Configuration du concentrateur Cisco VPN 3000 version 4.7.x pour obtenir un certificat numérique et un certificat SSL

Options de téléchargement

  • PDF     (786.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (794.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:21 avril 2008
ID du document:4123

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document inclut des instructions détaillées sur la façon de configurer les concentrateurs de la gamme Cisco VPN 3000 pour l'authentification avec l'utilisation de certificats numériques ou d'identité et de certificats SSL.

Remarque : dans le concentrateur VPN, l'équilibrage de charge doit être désactivé avant de générer un autre certificat SSL, car cela empêche la génération du certificat.

Référez-vous à Comment obtenir un certificat numérique à partir d'une autorité de certification Microsoft Windows en utilisant ASDM sur un ASA afin d'en savoir plus sur le même scénario avec PIX/ASA 7.x.

Référez-vous à Exemple de configuration de l'inscription de certificat Cisco IOS à l'aide des commandes d'inscription améliorée afin d'en savoir plus sur le même scénario avec les plates-formes Cisco IOS®.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur le concentrateur Cisco VPN 3000 qui exécute la version 4.7.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Installer des certificats numériques sur le concentrateur VPN

Procédez comme suit :

  1. Choisissez Administration > Certificate Management > Enroll afin de sélectionner la demande de certificat numérique ou d'identité.

    installdigital-16.gif

  2. Choisissez Administration > Certificate Management > Enrollment > Identity Certificate et cliquez sur Enroll via PKCS10 Request(Manual).

    installdigital-17.gif

  3. Remplissez les champs requis, puis cliquez sur Enroll.

    Ces champs sont remplis dans cet exemple.

    • Nom commun : altiga30

    • Unité d'organisation : IPSECCERT (l'unité d'organisation doit correspondre au nom de groupe IPsec configuré)

    • Organisation : Cisco Systems

    • Localité : RTP

    • État/Province—Caroline du Nord

    • Pays - États-Unis

    • Nom de domaine complet : (non utilisé ici)

    • Taille de clé : 512

    Remarque : si vous demandez un certificat SSL ou un certificat d'identité à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol), ce sont les seules options RSA disponibles.

    • Bits RSA 512

    • RSA 768 bits

    • Bits RSA 1024

    • Bits RSA 2048

    • DSA 512 bits

    • DSA 768 bits

    • DSA 1024 bits

    installdigital_01.gif

  4. Après avoir cliqué sur Enroll, plusieurs fenêtres s'affichent. La première fenêtre confirme que vous avez demandé un certificat.

    installdigital_02.gif

    Une nouvelle fenêtre de navigateur s'ouvre également et affiche votre fichier de demande PKCS.

    installdigital_02a.gif

  5. Sur votre serveur d'autorité de certification (CA), mettez en surbrillance la demande et collez-la dans votre serveur de CA afin d'envoyer votre demande. Cliquez sur Next (Suivant).

    installdigital_03.gif

  6. Sélectionnez Demande avancée et cliquez sur Suivant.

    installdigital_04.gif

  7. Sélectionnez Envoyer une demande de certificat à l'aide d'un fichier PKCS #10 codé en base64 ou une demande de renouvellement à l'aide d'un fichier PKCS #7 codé en base64, puis cliquez sur Suivant.

    installdigital_05.gif

  8. Coupez et collez votre fichier PKCS dans le champ de texte sous la section Requête enregistrée. Cliquez ensuite sur Envoyer.

    installdigital_06.gif

  9. Émettez le certificat d'identité sur le serveur AC.

    installdigital_07.gif

  10. Téléchargez les certificats racine et d'identité. Sur votre serveur AC, sélectionnez Vérifier un certificat en attente, puis cliquez sur Suivant.

    installdigital_08.gif

  11. Sélectionnez Base 64 encoded, puis cliquez sur Download CA certificate sur le serveur CA.

    installdigital_09.gif

  12. Enregistrez le certificat d'identité sur votre lecteur local.

    installdigital_10.gif

  13. Sur le serveur AC, sélectionnez Retrieve the CA certificate or certificate revocation list afin d'obtenir le certificat racine. Cliquez ensuite sur Next.

