CLI로 관리되는 ASA에 인증서 설치 및 갱신
다운로드 옵션
업데이트:2024년 11월 27일
문서 ID:220282
편견 없는 언어
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
이 번역에 관하여
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
목차
소개
이 문서에서는 CLI로 관리되는 Cisco ASA Software에서 특정 유형의 인증서를 요청, 설치, 신뢰 및 갱신하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- ASA(Adaptive Security Appliance)에 올바른 클록 시간, 날짜 및 표준 시간대가 있는지 확인합니다. 인증서 인증에서는 NTP(Network Time Protocol) 서버를 사용하여 ASA의 시간을 동기화하는 것이 좋습니다. 관련 정보를 참조하십시오.
- CSR(Certificate Signing Request)을 사용하는 인증서를 요청하려면 신뢰할 수 있는 내부 또는 서드파티 CA(Certificate Authority)에 액세스해야 합니다. 서드파티 CA 벤더의 예로는 Entrust, Geotrust, GoDaddy, Thawte, VeriSign 등이 있습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- ASAv 9.18.1
- PKCS12 생성에는 OpenSSL이 사용됩니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
이 문서에서 다루는 인증서의 유형은 CLI(Command Line Interface)로 관리되는 Cisco Adaptive Security Appliance Software에서 자체 서명 인증서, 타사 인증 기관에서 서명한 인증서 또는 내부 CA입니다.
신뢰할 수 있는 CA 보안 고려 사항
인증서 인증 위험 및 권장 사항
기본 신뢰 지점 검증-사용 동작
신뢰할 수 있는 CA 인증서가 설치된 경우 이를 사용하여 crypto ca trustpoint authenticate,인증서 인증을 사용하여 다양한 유형의 VPN 연결을 인증할 수 있습니다. 신뢰 지점 명령으로 validation-usage 제어됩니다. 검증 사용 유형은 다음과 같습니다.
- ipsec 클라이언트: IPsec 클라이언트 연결을 확인합니다.
- ssl 클라이언트: SSL 클라이언트 연결을 검증합니다.
- ssl 서버: SSL 서버 인증서를 검증합니다.
기본적으로 이 명령은 ipsec-client 및 ssl-client에 대한 검증을 허용합니다.
기본 컨피그레이션 위험
- 신뢰할 수 있는 것으로 설치된 모든 CA 인증서는 인증서 인증을 사용하여 모든 터널 그룹에 대해 들어오는 클라이언트 ID 인증서를 인증하는 데 기본적으로 사용될 수 있습니다.
- 이 기본 설정을 알지 못하는 경우 보안 위험이 될 수 있습니다.
권장 조치
의도하지 않은 신뢰 지점에 대해 validation-usage를 비활성화합니다. CA 인증서가 VPN 피어 또는 사용자를 인증하기 위한 것이 아닌 경우 해당 신뢰 지점에 대해 validation-usage를 비활성화합니다.
컨피그레이션 예
trustpoint public-root-ca no validation-usage
권한 부여 위험 및 권장 사항
기본적으로 트러스트된 CA 인증서를 사용하여 모든 터널 그룹에 연결하는 VPN 피어 또는 사용자를 인증할 수 있습니다. 적절한 권한 부여를 설계해야 합니다.
권장 조치
인증서 맵 및 터널 그룹 맵을 사용하여 특정 터널 그룹에 대해 인증된 인증서만 사용하도록 합니다. 무단 액세스를 제한하기 위해 no-access 터널 그룹을 가리키는 기본 터널 그룹 맵 규칙을 설정합니다.
컨피그레이션 예
인증서 인증은 다음에 대해서만 허용됩니다.
- CN=example.com에서 발급한 인증서가 있고 인증서 주체의 OU=machine이 있는 시스템.
- cn=example.com에서 발급한 인증서를 가진 사용자 및 인증서 주체의 OU=users를 가진 사용자.
다른 인증서가 있는 사용자는 명령에 의해 기본적으로 no_access 터널 그룹에 tunnel-group-map default-group no_access 할당됩니다. 명령 덕분에 인증서 맵 규칙이 group-url보다 우선 순위를 tunnel-group-map enable rules 갖습니다. group-url을 알고 있으면 인증서 맵 규칙을 우회하는 데 도움이 되지 않습니다.
! Configure group-policy preventing VPN access:
group-policy no_access_gp internal group-policy no_access_gp attributes banner value NO ACCESS GROUP POLICY (...) vpn-simultaneous-logins 0 !
! Configure tunnel-groups for users:
tunnel-group mgmt-tunnel type remote-access tunnel-group mgmt-tunnel general-attributes address-pool vpn_pool default-group-policy mgmt-tunnel tunnel-group mgmt-tunnel webvpn-attributes authentication certificate group-url https://ftd.example.com/mgmt enable ! tunnel-group users_access type remote-access tunnel-group users_access general-attributes default-group-policy user_access_gp address-pool vpn_pool tunnel-group users_access webvpn-attributes authentication certificate group-url https://ftd.example.com/users enable !
! Configure tunnel-group preventing VPN access:
tunnel-group no_access type remote-access tunnel-group no_access general-attributes default-group-policy no_access_gp address-pool vpn_pool tunnel-group no_access webvpn-attributes authentication certificate !
! Create certificate maps for users:
crypto ca certificate map mgmt_tunnel_map 10 issuer-name attr cn eq example.com subject-name attr ou eq machines
! crypto ca certificate map users_access_map 10 issuer-name attr cn eq example.com subject-name attr ou eq users !
! Configure webvpn to use the certificate maps for tunnel-group mapping:
webvpn (...) certificate-group-map mgmt_tunnel_map 10 mgmt-tunnel certificate-group-map users_access_map 10 users_access !
! Enable tunnel-group maps and set the default tunnel-group preventing access if a user certificate did not match any other certificate map:
tunnel-group-map enable rules tunnel-group-map default-group no_access
!
추가 리소스
자세한 컨피그레이션 지침은 Cisco 설명서를 참조하십시오.
- 유효성 검사 사용 구성 - Cisco Secure Firewall ASA Series 명령 참조, T - Z 명령
- 인증서 맵 컨피그레이션 - Cisco Secure Firewall ASA Series 명령 참조, T - Z 명령
- Tunnel-Group Map Configuration(터널 그룹 맵 컨피그레이션) - Cisco Secure Firewall ASA Series 명령 참조, T - Z 명령
- Tunnel-Group-Map Enable Configuration(터널 그룹 맵 활성화) - Cisco Secure Firewall ASA Series 명령 참조, T - Z 명령
- Cisco ASA 소프트웨어 및 FTD 소프트웨어 신뢰 지점 컨피그레이션 기본값
인증서 설치
자체 서명 인증서 등록
- (선택 사항) 특정 키 크기로 명명된 키 쌍을 만듭니다.
참고: 기본적으로 이름이 Default-RSA-Key이고 크기가 2048인 RSA 키가 사용됩니다. 그러나 각 인증서는 동일한 프라이빗/퍼블릭 키 쌍을 사용하지 않도록 고유한 이름을 사용하는 것이 좋습니다.
ASAv(config)# crypto key generate rsa label SELF-SIGNED-KEYPAIR modulus 2048 INFO: The name for the keys will be: SELF-SIGNED-KEYPAIR Keypair generation process begin. Please wait...
생성된 키 쌍을 명령과 함께 볼 수 있습니다
show crypto key mypubkey rsa.ASAv# show crypto key mypubkey rsa (...) Key pair was generated at: 14:52:49 CEDT Jul 15 2022 Key name: SELF-SIGNED-KEYPAIR Usage: General Purpose Key Key Size (bits): 2048 Storage: config Key Data: 30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101 ... 59dcd7d7 c3ee77f5 bbd0988d 515e390e b8d95177 dfaf6b94 a9df474b 1ec3b4a4 af020301 0001
- 특정 이름으로 신뢰 지점을 만듭니다. 등록 유형을 자체로 구성합니다.
ASAv(config)# crypto ca trustpoint SELF-SIGNED ASAv(config-ca-trustpoint)# enrollment self
- FQDN(Fully Qualified Domain Name) 및 주체 이름을 구성합니다.
주의: FQDN 매개 변수는 인증서가 사용되는 ASA 인터페이스의 FQDN 또는 IP 주소와 일치해야 합니다. 이 매개변수는 인증서의 SAN(주체 대체 이름)을 설정합니다.
ASAv(config-ca-trustpoint)# fqdn asavpn.example.com ASAv(config-ca-trustpoint)# subject-name CN=asavpn.example.com,O=Example Inc,C=US,St=California,L=San Jose
- (선택 사항) 1단계에서 생성한 키 쌍 이름을 구성합니다. 기본 키 쌍을 사용하는 경우에는 필요하지 않습니다.
ASAv(config-ca-trustpoint)# keypair SELF-SIGNED-KEYPAIR ASAv(config-ca-trustpoint)# exit
- 신뢰 지점을 등록하고 인증서를 생성합니다.
