Introduzione

Questo documento descrive come richiedere, installare, considerare attendibili e rinnovare alcuni tipi di certificati su software Cisco ASA gestito con ASDM.

Prerequisiti

Requisiti

• Prima di iniziare a verificare che l'ora, la data e il fuso orario dell'appliance ASA (Adaptive Security Appliance) siano corretti con l'autenticazione dei certificati, si consiglia di utilizzare un server NTP (Network Time Protocol) per sincronizzare l'ora sull'appliance ASA. Consultare Informazioni correlate per riferimento.
• Per richiedere un certificato che utilizza la richiesta di firma del certificato (CSR), è necessario disporre dell'accesso a un'Autorità di certificazione (CA) interna o di terze parti attendibile. Esempi di fornitori di CA di terze parti includono, tra gli altri, Entrust, Geotrust, GoDaddy, Thawte e VeriSign.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• ASAv 9.18.1
• Per la creazione di PKCS12, viene utilizzato OpenSSL.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

I tipi di certificati a cui si riferisce il documento sono:

• Certificati autofirmati
• Certificati firmati da un'Autorità di certificazione di terze parti o da una CA interna

SSL (Secure Sockets Layer), TLS (Transport Layer Security) e IKEv2 rfc7296 per i protocolli di autenticazione EAP richiedono che il server SSL/TLS/IKEv2 fornisca al client un certificato server per eseguire l'autenticazione del server. A tale scopo, è consigliabile utilizzare CA di terze parti attendibili per rilasciare certificati SSL all'appliance ASA.

Cisco sconsiglia di utilizzare un certificato autofirmato perché potrebbe essere impossibile configurare inavvertitamente un browser per considerare attendibile un certificato rilasciato da un server non autorizzato. Vi è inoltre l'inconveniente per gli utenti di dover rispondere a un avviso di sicurezza quando si connette al gateway sicuro.

Considerazioni sulla sicurezza delle CA attendibili

Rischi e suggerimenti per l'autenticazione dei certificati

Comportamento predefinito di Convalida-utilizzo del punto di trust

Quando è installato, un certificato CA attendibile può essere utilizzato per autenticare diversi tipi di connessioni VPN tramite l'autenticazione del certificato. È controllatovalidation-usagecon il comando trustpoint (Configurazione > Gestione dispositivi > Gestione certificati > Certificati CA > Aggiungi -> Altre opzioni... > Avanzate > Seleziona uso convalida desiderato).

I tipi di utilizzo della convalida sono:

• ipsec-client: Convalida le connessioni client IPSec.
• ssl-client: Convalida le connessioni client SSL.
• ssl-server: Convalida i certificati server SSL.

Per impostazione predefinita, il comando consente la convalida per ipsec-client e ssl-client.

Rischi di configurazione predefiniti

• Qualsiasi certificato CA installato come attendibile può essere utilizzato per impostazione predefinita per autenticare i certificati di identità client in ingresso per qualsiasi gruppo di tunnel che utilizza l'autenticazione dei certificati.
• Questa impostazione predefinita può rappresentare un rischio per la sicurezza se non se ne è a conoscenza.

Azione consigliata

Disabilitare l'utilizzo della convalida per i trust point non desiderati. Se un certificato CA non è destinato all'autenticazione di utenti o peer VPN, disabilitare la convalida dell'utilizzo per tale trust point.

Configurazione di esempio:

Navigate to: Configuration > Device Management > Certificate Management > CA Certificates. 
a) Select a wanted trustpoint and click Edit. 
b) Navigate to Advanced and uncheck all Validation Usage options. 

trustpoint public-root-ca
 no validation-usage

Rischi e raccomandazioni per l'autorizzazione

Per impostazione predefinita, è possibile utilizzare un certificato CA attendibile per autenticare un peer VPN o un utente che si connette a un gruppo di tunnel. È necessario progettare un'autorizzazione adeguata.

Azione consigliata

Utilizzare le mappe dei certificati e le mappe dei gruppi di tunnel per garantire che per gruppi di tunnel specifici vengano utilizzati solo i certificati autorizzati. Impostare una regola della mappa del gruppo di tunnel predefinito che punti a un gruppo di tunnel senza accesso per limitare l'accesso non autorizzato.

Esempio di configurazione

L'autenticazione del certificato è consentita solo per:

• Computer con certificato rilasciato da cn=example.com e con OU=machine in oggetto certificato.
• Utenti con certificato rilasciato da cn=example.com e con OU=users in soggetto certificato.

Gli utenti con altri certificati vengono assegnati a no_access tunnel-group per impostazione predefinita, tramitetunnel-group-map default-group no_accessil comando. Le regole di mapping dei certificati hanno la priorità sull'URL del gruppotunnel-group-map enable rulestramite il comando. La conoscenza dell'URL del gruppo non consente di ignorare le regole di mapping dei certificati.

! Configure group-policy preventing VPN access:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add > General > More Options 
a) Uncheck Inherit next to Simultaneous Logins and set the value 0.
b) Uncheck Inherit next to Banner and set a wanted massage, for example NO ACCESS GROUP POLICY.

group-policy no_access_gp internal 
group-policy no_access_gp attributes 
 banner value NO ACCESS GROUP POLICY
 vpn-simultaneous-logins 0 


! Configure tunnel-groups for users and tunnel-group preventing VPN access:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles. Click Add and configure:
a) Authentication method as Certificate.
a) Client Address Pools.
b) DNS Servers.
c) Group Policy - for the no_access tunnel group use no_access_gp where simultaneous logins is set to 0.
d) Group URLs - only for the mgmt-tunnel and users_access tunnel groups. Navigate to: Advanced > Group Alias/Group URL, click Add in the Group URLs section and configure a group URL.  

tunnel-group mgmt-tunnel type remote-access
tunnel-group mgmt-tunnel general-attributes
 address-pool vpn_pool
 default-group-policy mgmt-tunnel
tunnel-group mgmt-tunnel webvpn-attributes
 authentication certificate
 group-url https://ftd.example.com/mgmt enable
!
tunnel-group users_access type remote-access
tunnel-group users_access general-attributes
 default-group-policy user_access_gp
 address-pool vpn_pool
tunnel-group users_access webvpn-attributes
 authentication certificate
 group-url https://ftd.example.com/users enable
!
tunnel-group no_access type remote-access
tunnel-group no_access general-attributes
 default-group-policy no_access_gp
 address-pool vpn_pool
tunnel-group no_access webvpn-attributes
 authentication certificate


! Create certificate maps for users and use the certificate maps for tunnel-group mapping:

Navigate to: Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect and Clientless SSL VPN Connection Profile Maps. 
a) Click Add to configure Certificate to Connection Profile Maps.
b) Select New and configure a certificate group map name, for example mgmt_tunnel_map or users_access_map.
c) Select a corresponding connection profile/tunnel group from the drop-down menu at Mapped to Connection Profile.
d) Click Add to configure Mapping Criteria.
e) Select: Field: Subject, Component: Organizational Unit (OU), Operator: Equals, Value: machines or users.
d) Select: Field: Issuer, Component: Common Name (CN), Operator: Equals, Value: example.com.

crypto ca certificate map mgmt_tunnel_map 10 
 issuer-name attr cn eq example.com 
 subject-name attr ou eq machines 
crypto ca certificate map users_access_map 10 
 issuer-name attr cn eq example.com 
 subject-name attr ou eq users 
!
webvpn 
 (...) 
 certificate-group-map mgmt_tunnel_map 10 mgmt-tunnel 
 certificate-group-map users_access_map 10 users_access


! Enable tunnel-group maps and set the default tunnel-group preventing access if a user certificate did not match any other certificate map:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > Certificate to Connection Profile Maps > Policy.
a) Check Use the configure rules to match a certificate to a Connection Profile.
b) Check Defult to Connection Profile and select from the drop-down menu the no-access connection profile/tunnel group.

tunnel-group-map enable rules
tunnel-group-map default-group no_access

Ulteriori risorse

Per istruzioni di configurazione più dettagliate, fare riferimento alla documentazione di Cisco:

• Configurazione per l'utilizzo della convalida - Guida di riferimento ai comandi di Cisco Secure Firewall serie ASA, comandi T - Z
• Configurazione mappa certificati -Guida di riferimento ai comandi di Cisco Secure Firewall serie ASA, comandi T - Z
• Configurazione mappa tunnel-gruppo -Guida di riferimento ai comandi di Cisco Secure Firewall serie ASA, Comandi T - Z
• Configurazione tunnel-Group-Map Enable -Guida di riferimento ai comandi di Cisco Secure Firewall serie ASA, comandi T - Z

Richiedere e installare un nuovo certificato di identità con ASDM

È possibile richiedere un certificato a un'Autorità di certificazione (CA) e installarlo su un'appliance ASA in due modi:

1. Utilizzare la richiesta di firma del certificato (CSR). Generare una coppia di chiavi, richiedere un certificato di identità a una CA con un CSR, installare il certificato di identità firmato ottenuto dalla CA.
2. Utilizzare un file PKCS12 ottenuto da una CA o esportato da un dispositivo diverso. Il file PKCS12 contiene la coppia di chiavi, il certificato di identità e i certificati CA.

