ASDM으로 SSL 인증서 설치 및 갱신

소개

이 문서에서는 SSL 인증서를 갱신하여 공급업체 또는 자체 인증서 서버의 ASA에 설치하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 절차는 ASDM(Adaptive Security Device Manager) 버전 6.0(2) 이상이 포함된 ASA(Adaptive Security Appliance) 버전 8.x와 관련이 있습니다.

이 문서의 절차는 설치된 인증서가 있고 SSL VPN 액세스에 사용되는 유효한 컨피그레이션을 기반으로 합니다. 현재 인증서가 삭제되지 않는 한 이 절차는 네트워크에 영향을 주지 않습니다. 이 절차는 원래 루트 CA를 발급한 것과 동일한 루트 인증서로 현재 인증서에 대해 새 CSR을 발급하는 방법에 대한 단계별 프로세스입니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

배경 정보

이 문서에서는 모든 인증서 공급업체 또는 자체 루트 인증서 서버에서 지침으로 사용할 수 있는 절차에 대해 설명합니다. 인증서 벤더에 특수한 인증서 매개변수 요구 사항이 필요한 경우가 있지만, 이 문서는 SSL 인증서를 갱신하고 8.0 소프트웨어를 사용하는 ASA에 설치하는 데 필요한 일반적인 단계를 제공하기 위한 것입니다.

절차

다음 단계를 완료하십시오.

1. Configuration(컨피그레이션) > Device Management(디바이스 관리) > Identity Certificates(ID 인증서) 아래에서 갱신할 인증서를 선택한 다음 Add(추가)를 클릭합니다.

   그림 1
   

2. Add Identity Certificate 아래에서 Add a new identity certificate 라디오 버튼을 선택하고 드롭다운 메뉴에서 키 쌍을 선택합니다.

   

   참고: SSH 키를 다시 생성하면 인증서가 무효화되므로 사용하지 않는 것이 좋습니다. RSA 키가 없는 경우 단계 a 및 b를 완료합니다. 그렇지 않으면 3단계로 진행합니다.

   그림 2
   

   1. (선택 사항) 아직 RSA 키가 구성되지 않은 경우 이 단계를 완료하고, 그렇지 않은 경우 3단계로 건너뜁니다.

      새로 만들기...를 클릭합니다.

   2. Enter new key pair name(새 키 쌍 이름 입력) 필드에 키 쌍 이름을 입력하고 Generate Now(지금 생성)를 클릭합니다.

      그림 3
      

3. 선택을 클릭합니다.

4. 그림 4와 같이 적절한 인증서 특성을 입력합니다. 완료되면 확인을 클릭합니다. 그런 다음 Add Certificate(인증서 추가)를 클릭합니다.

   그림 4
   

   CLI 출력:

   crypto ca trustpoint ASDM_TrustPoint0
           keypair CertKey
           id-usage ssl-ipsec 
           fqdn 5540-uwe
           subject-name CN=website address,OU=LAB,O=Cisco ystems,C=US,St=CA
           enrollment terminal
    crypto ca enroll ASDM_TrustPoint0
   

1. Identity Certificate Request(ID 인증서 요청) 팝업 창에서 CSR(Certificate Signing Request)을 텍스트 파일에 저장하고 OK(확인)를 클릭합니다.

   그림 5
   

2. (선택 사항) ASDM에서 CSR이 보류 중인지 확인합니다.

   그림 6
   

3. 서버에서 인증서를 발급하는 인증서 관리자에게 인증서 요청을 제출합니다. 웹 인터페이스, 이메일 또는 인증서 발급 프로세스를 위해 루트 CA 서버에 직접 연결할 수 있습니다.

4. 갱신된 인증서를 설치하려면 다음 단계를 완료합니다.

   1. 그림 6과 같이 Configuration(컨피그레이션) > Device Management(디바이스 관리) > Identity Certificates(ID 인증서) 아래에서 인증서 요청을 선택하고 Install(설치)을 클릭합니다.

   2. Install Identity Certificate(ID 인증서 설치) 창에서 Paste the certificate data in base-64 format(인증서 데이터를 base-64 형식으로 붙여넣기) 라디오 버튼을 선택하고 Install Certificate(인증서 설치)를 클릭합니다.

      

      참고: 인증서가 텍스트 기반 파일 또는 전자 메일이 아닌 .cer 파일로 발급된 경우 파일에서 설치를 선택하고 PC에서 적절한 파일을 찾은 다음 ID 인증서 파일 설치를 클릭한 다음 인증서 설치를 클릭할 수도 있습니다.

      그림 7
      

   CLI 출력:

   crypto ca import ASDM_TrustPoint0 certificate
   WIID2DCCAsCgAwIBAgIKYb9wewAAAAAAJzANBgkqhkiG9w0BAQUFADAQMQ       	
   
   !--- output truncated
   
   wPevLEOl6TsMwng+izPQZG/f0+AnXukWHQiUPwrYw83jqNIxi5aDV/4atBbgiiBa
   6duUocUGyQ+SgegCcmmEyMSd5UtbWAc4xOMMFw==
           quit

5. 인증서가 성공적으로 설치되었음을 확인하는 창이 나타납니다. OK(확인)를 클릭하여 확인합니다.

   그림 8

6. 새 인증서가 ID 인증서 아래에 나타나는지 확인합니다.

   그림 9
   

7. 새 인증서를 인터페이스에 바인딩하려면 다음 단계를 완료합니다.

   1. 그림 10과 같이 Configuration > Device Management > Advanced > SSL Settings를 선택합니다.

   2. Certificates(인증서)에서 인터페이스를 선택합니다. Edit를 클릭합니다.

   그림 10
   

8. 드롭다운 메뉴에서 새 인증서를 선택하고 OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.

   ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1   
   ssl trust-point ASDM_TrustPoint0 outside

   그림 11
   

9. ASDM 또는 CLI에 컨피그레이션을 저장합니다.

다음을 확인합니다.

이 샘플 출력에 표시된 대로 CLI 인터페이스를 사용하여 새 인증서가 ASA에 올바르게 설치되었는지 확인할 수 있습니다.

ASA(config)#show crypto ca certificates 
Certificate
  Status: Available
  Certificate Serial Number: 61bf707b000000000027
  Certificate Usage: General Purpose
  Public Key Type: RSA (1024 bits)
  Issuer Name: 
    cn=MS-CA
  Subject Name:
    cn=websiteaddress 
!---new certificate

    ou=LAB
    o=Cisco Systems
    st=CA
    c=US
  CRL Distribution Points: 
    [1]  http://win2k3-base1/CertEnroll/MS-CA.crl
    [2]  file://\\win2k3-base1\CertEnroll\MS-CA.crl
  Validity Date: 
    start date: 22:39:31 UTC Aug 29 2008
    end   date: 22:49:31 UTC Aug 29 2009
  Associated Trustpoints: ASDM_TrustPoint0 

CA Certificate
  Status: Available
  Certificate Serial Number: 211020a79cfd96b34ba93f3145d8e571
  Certificate Usage: Signature
  Public Key Type: RSA (2048 bits)
  Issuer Name: 
    cn=MS-CA
  Subject Name: 
    cn=MS-CA 
!---’old’ certificate

  CRL Distribution Points: 
    [1]  http://win2k3-base1/CertEnroll/MS-CA.crl
    [2]  file://\\win2k3-base1\CertEnroll\MS-CA.crl
  Validity Date: 
    start date: 00:26:08 UTC Jun 8 2006
    end   date: 00:34:01 UTC Jun 8 2011
  Associated Trustpoints: test 

Certificate
  Status: Available
  Certificate Serial Number: 611f8630000000000026
  Certificate Usage: General Purpose
  Public Key Type: RSA (1024 bits)
  Issuer Name: 
    cn=MS-CA
  Subject Name:
    cn=*.vpn1.com
  CRL Distribution Points: 
    [1]  http://win2k3-base1/CertEnroll/MS-CA.crl
    [2]  file://\\win2k3-base1\CertEnroll\MS-CA.crl
  Validity Date: 
    start date: 23:53:16 UTC Mar 10 2008
    end   date: 00:03:16 UTC Mar 11 2009
  Associated Trustpoints: test 

ASA(config)#

문제 해결

(선택 사항) CLI에서 올바른 인증서가 인터페이스에 적용되었는지 확인합니다.

ASA(config)#show running-config ssl
ssl trust-point ASDM_TrustPoint0 outside 

!--- Shows that the correct trustpoint is tied to the outside interface that terminates SSL VPN.

ASA(config)#

한 ASA에서 다른 ASA로 SSL 인증서를 복사하는 방법

내보내기 가능한 키를 생성한 경우 이 작업을 수행할 수 있습니다. 인증서를 PKCS 파일로 내보내야 합니다. 여기에는 연결된 모든 키의 내보내기가 포함됩니다.

다음 명령을 사용하여 CLI를 통해 인증서를 내보냅니다.

ASA(config)#crypto ca export 
     
     
       pkcs12 
       
     

CLI에서 인증서를 가져오려면 다음 명령을 사용합니다.

SA(config)#crypto ca import 
     
     
       pkcs12 
       
     

ASA 장애 조치 쌍에 대해 ASDM을 통해서도 이 작업을 수행할 수 있습니다. 이 작업을 수행하려면 다음 단계를 완료하십시오.

1. ASDM을 통해 기본 ASA에 로그인하고 Tools(툴) > Backup Configuration(백업 컨피그레이션)을 선택합니다.

2. 모든 항목을 백업하거나 인증서를 백업할 수 있습니다.

3. 스탠바이에서 ASDM을 열고 Tools(툴) > Restore Configuration(컨피그레이션 복원)을 선택합니다.

관련 정보

• Cisco ASA 지원 페이지
• 기술 지원 및 문서 − Cisco Systems