ASAv(config)# crypto ca enroll SELF-SIGNED WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems. Would you like to continue with this enrollment? [yes/no]: yes % The fully-qualified domain name in the certificate will be: asa.example.com % Include the device serial number in the subject name? [yes/no]: no Generate Self-Signed Certificate? [yes/no]: yes ASAv(config)# exit
- 완료되면 새 자체 서명 인증서를 명령과 함께 볼 수 있습니다
show crypto ca certificates.ASAv# show crypto ca certificates SELF-SIGNED Certificate Status: Available Certificate Serial Number: 62d16084 Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Signature Algorithm: RSA-SHA256 Issuer Name: unstructuredName=asa.example.com L=San Jose ST=California C=US O=Example Inc CN=asa.example.com Subject Name: unstructuredName=asa.example.com L=San Jose ST=California C=US O=Example Inc CN=asa.example.com Validity Date: start date: 15:00:58 CEDT Jul 15 2022 end date: 15:00:58 CEDT Jul 12 2032 Storage: config Associated Trustpoints: SELF-SIGNED
CSR(Certificate Signing Request)에 의한 등록
- (선택 사항) 특정 키 크기로 명명된 키 쌍을 만듭니다.
참고: 기본적으로 이름이 Default-RSA-Key이고 크기가 2048인 RSA 키가 사용됩니다. 그러나 각 인증서는 동일한 프라이빗/퍼블릭 키 쌍을 사용하지 않도록 고유한 이름을 사용하는 것이 좋습니다.
ASAv(config)# crypto key generate rsa label CA-SIGNED-KEYPAIR modulus 2048 INFO: The name for the keys will be: CA-SIGNED-KEYPAIR Keypair generation process begin. Please wait...
생성된 키 쌍을 명령과 함께 볼 수 있습니다
show crypto key mypubkey rsa.ASAv# show crypto key mypubkey rsa (...) Key pair was generated at: 14:52:49 CEDT Jul 15 2022 Key name: CA-SIGNED-KEYPAIR Usage: General Purpose Key Key Size (bits): 2048 Storage: config Key Data: 30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101 ... 59dcd7d7 c3ee77f5 bbd0988d 515e390e b8d95177 dfaf6b94 a9df474b 1ec3b4a4 af020301 0001
- 특정 이름으로 신뢰 지점을 만듭니다. 등록 유형 터미널을 구성합니다.
ASAv(config)# crypto ca trustpoint CA-SIGNED ASAv(config-ca-trustpoint)# enrollment terminal
- Fully Qualified Domain Name(정규화된 도메인 이름) 및 Subject Name(주체 이름)을 구성합니다. FQDN 및 주체 CN 매개변수는 인증서가 사용되는 서비스의 FQDN 또는 IP 주소와 일치해야 합니다.
ASAv(config-ca-trustpoint)# fqdn asavpn.example.com ASAv(config-ca-trustpoint)# subject-name CN=asavpn.example.com,O=Example Inc,C=US,St=California,L=San Jose
- (선택 사항) 1단계에서 생성한 키 쌍 이름을 구성합니다.
ASAv(config-ca-trustpoint)# keypair CA-SIGNED-KEYPAIR
- (선택 사항) CRL(Certificate Revocation List) 또는 OCSP(Online Certificate Status Protocol)를 사용하여 인증서 해지 확인 방법을 구성합니다. 기본적으로 인증서 해지 검사는 비활성화되어 있습니다.
ASAv(config-ca-trustpoint)# revocation-check ocsp
- (선택 사항) 신뢰 지점을 인증하고 ID 인증서를 신뢰할 수 있는 인증서로 서명할 CA 인증서를 설치합니다. 이 단계에서 설치되지 않은 경우 나중에 ID 인증서와 함께 CA 인증서를 설치할 수 있습니다.
ASAv(config)# crypto ca authenticate CA-SIGNED Enter the base 64 encoded CA certificate. End with the word "quit" on a line by itself ASAv(config)# crypto ca authenticate CA-SIGNED Enter the base 64 encoded CA certificate. End with the word "quit" on a line by itself -----BEGIN CERTIFICATE----- MIIDXDCCAkSgAwIBAgIIDM/QY/h29+kwDQYJKoZIhvcNAQELBQAwRTELMAkGA1UE BhMCUEwxDzANBgNVBAoTBnd3LXZwbjEMMAoGA1UECxMDbGFiMRcwFQYDVQQDEw5j YS5leGFtcGxlLmNvbTAeFw0xNTAyMDYxNDEwMDBaFw0zMDAyMDYxNDEwMDBaMEUx CzAJBgNVBAYTAlBMMQ8wDQYDVQQKEwZ3dy12cG4xDDAKBgNVBAsTA2xhYjEXMBUG A1UEAxMOY2EuZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK AoIBAQDI6pth5KFFTB29LynOg9/CTiOGYa+WFTcZXSLHZA6WTUzLYM19IbSFHWa6 gTeBnHqToLRnQoB51QlxEA45ArL2G98aew8BMD08GXkxWayforwLA3U9WZVTZsVN 4noWaXH1boGGD7+5vk0esJfL2B7pEhGodLh7Gki1T4KoqL/lDM9LqkzOctZkCT7f SkXvFik1Z1cZEGn6b2umnIqaVZ81ewIuTHOX48ls3uxTPH8+B5QG0+d1waOsbCWk oK5sEPpHZ3IQuVxGiirp/zmomzxl4G/tel6eyMOpjpnVtDYjQ9HNkQdQT5LKwRsX Oj9xKnYCbPfg3p2FdH7wJh1lK3prAgMBAAGjUDBOMAwGA1UdEwQFMAMBAf8wHQYD VR0OBBYEFE55kZsbra9b9tLFV52U47em9uXaMB8GA1UdIwQYMBaAFE55kZsbra9b 9tLFV52U47em9uXaMA0GCSqGSIb3DQEBCwUAA4IBAQArsXlFwK3jlNBwOsYh5mqT cGqeyDMRhs3Rs/wD25M2wkAF4AYZHgN9gK9VCK+ModKMQZy4X/uhj65NDU7oFf6f z9kqaRijsx153jV/YLk8E9oAIatnA/fQfX6V+h74yqucfF1js3d1FjyV14odRPwM 0jRyjalH56BFlackNc7KRddtVxYB9sfEbFhN8odlBvnUedxGAJFHqxEQKmBE+h4w gW8YnHOvM08svyTXSLlJf0UCdmAY+lG0gqhUlSlkFBtLRt6Z2uCot00NoMHI0hh5 dcVcovOi/PAxnrAlJ+Ng2jrWFN3MXWZO4S3CHYMGkWqHkaHChlqDOx9badgfsyzz -----END CERTIFICATE----- quit INFO: Certificate has these attributes: Fingerprint: e9ad165c 2673424c 6e7e0c5f b30b4a02 Do you accept this certificate? [yes/no]: yes WARNING: CA certificates can be used to validate VPN connections, by default. Please adjust the validation-usage of this trustpoint to limit the validation scope, if necessary. Trustpoint CA certificate accepted. % Certificate successfully imported
- 인증서를 등록하고 서명을 위해 CA에 복사 및 전송할 수 있는 CSR을 생성합니다. CSR에는 신뢰 지점에서 사용하는 키 쌍의 공개 키가 포함됩니다. 서명된 인증서는 해당 키 쌍을 가진 디바이스에서만 사용할 수 있습니다.
참고: CA는 CSR에 서명하고 서명된 ID 인증서를 생성할 때 신뢰 지점에 정의된 FQDN 및 주체 이름 매개변수를 변경할 수 있습니다.
ASAv(config)# crypto ca enroll CA-SIGNED WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems. Would you like to continue with this enrollment? [yes/no]: yes % Start certificate enrollment .. % The subject name in the certificate will be: CN=asavpn.example.com,O=Example Inc,C=US,St=California,L=San Jose % The fully-qualified domain name in the certificate will be: asavpn.example.com % Include the device serial number in the subject name? [yes/no]: no Display Certificate Request to terminal? [yes/no]: yes Certificate Request follows: -----BEGIN CERTIFICATE REQUEST----- MIIDHzCCAgcCAQAwgYsxGzAZBgNVBAMMEmFzYXZwbi5leGFtcGxlLmNvbTEUMBIG A1UECgwLRXhhbXBsZSBJbmMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9y bmlhMREwDwYDVQQHDAhTYW4gSm9zZTEhMB8GCSqGSIb3DQEJAgwSYXNhdnBuLmV4 YW1wbGUuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5cvZVr1j Me8Mz4T3vgT1Z8DAAR0avs/TBdYiqGdjyiV/3K92IIT/0r8cuAUe5rR4sjTvaXYC SycSbwKc4kZbr3x120ss8Itd5g4kBdrUSCprl+VMiTphQgBTAqRPk0vFX4rC8k/T 0PFDE+2gjT1wMn9reb92jYrolGK4MWZdCzqowLPjEj5cCwu8Pv5h4hqTpudms+v4 g3R1OODmeyv4uEMYLS/noPxZXZ8YiQMiG2EP2Bg0KOT3Fzx0mVuekonQtRhiZt+c zyyfSRoqyBSakEZBwABod8q1Eg5J/pH130JlitOUJEyIlFoVHqv3jL7zfA9ilInu NaHkir062VQNXwIDAQABoE4wDwYJKoZIhvcNAQkHMQITADA7BgkqhkiG9w0BCQ4x LjAsMAsGA1UdDwQEAwIFoDAdBgNVHREEFjAUghJhc2F2cG4uZXhhbXBsZS5jb20w DQYJKoZIhvcNAQELBQADggEBAM3Q3zvp9G3MWP7R4wkpnBOH2CNUmPENIhHNjQjH Yh08EOvWyoo9FaLfHKVDLvFXh0vn5osXBmPLuVps6Ta4sBRUNicRoAmmA0pDWL9z Duu8BQnBGuN08T/H3ydjaNoPJ/f6EZ8gXY29NXEKb/+A2Tt0VVUTsYreGS+84Gqo ixFOtW8R50IXg+afAVOAh81xVUFOvuAi9DsiuvufMb4wdngQSOel/B9Zgp/BfGMl l0ApgejACoJAGmyrn9Tj6Z/6/lbpKBKpf4VE5UXdj7WLAjw5JF/X2NrH3/cQsczi G2Yg2dr3WpkTIY2W/kVohTiohVRkgXOMCecUaMlYxJyLTRQ= -----END CERTIFICATE REQUEST----- Redisplay enrollment request? [yes/no]: no
- ID 인증서를 가져옵니다. CSR이 서명되면 ID 인증서가 제공됩니다.
ASAv(config)# crypto ca import CA-SIGNED certificate WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems.
Would you like to continue with this enrollment? [yes/no]: yes % The fully-qualified domain name in the certificate will be: asavpn.example.com Enter the base 64 encoded certificate. End with the word "quit" on a line by itself -----BEGIN CERTIFICATE----- MIIDoTCCAomgAwIBAgIIKbLY8Qt8N5gwDQYJKoZIhvcNAQELBQAwRTELMAkGA1UE BhMCUEwxDzANBgNVBAoTBnd3LXZwbjEMMAoGA1UECxMDbGFiMRcwFQYDVQQDEw5j (...) kzAihRuFqmYYUeQP2Byp/S5fNqUcyZfAczIHt8BcPmVO9l6iSF/ULGlzXMSOUX6N d/LHXwrcTpc1zU+7qx3TpVDZbJlwwF+BWTBlxgM0BosJx65u/n75KnbBhGUE75jV HX2eRzuhnnSVExCoeyed7DLiezD8 -----END CERTIFICATE----- quit INFO: Certificate successfully imported
- 인증서 체인을 확인합니다. 완료되면 새 ID 인증서 및 CA 인증서를 명령과 함께 볼 수 있습니다
show crypto ca certificates.ASAv# show crypto ca certificates CA-SIGNED CA Certificate Status: Available Certificate Serial Number: 0ccfd063f876f7e9 Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Signature Algorithm: RSA-SHA256 Issuer Name: CN=ca.example.com OU=lab O=ww-vpn C=PL Subject Name: CN=ca.example.com OU=lab O=ww-vpn C=PL Validity Date: start date: 15:10:00 CEST Feb 6 2015 end date: 15:10:00 CEST Feb 6 2030 Storage: config Associated Trustpoints: CA-SIGNED Certificate Status: Available Certificate Serial Number: 29b2d8f10b7c3798 Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Signature Algorithm: RSA-SHA256 Issuer Name: CN=ca.example.com OU=lab O=ww-vpn C=PL Subject Name: unstructuredName=asavpn.example.com L=San Jose ST=California C=US O=Example Inc CN=asavpn.example.com Validity Date: start date: 15:33:00 CEDT Jul 15 2022 end date: 15:33:00 CEDT Jul 15 2023 Storage: config Associated Trustpoints: CA-SIGNED
PKCS12 등록
CA에서 받은 키 쌍, ID 인증서 및 선택적으로 CA 인증서 체인을 포함하는 PKCS12 파일에 등록합니다.
- 특정 이름으로 신뢰 지점을 만듭니다.
ASAv(config)# crypto ca trustpoint Trustpoint-PKCS12 ASAv(config-ca-trustpoint)# exit
참고: 가져온 키 쌍은 신뢰 지점 이름의 이름을 따릅니다.
- (선택 사항) CRL(Certificate Revocation List) 또는 OCSP(Online Certificate Status Protocol)를 사용하여 인증서 해지 확인 방법을 구성합니다. 기본적으로 인증서 해지 검사는 비활성화되어 있습니다.
ASAv(config-ca-trustpoint)# revocation-check ocsp
- PKCS12 파일에서 인증서를 가져옵니다.
참고: PKCS12 파일은 base64로 인코딩되어야 합니다. 텍스트 편집기에서 파일을 열 때 인쇄 가능한 문자가 표시되면 base64로 인코딩된 것입니다. 이진 파일을 openssl의 base64 인코딩 형식으로 변환하는 데 사용할 수 있습니다.