Richiedere e installare un nuovo certificato di identità con richiesta di firma del certificato (CSR)

Sul dispositivo viene creato un CSR che richiede un certificato di identità. Utilizzare una coppia di chiavi creata sul dispositivo.

Un CSR contiene:

• informazioni sulla richiesta di certificato: oggetto richiesto e altri attributi, chiave pubblica dalla coppia di chiavi.
• informazioni sull'algoritmo di firma
• firma digitale delle informazioni della richiesta di certificato, firmata con la chiave privata dalla coppia di chiavi.

Il CSR viene passato all'Autorità di certificazione (CA) in modo che lo firmi, in un formato PKCS#10.

Il certificato firmato viene restituito dalla CA in un modulo PEM.

Nota:   CA può modificare i parametri FQDN e Nome soggetto definiti nel Trustpoint quando firma il CSR e crea un certificato di identità firmato.

Generare un CSR con ASDM

1. Creazione di un trust point con un nome specifico

   1. Passare a Configurazione > Gestione dispositivi > Gestione certificati > Certificati di identità.

      

   2. Fare clic su Add.
   3. Definire un nome di trust.

      

   4. Fare clic sul pulsante di opzione Aggiungi nuovo certificato di identità.

2. (Facoltativo) Creare una nuova coppia di chiavi

   Nota: Per impostazione predefinita, viene utilizzata la chiave RSA con il nome Default-RSA-Key e una dimensione di 2048. È tuttavia consigliabile utilizzare una coppia di chiavi pubblica/privata univoca per ogni certificato di identità.

   1. Fare clic su Nuovo per generare una nuova coppia di chiavi.

      

   2. Scegliere l'opzione Immettere il nome della nuova coppia di chiavi e immettere un nome per la nuova coppia di chiavi.
   3. Scegliere il tipo di chiave: RSA o ECDSA.
   4. Scegliere la dimensione della chiave; per RSA, scegliere Uso generico.
   5. Fare clic su Genera ora. La coppia di chiavi è stata creata.

      

3. Scegliere il nome della coppia di chiavi

   • Scegliere la coppia di chiavi con cui firmare il CSR e da associare al nuovo certificato.

     

4. Configurare il soggetto del certificato e il nome di dominio completo (FQDN)

   Attenzione: Il parametro FQDN deve corrispondere all'FQDN o all'indirizzo IP dell'interfaccia ASA per cui viene utilizzato il certificato di identità. Questo parametro imposta l'estensione SAN (Subject Alternative Name) richiesta per il certificato di identità. L'estensione SAN viene utilizzata dal client SSL/TLS/IKEv2 per verificare se il certificato corrisponde all'FQDN a cui si connette.

   1. Fare clic su Seleziona.

      

   2. Nella finestra DN soggetto certificato, configurare gli attributi del certificato - scegliere l'attributo dall'elenco a discesa, immettere il valore, fare clic su Aggiungi.

      

      

      Attributo	Descrizione
      CN	Il nome attraverso il quale è possibile accedere al firewall (in genere il nome di dominio completo, ad esempio vpn.example.com).
      UO	Il nome del reparto all'interno dell'organizzazione.
      O	La ragione sociale legalmente registrata dell'azienda/organizzazione.
      C	Codice paese (codice a 2 lettere senza punteggiatura).
      ST	Stato in cui si trova l'organizzazione.
      L	Città in cui si trova l'organizzazione.
      EA	Indirizzo email

      Nota: Nessuno dei valori dei campi precedenti può superare il limite di 64 caratteri. Un valore più lungo può causare problemi con l'installazione del certificato di identità. Inoltre, non è necessario definire tutti gli attributi DN.

      Dopo aver aggiunto tutti gli attributi, fare clic su OK.
   3. Configurare l'FQDN del dispositivo - fare clic su Avanzate.

      

   4. Nel campo FQDN, immettere il nome di dominio completo tramite il quale il dispositivo è accessibile da Internet. Fare clic su OK.

      

5. Generare e salvare il CSR

   1. Fare clic su Aggiungi certificato.

      

   2. Viene visualizzato un prompt per salvare il CSR in un file sul computer locale.

      

      Fare clic su Sfoglia, scegliere un percorso in cui salvare il CSR e salvare il file con estensione .txt.

      Nota: Quando il file viene salvato con l'estensione .txt, la richiesta PKCS#10 può essere aperta e visualizzata con un editor di testo (ad esempio Blocco note).

   3. Il nuovo trust point verrà visualizzato in stato In sospeso.

      

Installare il certificato di identità in formato PEM con ASDM

Nelle procedure di installazione si presuppone che l'autorità di certificazione abbia firmato il CSR e abbia fornito un certificato di identità con codifica PEM (.pem,.cer, .crt) e un bundle di certificati CA.

1. Installa certificato CA con firma CSR

   1. Passare a Configurazione > Gestione dispositivi > Gestione certificati > e scegliere Certificati CA. Fare clic su Add.

      

   2. Immettere il nome del Trustpoint e selezionare Installa da file, fare clic su Pulsante Sfoglia e selezionare il certificato intermedio. In alternativa, incollare il certificato CA codificato PEM da un file di testo nel campo di testo.

      

      Nota: Installare il certificato CA che ha firmato il CSR. Utilizzare lo stesso nome del trust point del certificato di identità. Gli altri certificati CA di livello superiore nella gerarchia PKI possono essere installati in punti di attendibilità separati.

   3. Fare clic su Installa certificato. 

      

2. Installa certificato di identità

   1. Scegliere il certificato di identità creato in precedenza durante la generazione del CSR. Fare clic su Install (Installa).

      

      Nota: Il campo Rilasciato da può essere Non disponibile e il campo Data scadenza può essere In sospeso. 

   2. Scegliere un file contenente il certificato di identità con codifica PEM ricevuto dalla CA oppure aprire il certificato con codifica PEM in un editor di testo e copiare e incollare il certificato di identità fornito dalla CA nel campo di testo.

      

      Nota: Il certificato di identità può essere in formato .pem, .cer, .crt da installare.

   3. Fare clic su Installa certificato.

      

3. Associare il nuovo certificato all'interfaccia con ASDM

   È necessario configurare l'ASA in modo che usi il nuovo certificato di identità per le sessioni WebVPN che terminano sull'interfaccia specificata.

   1. Selezionare Configurazione > VPN ad accesso remoto > Avanzate > Impostazioni SSL.

   2. In Certificati scegliere l'interfaccia utilizzata per terminare le sessioni WebVPN. nell'esempio viene usata l'interfaccia esterna.

      Fare clic su Edit (Modifica).

   3. Nell'elenco a discesa Certificato scegliere il nuovo certificato installato.

      

   4. Fare clic su OK.

   5. Fare clic su Apply (Applica).

      

      A questo punto il nuovo certificato di identità è in uso.

Installare un certificato di identità ricevuto nel formato PKCS12 con ASDM

Il file PKCS12 (formato .p12 o .pfx) contiene il certificato di identità, la coppia di chiavi e i certificati CA. Viene creata dalla CA, in caso di certificato con caratteri jolly, o esportata da un dispositivo diverso. Si tratta di un file binario e non può essere visualizzato con un editor di testo.

1. Installare i certificati di identità e CA da un file PKCS12

   Il certificato di identità, i certificati CA e la coppia di chiavi devono essere raggruppati in un unico file PKCS12. 
   1. Passare a Configurazione > Gestione dispositivi > Gestione certificati e scegliere Certificati di identità.
   2. Fare clic su Add.
   3. Specificare il nome di un trust point.

      

   4. Fare clic sul pulsante di opzione Importa il certificato di identità da un file.

      

   5. Immettere la passphrase utilizzata per creare il file PKCS12.

      

   6. Fare clic su Aggiungi certificato.

      

      Nota: Quando si importa un PKCS12 con una catena di certificati CA, ASDM crea automaticamente i trust CA a monte con i nomi con il suffisso -number aggiunto.
      

2. Associare il nuovo certificato all'interfaccia con ASDM

   È necessario configurare l'ASA in modo che usi il nuovo certificato di identità per le sessioni WebVPN che terminano sull'interfaccia specificata.

   1. Selezionare Configurazione > VPN ad accesso remoto > Avanzate > Impostazioni SSL.

   2. In Certificati selezionare l'interfaccia utilizzata per terminare le sessioni WebVPN. nell'esempio viene usata l'interfaccia esterna.

      Fare clic su Edit (Modifica).

   3. Nell'elenco a discesa Certificato scegliere il certificato appena installato.

      

   4. Fare clic su OK.

   5. Fare clic su Apply (Applica).

      

      A questo punto il nuovo certificato di identità è in uso.

Rinnovo certificato

Rinnova un certificato registrato con Richiesta di firma del certificato (CSR) con ASDM

Il rinnovo del certificato di un certificato registrato CSR richiede la creazione e la registrazione di un nuovo punto di attendibilità. Deve avere un nome diverso, ad esempio vecchio con suffisso anno di registrazione. Può utilizzare gli stessi parametri e la stessa coppia di chiavi del certificato precedente oppure diversi.

Generare un CSR con ASDM

1. Creare un nuovo trust point con un nome specifico

   1. Passare a Configurazione > Gestione dispositivi > Gestione certificati > Certificati di identità.

      

   2. Fare clic su Add.
   3. Definire un nome di trust.

      

   4. Fare clic sul pulsante di opzione Aggiungi nuovo certificato di identità.

2. (Facoltativo) Creare una nuova coppia di chiavi 

   Nota: per impostazione predefinita, viene utilizzata la chiave RSA con il nome Default-RSA-Key e una dimensione di 2048; è tuttavia consigliabile utilizzare una coppia di chiavi pubblica/privata univoca per ogni certificato di identità.

   1. Fare clic su Nuovo per generare una nuova coppia di chiavi.

      

   2. Scegliere l'opzione Immettere il nome della nuova coppia di chiavi e immettere un nome per la nuova coppia di chiavi.
   3. Scegliere il tipo di chiave: RSA o ECDSA.
   4. Scegliere la dimensione della chiave; per RSA, scegliere Uso generico.
   5. Fare clic su Genera ora. La coppia di chiavi è stata creata.

      

3. Selezionare il nome della coppia di chiavi

   • Scegliere la coppia di chiavi con cui firmare il CSR e da associare al nuovo certificato.

     

4. Configurare il soggetto del certificato e il nome di dominio completo (FQDN)

   Attenzione: Il parametro FQDN deve corrispondere all'FQDN o all'indirizzo IP dell'interfaccia ASA per cui viene utilizzato il certificato. Questo parametro imposta il nome alternativo del soggetto (SAN) per il certificato. Il campo SAN viene utilizzato dal client SSL/TLS/IKEv2 per verificare se il certificato corrisponde all'FQDN a cui si connette.

   Nota:  CA può modificare i parametri FQDN e Nome soggetto definiti nel trust point quando firma il CSR e crea un certificato di identità firmato.

   1. Fare clic su Seleziona.

      

   2. Nella finestra DN soggetto certificato, configurare attributi certificato - selezionare l'attributo dall'elenco a discesa, immettere il valore, fare clic su Aggiungi.

      

      Attributo	Descrizione
      CN	Il nome attraverso il quale è possibile accedere al firewall (in genere il nome di dominio completo, ad esempio vpn.example.com).
      UO	Il nome del reparto all'interno dell'organizzazione.
      O	La ragione sociale legalmente registrata dell'azienda/organizzazione.
      C	Codice paese (codice a 2 lettere senza punteggiatura)
      ST	Stato in cui si trova l'organizzazione.
      L	Città in cui si trova l'organizzazione.
      EA	Indirizzo email

      Nota: Nessuno dei campi precedenti può superare il limite di 64 caratteri. Un valore più lungo può causare problemi con l'installazione del certificato di identità. Inoltre, non è necessario definire tutti gli attributi DN.

      Dopo aver aggiunto tutti gli attributi, fare clic su OK.
   3. Per configurare l'FQDN del dispositivo, fare clic su Avanzate.

      

   4. Nel campo FQDN, immettere il nome di dominio completo tramite il quale il dispositivo è accessibile da Internet. Fare clic su OK.

      

5. Generare e salvare il CSR

   1. Fare clic su Aggiungi certificato.

      

   2. Viene visualizzato un prompt per salvare il CSR in un file sul computer locale.

      

      Fare clic su Sfoglia. Scegliere un percorso in cui salvare il CSR e salvare il file con estensione txt.

      Nota: Quando il file viene salvato con l'estensione .txt, la richiesta PKCS#10 può essere aperta e visualizzata con un editor di testo (ad esempio Blocco note).

