Configurazione di Cisco VPN 3000 Concentrator 4.7.x per ottenere un certificato digitale e un certificato SSL

Opzioni per il download

PDF (787.4 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (793.1 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (1.1 MB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:21 aprile 2008

ID documento:4123

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Introduzione

Prerequisiti

Requisiti

Componenti usati

Convenzioni

Installare i certificati digitali sul concentratore VPN

Installare i certificati SSL sul concentratore VPN

Rinnova i certificati SSL sul concentratore VPN

Informazioni correlate

Introduzione

Questo documento include istruzioni dettagliate su come configurare i Cisco VPN serie 3000 concentrator per l'autenticazione con l'utilizzo di certificati digitali o di identità e certificati SSL.

Nota: in Concentrator VPN, è necessario disabilitare il bilanciamento del carico prima di generare un altro certificato SSL, in quanto ciò impedisce la generazione del certificato.

Per ulteriori informazioni sullo stesso scenario con PIX/ASA 7.x, consultare il documento sulla procedura per ottenere un certificato digitale da una CA di Microsoft Windows usando ASDM su un'ASA.

Per ulteriori informazioni sullo stesso scenario delle piattaforme Cisco IOS®, fare riferimento all'esempio di configurazione della registrazione di certificati Cisco IOS con i comandi di registrazione avanzata.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Per questo documento, è stato usato Cisco VPN 3000 Concentrator versione 4.7.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.

Installare i certificati digitali sul concentratore VPN

Attenersi alla seguente procedura:

Per selezionare la richiesta di certificato digitale o di identità, scegliere Amministrazione > Gestione certificati > Registra.
Scegliere Amministrazione > Gestione certificati > Registrazione > Certificato di identità e fare clic su Registra tramite richiesta PKCS10 (manuale).
Compilare i campi richiesti e quindi fare clic su Registra.

Questi campi vengono compilati in questo esempio.
- Nome comune: altiga30
- Unità organizzativa - IPSECCERT (l'unità organizzativa deve corrispondere al nome di gruppo IPSec configurato)
- Organizzazione—Cisco Systems
- Località: RTP
- Stato/Provincia—Carolina del Nord
- Paese—US
- Nome di dominio completo - (non utilizzato qui)
- Dimensione chiave—512
Nota: se si richiede un certificato SSL o un certificato di identità utilizzando il protocollo SCEP (Simple Certificate Enrollment Protocol), queste sono le uniche opzioni RSA disponibili.
- RSA 512 bit
- RSA 768 bit
- RSA 1024 bit
- RSA 2048 bit
- DSA 512 bit
- DSA 768 bit
- DSA 1024 bit
Dopo aver fatto clic su Registra, vengono visualizzate diverse finestre. La prima finestra conferma che è stato richiesto un certificato.

Viene inoltre visualizzata una nuova finestra del browser in cui è visualizzato il file di richiesta PKCS.
Sul server Autorità di certificazione (CA), evidenziare la richiesta e incollarla nel server CA per inviare la richiesta. Fare clic su Next (Avanti).
Selezionare Advanced request (Richiesta avanzata) e fare clic su Next (Avanti).
Selezionare Invia una richiesta di certificato utilizzando un file PKCS #10 con codifica Base64 o una richiesta di rinnovo utilizzando un file PKCS #7 con codifica Base64, quindi fare clic su Avanti.
Tagliare e incollare il file PKCS nel campo di testo sotto la sezione Richiesta salvata. Quindi fare clic su Invia.
Rilasciare il certificato di identità sul server CA.
Scaricare la radice e i certificati di identità. Sul server CA, selezionare Verifica un certificato in sospeso, quindi fare clic su Avanti.
Selezionare Codificato Base 64, quindi fare clic su Scarica certificato CA sul server CA.
Salvare il certificato di identità nell'unità locale.
Sul server CA, selezionare Recupera il certificato CA o l'elenco di revoche di certificati per ottenere il certificato radice. Quindi fare clic su Avanti.
Salvare il certificato radice nell'unità locale.
Installare i certificati radice e di identità nel concentratore VPN 3000. A tale scopo, selezionare Amministrazione > Gestione certificati > Installazione > Installa il certificato ottenuto mediante la registrazione. In Stato registrazione fare clic su Installa.
Fare clic su Upload File from Workstation (Carica file da workstation).
Fare clic su Sfoglia e selezionare il file del certificato radice salvato nell'unità locale.