openssl enc -base64 -in asavpnpkcs12chain.example.com.pfx -out asavpnpkcs12chain.example.com.pfx.txt
명령을 사용합니다:crypto ca import trustpoint pkcs12 passphrase [ nointeractive ]
ASAv(config)# crypto ca import TP-PKCS12 pkcs12 cisco123 Enter the base 64 encoded pkcs12. End with the word "quit" on a line by itself: MIIN4gIBAzCCDawGCSqGSIb3DQEHAaCCDZ0Egg2ZMIINlTCCCBcGCSqGSIb3DQEH BqCCCAgwgggEAgEAMIIH/QYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQMwDgQIiK0c wqE3Tm0CAggAgIIH0NjxmJBuoPRuYl1VxTiawHzsL8kIl03lOj7tcWmECBwzsKKq (...) PXowMwYJKoZIhvcNAQkUMSYeJABhAHMAYQB2AHAAbgAuAGUAeABhAG0AcABsAGUA LgBjAG8AbTAtMCEwCQYFKw4DAhoFAAQUPXZZtBeqlh98wQljHW7J/hqoKcwECD05 dnxCNJx6 quit Trustpoint CA certificate accepted. WARNING: CA certificates can be used to validate VPN connections, by default. Please adjust the validation-usage of this trustpoint to limit the validation scope, if necessary. INFO: Import PKCS12 operation completed successfully.
- 설치된 인증서를 확인합니다.
ASAv# show crypto ca certificates TP-PKCS12 Certificate Status: Available Certificate Serial Number: 2b368f75e1770fd0 Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Signature Algorithm: RSA-SHA256 Issuer Name: CN=ca.example.com OU=lab O=ww-vpn C=PL Subject Name: unstructuredName=asavpn.example.com CN=asavpnpkcs12chain.example.com O=Example Inc L=San Jose ST=California C=US Validity Date: start date: 15:33:00 CEDT Jul 15 2022 end date: 15:33:00 CEDT Jul 15 2023 Storage: config Associated Trustpoints: TP-PKCS12 CA Certificate Status: Available Certificate Serial Number: 0ccfd063f876f7e9 Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Signature Algorithm: RSA-SHA256 Issuer Name: CN=ca.example.com OU=lab O=ww-vpn C=PL Subject Name: CN=ca.example.com OU=lab O=ww-vpn C=PL Validity Date: start date: 15:10:00 CEST Feb 6 2015 end date: 15:10:00 CEST Feb 6 2030 Storage: config Associated Trustpoints: TP-PKCS12
이전 예에서 PKCS12에는 ID 및 CA 인증서, 즉 두 항목, 즉 Certificate와 CA Certificate가 포함되었습니다. 그렇지 않으면 인증서만 표시됩니다.
- (선택 사항) 신뢰 지점을 인증합니다.
PKCS12에 CA 인증서가 없고 CA 인증서를 PEM 형식으로 따로 가져온 경우 수동으로 설치할 수 있습니다.
ASAv(config)# crypto ca authenticate TP-PKCS12 Enter the base 64 encoded CA certificate. End with the word "quit" on a line by itself -----BEGIN CERTIFICATE----- MIIDXDCCAkSgAwIBAgIIDM/QY/h29+kwDQYJKoZIhvcNAQELBQAwRTELMAkGA1UE BhMCUEwxDzANBgNVBAoTBnd3LXZwbjEMMAoGA1UECxMDbGFiMRcwFQYDVQQDEw5j (...) gW8YnHOvM08svyTXSLlJf0UCdmAY+lG0gqhUlSlkFBtLRt6Z2uCot00NoMHI0hh5 dcVcovOi/PAxnrAlJ+Ng2jrWFN3MXWZO4S3CHYMGkWqHkaHChlqDOx9badgfsyzz -----END CERTIFICATE----- quit INFO: Certificate has these attributes: Fingerprint: e9ad165c 2673424c 6e7e0c5f b30b4a02 Do you accept this certificate? [yes/no]: yes WARNING: CA certificates can be used to validate VPN connections, by default. Please adjust the validation-usage of this trustpoint to limit the validation scope, if necessary. Trustpoint CA certificate accepted. % Certificate successfully imported
인증서 갱신
자체 서명 인증서 갱신
- 현재 인증서 만료 날짜를 확인합니다.
# show crypto ca certificates SELF-SIGNED Certificate Status: Available Certificate Serial Number: 62d16084 Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Signature Algorithm: RSA-SHA256 Issuer Name: unstructuredName=asa.example.com L=San Jose ST=California C=US O=Example Inc CN=asa.example.com Subject Name: unstructuredName=asa.example.com L=San Jose ST=California C=US O=Example Inc CN=asa.example.com Validity Date: start date: 15:00:58 CEDT Jul 15 2022 end date: 15:00:58 CEDT Jul 12 2032 Storage: config Associated Trustpoints: SELF-SIGNED
- 인증서를 다시 생성합니다.
ASAv# conf t ASAv(config)# crypto ca enroll SELF-SIGNED WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems. Would you like to continue with this enrollment? [yes/no]: yes WARNING: Trustpoint TP has already enrolled and has a device cert issued to it. If you successfully re-enroll this trustpoint, the current certificate will be replaced. Do you want to continue with re-enrollment? [yes/no]: yes % The fully-qualified domain name in the certificate will be: asa.example.com % Include the device serial number in the subject name? [yes/no]: no Generate Self-Signed Certificate? [yes/no]: yes ASAv(config)# exit
- 새 인증서를 확인합니다.
ASAv# show crypto ca certificates SELF-SIGNED Certificate Status: Available Certificate Serial Number: 62d16085 Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Signature Algorithm: RSA-SHA256 Issuer Name: unstructuredName=asa.example.com L=San Jose ST=California C=US O=Example Inc CN=asa.example.com Subject Name: unstructuredName=asa.example.com L=San Jose ST=California C=US O=Example Inc CN=asa.example.com Validity Date: start date: 15:09:09 CEDT Jul 20 2022 end date: 15:09:09 CEDT Jul 17 2032 Storage: config Associated Trustpoints: SELF-SIGNED
CSR(Certificate Signing Request)로 등록된 인증서 갱신
참고: 새 인증서에 대한 새 인증서 요소(주체/fqdn, 키 쌍)를 변경해야 하는 경우 새 인증서를 생성합니다. CSR(Certificate Signing Request) 섹션을 사용하여 등록을 참조하십시오. 다음 절차에서는 인증서 만료 날짜만 새로 고칩니다.
- 현재 인증서 만료 날짜를 확인합니다.
ASAv# show crypto ca certificates CA-SIGNED Certificate Status: Available Certificate Serial Number: 29b2d8f10b7c3798 Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Signature Algorithm: RSA-SHA256 Issuer Name: CN=ca.example.com OU=lab O=ww-vpn C=PL Subject Name: unstructuredName=asavpn.example.com L=San Jose ST=California C=US O=Example Inc CN=asavpn.example.com Validity Date: start date: 15:33:00 CEDT Jul 15 2022 end date: 15:33:00 CEDT Jul 15 2023 Storage: config Associated Trustpoints: CA-SIGNED Certificate Subject Name: Status: Pending terminal enrollment Key Usage: General Purpose Fingerprint: 790aa617 c30c6894 0bdc0327 0d60b032 Associated Trustpoint: CA-SIGNED
- 인증서를 등록합니다. 서명을 위해 복사하고 CA로 전송할 수 있는 CSR을 생성합니다. CSR에는 신뢰 지점에서 사용하는 키 쌍의 공개 키가 포함됩니다. 서명된 인증서는 해당 키 쌍을 가진 디바이스에서만 사용할 수 있습니다.
참고: CA는 CSR에 서명하고 서명된 ID 인증서를 생성할 때 신뢰 지점에 정의된 FQDN 및 주체 이름 매개변수를 변경할 수 있습니다.
참고: 동일한 신뢰 지점의 경우 변경된 주체/fqdn 및 키 쌍 컨피그레이션이 없으며 후속 등록에서는 초기 CSR과 동일한 CSR을 제공합니다.
ASAv# conf t ASAv(config)# crypto ca enroll CA-SIGNED WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems. Would you like to continue with this enrollment? [yes/no]: yes % Start certificate enrollment .. % The subject name in the certificate will be: CN=asavpn.example.com,O=Example Inc,C=US,St=California,L=San Jose % The fully-qualified domain name in the certificate will be: asavpn.example.com % Include the device serial number in the subject name? [yes/no]: no Display Certificate Request to terminal? [yes/no]: yes Certificate Request follows: -----BEGIN CERTIFICATE REQUEST----- MIIDHzCCAgcCAQAwgYsxGzAZBgNVBAMMEmFzYXZwbi5leGFtcGxlLmNvbTEUMBIG A1UECgwLRXhhbXBsZSBJbmMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9y bmlhMREwDwYDVQQHDAhTYW4gSm9zZTEhMB8GCSqGSIb3DQEJAgwSYXNhdnBuLmV4 YW1wbGUuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5cvZVr1j Me8Mz4T3vgT1Z8DAAR0avs/TBdYiqGdjyiV/3K92IIT/0r8cuAUe5rR4sjTvaXYC SycSbwKc4kZbr3x120ss8Itd5g4kBdrUSCprl+VMiTphQgBTAqRPk0vFX4rC8k/T 0PFDE+2gjT1wMn9reb92jYrolGK4MWZdCzqowLPjEj5cCwu8Pv5h4hqTpudms+v4 g3R1OODmeyv4uEMYLS/noPxZXZ8YiQMiG2EP2Bg0KOT3Fzx0mVuekonQtRhiZt+c zyyfSRoqyBSakEZBwABod8q1Eg5J/pH130JlitOUJEyIlFoVHqv3jL7zfA9ilInu NaHkir062VQNXwIDAQABoE4wDwYJKoZIhvcNAQkHMQITADA7BgkqhkiG9w0BCQ4x LjAsMAsGA1UdDwQEAwIFoDAdBgNVHREEFjAUghJhc2F2cG4uZXhhbXBsZS5jb20w DQYJKoZIhvcNAQELBQADggEBAM3Q3zvp9G3MWP7R4wkpnBOH2CNUmPENIhHNjQjH Yh08EOvWyoo9FaLfHKVDLvFXh0vn5osXBmPLuVps6Ta4sBRUNicRoAmmA0pDWL9z Duu8BQnBGuN08T/H3ydjaNoPJ/f6EZ8gXY29NXEKb/+A2Tt0VVUTsYreGS+84Gqo ixFOtW8R50IXg+afAVOAh81xVUFOvuAi9DsiuvufMb4wdngQSOel/B9Zgp/BfGMl l0ApgejACoJAGmyrn9Tj6Z/6/lbpKBKpf4VE5UXdj7WLAjw5JF/X2NrH3/cQsczi G2Yg2dr3WpkTIY2W/kVohTiohVRkgXOMCecUaMlYxJyLTRQ= -----END CERTIFICATE REQUEST----- Redisplay enrollment request? [yes/no]: no
- ID 인증서를 가져옵니다. CSR이 서명되면 ID 인증서가 제공됩니다.