   3. Il nuovo trust point verrà visualizzato in stato In sospeso.

      

Installare il certificato di identità in formato PEM con ASDM

Nelle procedure di installazione si presuppone che l'autorità di certificazione abbia firmato il CSR e abbia fornito un nuovo certificato di identità e un bundle di certificati CA codificati PEM (.pem, .cer, .crt).

1. Installa certificato CA con firma CSR

   Il certificato CA che ha firmato il certificato di identità può essere installato nel punto di fiducia creato per il certificato di identità. Se il certificato di identità è firmato da un'autorità di certificazione intermedia, è possibile installare tale certificato nel punto di fiducia del certificato di identità. Tutti i certificati CA a monte nella gerarchia e possono essere installati in punti di trust CA distinti.
   1. Passare a Configurazione > Gestione dispositivi >Gestione certificati > e scegliere Certificati CA. Fare clic su Add.

      

   2. Immettere il nome del Trustpoint e scegliere Installa da file, fare clic su Pulsante Sfoglia e scegliere il certificato intermedio. In alternativa, incollare il certificato CA codificato PEM da un file di testo nel campo di testo.

      

      Nota: Installare il certificato intermedio con lo stesso nome di trust point del nome del trust point del certificato di identità, se il certificato di identità è firmato da un certificato CA intermedio.

   3. Fare clic su Installa certificato. 

      

      Nell'esempio il nuovo certificato è firmato con lo stesso certificato CA del precedente. Lo stesso certificato CA è ora associato a due Trustpoint.
      

2. Installa certificato di identità

   1. Scegliere il certificato di identità creato in precedenza con la generazione di CSR. Fare clic su Install (Installa).

      

      Nota: Il campo Rilasciato da del certificato di identità può essere Non disponibile e il campo Data scadenza può essere In sospeso. 

   2. Scegliere un file contenente il certificato di identità con codifica PEM ricevuto dall'autorità di certificazione oppure aprire il certificato con codifica PEM in un editor di testo e copiare e incollare il certificato di identità fornito dall'autorità di certificazione nel campo di testo.

      

      Nota: Il certificato di identità può essere in formato .pem, .cer, .crt da installare.

   3. Fare clic su Installa certificato.

      

      Dopo l'installazione, sono presenti certificati di identità vecchi e nuovi.
      

3. Associare il nuovo certificato all'interfaccia con ASDM

   È necessario configurare l'ASA in modo che usi il nuovo certificato di identità per le sessioni WebVPN che terminano sull'interfaccia specificata.

   1. Selezionare Configurazione > VPN ad accesso remoto > Avanzate > Impostazioni SSL.

   2. In Certificati scegliere l'interfaccia utilizzata per terminare le sessioni WebVPN. nell'esempio viene usata l'interfaccia esterna.

      Fare clic su Edit (Modifica).

   3. Nell'elenco a discesa Certificato scegliere il certificato appena installato.

      

   4. Fare clic su OK.

   5. Fare clic su Apply (Applica). A questo punto il nuovo certificato di identità è in uso.

      

Rinnova un certificato registrato con un file PKCS12 con ASDM

Il rinnovo del certificato di registrazione PKCS12 richiede la creazione e la registrazione di un nuovo trust point. Deve avere un nome diverso, ad esempio vecchio con suffisso anno di registrazione.

Il file PKCS12 (formato .p12 o .pfx) contiene il certificato di identità, la coppia di chiavi e i certificati CA. Viene creata dalla CA, ad esempio in caso di certificato con caratteri jolly, oppure esportata da un dispositivo diverso. Si tratta di un file binario e non può essere visualizzato con un editor di testo.

1. Installare il certificato di identità e i certificati CA rinnovati da un file PKCS12

   Il certificato di identità, i certificati CA e la coppia di chiavi devono essere raggruppati in un unico file PKCS12.
   1. Passare a Configurazione > Gestione dispositivi > Gestione certificati e scegliere Certificati identità.
   2. Fare clic su Add.
   3. Specificare un nuovo nome di trust point.

      

   4. Fare clic sul pulsante di opzione Importa il certificato di identità da un file.

      

   5. Immettere la passphrase utilizzata per creare il file PKCS12.

      

   6. Fare clic su Aggiungi certificato.

      

      Nota: Quando si importa una catena di certificati PKCS12 con CA, ASDM crea automaticamente i trust point CA a monte con nomi con suffisso -number aggiunto.
      

2. Associare il nuovo certificato all'interfaccia con ASDM

   È necessario configurare l'ASA in modo che usi il nuovo certificato di identità per le sessioni WebVPN che terminano sull'interfaccia specificata.

   1. Selezionare Configurazione > VPN ad accesso remoto > Avanzate > Impostazioni SSL.

   2. In Certificati scegliere l'interfaccia utilizzata per terminare le sessioni WebVPN. nell'esempio viene usata l'interfaccia esterna.

      Fare clic su Edit (Modifica).

   3. Nell'elenco a discesa Certificato scegliere il certificato appena installato.

      

   4. Fare clic su OK.

   5. Fare clic su Apply (Applica).

      

      A questo punto il nuovo certificato di identità è in uso.

Verifica

Utilizzare questa procedura per verificare la corretta installazione del certificato del fornitore di terze parti e utilizzarlo per le connessioni VPN SSL.

Visualizza certificati installati tramite ASDM

1. Passare a Configurazione > VPN ad accesso remoto > Gestione certificati e scegliere Certificati di identità.
2. È possibile visualizzare il certificato di identità rilasciato dal fornitore di terze parti.

Risoluzione dei problemi

Questo comando debug deve essere raccolto nella CLI in caso di errore durante l'installazione di un certificato SSL.

• debug crypto ca 14

Domande frequenti

D. Che cos'è PKCS12?
R. In crittografia, PKCS12 definisce un formato di file di archivio creato per memorizzare molti oggetti di crittografia come un unico file. Viene in genere utilizzato per includere una chiave privata nel relativo certificato X.509 o per includere tutti i membri di una catena di attendibilità.

D. Che cos'è un CSR?
A. Nei sistemi con infrastruttura a chiave pubblica (PKI), una richiesta di firma del certificato (anche CSR o richiesta di certificazione) è un messaggio inviato da un richiedente a un'autorità di registrazione dell'infrastruttura a chiave pubblica per richiedere un certificato di identità digitale. In genere contiene la chiave pubblica per la quale è possibile rilasciare il certificato, le informazioni utilizzate per identificare il certificato firmato (ad esempio un nome di dominio in Oggetto) e la protezione dell'integrità (ad esempio, una firma digitale).

D. Dov'è la password di PKCS12?
R. Quando si esportano certificati e coppie di chiavi in un file PKCS12, la password viene specificata nel comando di esportazione.  Per importare un file pkcs12, la password deve essere recapitata dal proprietario del server CA o dalla persona che ha esportato il PKCS12 da un altro dispositivo.

D. Qual è la differenza tra la radice e l'identità?
R. Nella crittografia e nella protezione del computer, un certificato radice è un certificato a chiave pubblica che identifica un'autorità di certificazione (CA) radice. I certificati radice sono autofirmati (ed è possibile che un certificato abbia più percorsi di attendibilità, ad esempio, se il certificato è stato rilasciato da una radice con firma incrociata) e costituiscono la base di un'infrastruttura a chiave pubblica (PKI) basata su X.509. Un certificato a chiave pubblica, noto anche come certificato digitale o certificato di identità, è un documento elettronico utilizzato per provare la proprietà di una chiave pubblica. Il certificato include informazioni sulla chiave, informazioni sull'identità del proprietario (denominato soggetto) e la firma digitale di un'entità che ha verificato il contenuto del certificato (denominata emittente). Se la firma è valida e il software che esamina il certificato considera attendibile l'emittente, può utilizzare tale chiave per comunicare in modo sicuro con il soggetto del certificato.

D. Ho installato il certificato, perché non funziona?
R. Ciò può essere dovuto a diversi motivi, ad esempio:

1. Il certificato e il trust point sono configurati, ma non sono stati associati al processo che li utilizza.  Ad esempio, il trust point da utilizzare non è associato all'interfaccia esterna che termina i client Anyconnect.

2. È installato un file PKCS12, ma vengono restituiti errori dovuti alla mancanza del certificato CA intermedio nel file PKCS12. I client in cui il certificato CA intermedio è considerato attendibile, ma il certificato CA radice non è considerato attendibile, non sono in grado di verificare l'intera catena di certificati e segnalare il certificato di identità del server come non attendibile.

3. Un certificato contenente attributi non corretti può causare errori di installazione o errori sul lato client. Alcuni attributi, ad esempio, vengono codificati utilizzando il formato errato. Un altro motivo è che nel certificato di identità manca il nome alternativo del soggetto (SAN) oppure il nome di dominio utilizzato per accedere al server non è presente come SAN.

D. L'installazione di un nuovo certificato richiede una finestra di manutenzione o causa tempi di inattività?
R. L'installazione di un nuovo certificato (identità o CA) non è intrusiva e non causa tempi di inattività né richiede un intervento di manutenzione. L'abilitazione di un nuovo certificato da utilizzare per un servizio esistente è una modifica e richiede una finestra di richiesta/manutenzione modifiche.

D. È possibile aggiungere o modificare un certificato per disconnettere gli utenti connessi?
R. No, gli utenti attualmente connessi rimangono connessi. Il certificato viene utilizzato al momento della connessione. Una volta riconnessi gli utenti, verrà utilizzato il nuovo certificato.

D. Come creare un CSR con un carattere jolly? O un nome alternativo del soggetto (SAN)?
A. Al momento, l'ASA/FTD non può creare un CSR con un carattere jolly; tuttavia, questo processo può essere eseguito con OpenSSL. Per generare la chiave CSR e ID, è possibile eseguire i comandi seguenti:
     openssl genrsa -out id.key 2048

     openssl req -out id.csr -key id.key -new
Quando un trust point è configurato con l'attributo FQDN (Fully Qualified Domain Name), il CSR creato da ASA/FTD contiene la SAN con tale valore. La CA può aggiungere altri attributi SAN quando firma il CSR oppure è possibile creare il CSR con OpenSSL

D.   La sostituzione del certificato ha effetto immediato?

R. Il nuovo certificato di identità del server viene utilizzato solo per le nuove connessioni. Il nuovo certificato è pronto per essere utilizzato subito dopo la modifica, ma viene utilizzato con le nuove connessioni.

D.   Come verificare se l'installazione funziona?
A. Il comando CLI da verificare: show crypto ca cert <nometrust>

D. Come generare PKCS12 dal certificato di identità, certificato CA e chiave privata?
R.  PKCS12 può essere creato con OpenSSL, con il comando:
     openssl pkcs12 -export -out p12.pfx -inkey id.key -in id.crt -certfile ca.crt

D.   Come esportare un certificato per installarlo in una nuova appliance ASA?
R.

• Con CLI: utilizzare il comando: crypto ca export <nometrust> pkcs12 <password>

• Con ASDM:

  1. Passare a Configurazione > Gestione dispositivi > Gestione certificati > Certificati di identità e scegliere il certificato di identità. Fare clic su Esporta.

     

  2. Scegliere dove esportare il file, specificare la password di esportazione e fare clic su Esporta certificato.

     

     Il certificato esportato può trovarsi sul disco del computer. Inserire la passphrase in un luogo sicuro. Il file è inutile senza password.

D. Se vengono utilizzate chiavi ECDSA, il processo di generazione del certificato SSL è diverso?
R. L'unica differenza di configurazione consiste nella fase di generazione della coppia di chiavi, in cui è possibile generare una coppia di chiavi ECDSA anziché una coppia di chiavi RSA. Il resto dei gradini rimane lo stesso.

D. È sempre necessario generare una nuova coppia di chiavi?
A. Il passo di generazione della coppia di chiavi è facoltativo. È possibile utilizzare una coppia di chiavi esistente oppure, nel caso di PKCS12, tale coppia viene importata con il certificato. Vedere la sezione Selezionare il nome della coppia di chiavi per il rispettivo tipo di registrazione/ri-registrazione.

D. È sicuro generare una nuova coppia di chiavi per un nuovo certificato di identità?
R. Il processo è sicuro se si utilizza un nuovo nome di coppia di chiavi. In questo caso, le vecchie coppie di chiavi non vengono modificate.

D. È necessario generare nuovamente la chiave quando si sostituisce un firewall (come RMA)?
R. Il nuovo firewall non dispone per impostazione predefinita di una coppia di chiavi sul firewall precedente.
Il backup della configurazione corrente non contiene le coppie di chiavi. Il backup completo eseguito con ASDM può contenere le coppie di chiavi.
I certificati di identità possono essere esportati da un'appliance ASA con ASDM o CLI prima che si verifichi un errore. In caso di coppia di failover, i certificati e le coppie di chiavi vengono sincronizzati su un'unità in standby con il comando write standby. Nel caso in cui venga sostituito un nodo di coppia di failover, è sufficiente configurare il failover di base ed eseguire il push della configurazione sul nuovo dispositivo.
Se una coppia di chiavi viene persa con il dispositivo e non è disponibile alcun backup, è necessario firmare un nuovo certificato con la coppia di chiavi presente nel nuovo dispositivo.