Selezionare Installa per installare il certificato di identità nel concentratore VPN. L'Amministrazione | La finestra Gestione certificati viene visualizzata come conferma e il nuovo certificato di identità viene visualizzato nella tabella Certificati di identità.

Nota: completare la procedura seguente per generare un nuovo certificato in caso di errore del certificato.
1. Selezionare Amministrazione > Gestione certificati.
2. Fare clic su Elimina nella casella Azioni relativa all'elenco dei certificati SSL.
3. Selezionare Amministrazione > Riavvio del sistema.
4. Selezionare Save the active configuration at time of reboot, scegliere Now (Salva la configurazione attiva al momento del riavvio), quindi fare clic su Apply (Applica). È ora possibile generare un nuovo certificato al termine del ricaricamento.

Installare i certificati SSL sul concentratore VPN

Se si utilizza una connessione protetta tra il browser e VPN Concentrator, VPN Concentrator richiede un certificato SSL. È inoltre necessario un certificato SSL sull'interfaccia utilizzata per gestire il concentratore VPN e per WebVPN, nonché per ogni interfaccia che termina i tunnel WebVPN.

I certificati SSL dell'interfaccia, se inesistenti, vengono generati automaticamente quando VPN 3000 Concentrator viene riavviato dopo l'aggiornamento del software VPN 3000 Concentrator. Poiché un certificato autofirmato è generato automaticamente, non è verificabile. Nessuna autorità di certificazione ha garantito la propria identità. Tuttavia, questo certificato consente di stabilire un contatto iniziale con il concentratore VPN utilizzando il browser. Se si desidera sostituirlo con un altro certificato SSL autofirmato, eseguire la procedura seguente:

Scegliere Amministrazione > Gestione certificati.
Per visualizzare il nuovo certificato nella tabella Certificato SSL e sostituire quello esistente, fare clic su Genera.

Questa finestra consente di configurare i campi per i certificati SSL generati automaticamente da Concentrator VPN. Questi certificati SSL sono destinati alle interfacce e al bilanciamento del carico.

Se si desidera ottenere un certificato SSL verificabile, ovvero un certificato rilasciato da un'Autorità di certificazione, vedere la sezione Installazione dei certificati digitali sul concentratore VPN in questo documento per utilizzare la stessa procedura utilizzata per ottenere i certificati di identità. In questo caso, nella finestra Amministrazione > Gestione certificati > Registrazione fare clic su Certificato SSL (anziché su Certificato di identità).

Nota: consultare la sezione Amministrazione | Sezione Certificate Management di VPN 3000 Concentrator Reference Volume II: Administration and Monitoring Release 4.7 per informazioni complete sui certificati digitali e i certificati SSL.

Rinnova i certificati SSL sul concentratore VPN

In questa sezione viene descritto come rinnovare i certificati SSL:

Se si tratta del certificato SSL generato dal concentratore VPN, passare alla sezione Amministrazione > Gestione certificati su SSL. Fare clic sull'opzione renew per rinnovare il certificato SSL.

Se si tratta di un certificato concesso da un server CA esterno, attenersi alla seguente procedura:

Per eliminare i certificati scaduti dall'interfaccia pubblica, scegliere Amministrazione > Gestione certificati >Elimina in Certificati SSL.

Fare clic su Sì per confermare l'eliminazione del certificato SSL.
Per generare il nuovo certificato SSL, scegliere Amministrazione > Gestione certificati > Genera.

Verrà visualizzato il nuovo certificato SSL per l'interfaccia pubblica.