    installdigital_11.gif

  14. Enregistrez le certificat racine sur votre lecteur local.

    installdigital_12.gif

  15. Installez les certificats racine et d'identité sur le concentrateur VPN 3000. Pour ce faire, sélectionnez Administration > Certificate Manager > Installation > Install certificate obtain via enrollment. Sous Enrollment Status, cliquez sur Install.

    installdigital_13.gif

  16. Cliquez sur Upload File from Workstation.

    installdigital_14.gif

  17. Cliquez sur Browse et sélectionnez le fichier de certificat racine que vous avez enregistré sur votre lecteur local.

    Sélectionnez Install pour installer le certificat d'identité sur le concentrateur VPN. L'administration | La fenêtre Gestion des certificats apparaît sous forme de confirmation et votre nouveau certificat d'identité apparaît dans le tableau Certificats d'identité.

    installdigital_15.gif

    Remarque : effectuez ces étapes pour générer un nouveau certificat en cas d'échec du certificat.

    1. Sélectionnez Administration > Certificate Management.

    2. Cliquez sur Delete dans la zone Actions pour la liste Certificat SSL.

    3. Sélectionnez Administration > System Reboot.

    4. Sélectionnez Save the active configuration at time of reboot, choisissez Now, puis cliquez sur Apply. Vous pouvez désormais générer un nouveau certificat une fois le rechargement terminé.

Installer les certificats SSL sur le concentrateur VPN

Si vous utilisez une connexion sécurisée entre votre navigateur et le concentrateur VPN, le concentrateur VPN nécessite un certificat SSL. Vous avez également besoin d'un certificat SSL sur l'interface que vous utilisez pour gérer le concentrateur VPN et pour WebVPN, et pour chaque interface qui termine les tunnels WebVPN.

Les certificats SSL de l'interface, s'ils n'existent pas, sont automatiquement générés lorsque le concentrateur VPN 3000 redémarre après la mise à niveau du logiciel du concentrateur VPN 3000. Étant donné qu'un certificat auto-signé est auto-généré, ce certificat n'est pas vérifiable. Aucune autorité de certification n'a garanti son identité. Mais ce certificat vous permet d'établir un premier contact avec le concentrateur VPN à l'aide du navigateur. Si vous souhaitez le remplacer par un autre certificat SSL auto-signé, procédez comme suit :

  1. Choisissez Administration > Certificate Management.

    installdigital-18.gif

  2. Cliquez sur Generate afin d'afficher le nouveau certificat dans la table Certificat SSL et de remplacer le certificat existant.

    Cette fenêtre vous permet de configurer des champs pour les certificats SSL que le concentrateur VPN génère automatiquement. Ces certificats SSL sont destinés aux interfaces et à l'équilibrage de charge.

    installdigital-19.gif

    Si vous voulez obtenir un certificat SSL vérifiable (c'est-à-dire émis par une autorité de certification), consultez la section Installer des certificats numériques sur le concentrateur VPN de ce document afin d'utiliser la même procédure que vous utilisez pour obtenir des certificats d'identité. Mais cette fois, dans la fenêtre Administration > Certificate Management > Enroll, cliquez sur SSL certificate (au lieu de Identity Certificate).

    Remarque : reportez-vous à la section Administration | Section Certificate Management du volume de référence II du concentrateur VPN 3000 : Administration and Monitoring Release 4.7 pour des informations complètes sur les certificats numériques et les certificats SSL.

Renouveler les certificats SSL sur le concentrateur VPN

Cette section décrit comment renouveler les certificats SSL :

S'il s'agit du certificat SSL généré par le concentrateur VPN, accédez à Administration > Certificate Management sur la section SSL. Cliquez sur l'option renew, et qui renouvelle le certificat SSL.

S'il s'agit d'un certificat accordé par un serveur AC externe, procédez comme suit :

  1. Choisissez Administration > Certificate Management > Delete sous SSL Certificates afin de supprimer les certificats expirés de l'interface publique.

    installdigital-20.gif

    Cliquez sur Yes afin de confirmer la suppression du certificat SSL.

    installdigital-21.gif

  2. Choisissez Administration > Certificate Management > Generate afin de générer le nouveau certificat SSL.

    installdigital-22.gif

    Le nouveau certificat SSL pour l'interface publique s'affiche.

    installdigital-23.gif

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
07-Sep-2001
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits