nombre alternativo del sujeto (SAN)?
R. Actualmente, el ASA/FTD no puede crear un CSR con comodín; sin embargo, este proceso se puede realizar con OpenSSL. Para generar la clave CSR e ID, puede ejecutar los comandos:
     openssl genrsa -out id.key 2048

     openssl req -out id.csr -key id.key -new
Cuando un punto de confianza se configura con el atributo de nombre de dominio completo (FQDN), la CSR creada por ASA/FTD contiene la SAN con ese valor. La CA puede agregar más atributos SAN cuando firma el CSR, o bien el CSR puede crearse con OpenSSL

P.  ¿La sustitución de certificados surte efecto inmediatamente?

R. El nuevo certificado de identidad del servidor se utiliza solamente para las nuevas conexiones. El nuevo certificado está listo para usarse inmediatamente después del cambio, pero en realidad se usa con nuevas conexiones.

P.  ¿Cómo puedo comprobar si la instalación ha funcionado?
A. El comando CLI para verificar: show crypto ca cert <trustpointname>

P. ¿Cómo generar PKCS12 a partir del Certificado de identidad, el certificado de CA y la clave privada?
A.  PKCS12 se puede crear con OpenSSL, con el comando:
     openssl pkcs12 -export -out p12.pfx -inkey id.key -in id.crt -certfile ca.crt

P.  ¿Cómo exportar un certificado para instalarlo en un nuevo ASA?
A.

• Con CLI: use el comando: crypto ca export <trustpointname> pkcs12 <password>

• Con ASDM:

  1. Navegue hasta Configuration > Device Management > Certificate Management > Identity Certificates y elija el Identity Certificate. Haga clic en Exportar.

     

  2. Elija dónde exportar el archivo, especifique la contraseña de exportación y haga clic en Exportar certificado.

     

     El certificado exportado puede estar en el disco del equipo. Coloque la frase de paso en un lugar seguro, el archivo no sirve de nada sin ella.

P. Si se utilizan claves ECDSA, ¿es diferente el proceso de generación de certificados SSL?
R. La única diferencia en la configuración es el paso de generación del par de claves, donde se puede generar un par de claves ECDSA en lugar de un par de claves RSA. El resto de los pasos siguen siendo los mismos.

P. ¿Siempre es necesario generar un nuevo par de claves?
R.El paso de generación del par de claves es opcional. Se puede utilizar un par de claves existente o, en el caso de PKCS12, el par de claves se importa con el certificado. Consulte la sección Select the Key Pair Name (Seleccione el nombre del par de claves) para ver el tipo de inscripción o reinscripción correspondiente.

P. ¿Es seguro generar un nuevo par de claves para un nuevo certificado de identidad?
R. El proceso es seguro siempre y cuando se utilice un nuevo nombre de par de claves. En tal caso, los pares de claves antiguos no se cambian.

P. ¿Es necesario volver a generar la clave cuando se sustituye un firewall (como RMA)?
R. El nuevo firewall por diseño no tiene pares de claves presentes en el firewall antiguo.
La copia de seguridad de la configuración en ejecución no contiene los pares de claves. La copia de seguridad completa realizada con ASDM puede contener los pares de claves.
Los certificados de identidad se pueden exportar desde un ASA con ASDM o CLI, antes de que falle. En caso de par de failover, los certificados y los pares de claves se sincronizan con una unidad en espera con el comando write standby. En caso de que se reemplace un nodo de par de conmutación por fallas, es suficiente configurar la conmutación por fallas básica e insertar la configuración en el nuevo dispositivo.
En caso de que se pierda un par de claves con el dispositivo y no haya una copia de seguridad, se debe firmar un nuevo certificado con el par de claves presente en el nuevo dispositivo.