ASAv(config)# crypto ca import CA-SIGNED certificate WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems. Would you like to continue with this enrollment? [yes/no]: yes % The fully-qualified domain name in the certificate will be: asavpn.example.com Enter the base 64 encoded certificate. End with the word "quit" on a line by itself -----BEGIN CERTIFICATE----- MIIDgTCCAmmgAwIBAgIIMA+aIxCtNtMwDQYJKoZIhvcNAQELBQAwRTELMAkGA1UE BhMCUEwxDzANBgNVBAoTBnd3LXZwbjEMMAoGA1UECxMDbGFiMRcwFQYDVQQDEw5j YS5leGFtcGxlLmNvbTAeFw0yMjA3MjAxNDA5MDBaFw0yMzA3MjAxNDA5MDBaMIGL MRswGQYDVQQDDBJhc2F2cG4uZXhhbXBsZS5jb20xFDASBgNVBAoMC0V4YW1wbGUg SW5jMQswCQYDVQQGEwJVUzETMBEGA1UECAwKQ2FsaWZvcm5pYTERMA8GA1UEBwwI U2FuIEpvc2UxITAfBgkqhkiG9w0BCQIMEmFzYXZwbi5leGFtcGxlLmNvbTCCASIw DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOXL2Va9YzHvDM+E974E9WfAwAEd Gr7P0wXWIqhnY8olf9yvdiCE/9K/HLgFHua0eLI072l2AksnEm8CnOJGW698ddtL LPCLXeYOJAXa1Egqa5flTIk6YUIAUwKkT5NLxV+KwvJP09DxQxPtoI09cDJ/a3m/ do2K6JRiuDFmXQs6qMCz4xI+XAsLvD7+YeIak6bnZrPr+IN0dTjg5nsr+LhDGC0v 56D8WV2fGIkDIhthD9gYNCjk9xc8dJlbnpKJ0LUYYmbfnM8sn0kaKsgUmpBGQcAA aHfKtRIOSf6R9d9CZYrTlCRMiJRaFR6r94y+83wPYpSJ7jWh5Iq9OtlUDV8CAwEA AaMuMCwwCwYDVR0PBAQDAgWgMB0GA1UdEQQWMBSCEmFzYXZwbi5leGFtcGxlLmNv bTANBgkqhkiG9w0BAQsFAAOCAQEAfQUchY4UjhjkySMJAh7NT3TT5JJ4NzqW8qHa wNq+YyHR+sQ6G3vn+6cYCU87tqWlY3fXC27TwweREwMbq8NsJrr80hsChYby8kwE LnTkrN7dJBl7u5OVQ3DRjfmFrJ9LEUaYZx1HYvcS1kAeEeVB4VJwVzeujWepcmEM p7cB6veTcF9rulDVRImd0KYEOx+HYav2INT2udc0G1yDwml/mqdf0/ON2SpBBpnE gtiKshtsST/NAw25WjkrDIfN8uR2z5xpzxnEDUBoHOipGlgb1I6G1ARXWO+LwfBl n1QD5b/RdQOUbLCpfKNPdE/9wNnoXGDlJ7qfZxrO4T7ld2Idug== -----END CERTIFICATE----- quit INFO: Certificate successfully imported
- 새 인증서 만료 날짜를 확인합니다.
ASAv# show crypto ca certificates CA-SIGNED Certificate Status: Available Certificate Serial Number: 300f9a2310ad36d3 Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Signature Algorithm: RSA-SHA256 Issuer Name: CN=ca.example.com OU=lab O=ww-vpn C=PL Subject Name: unstructuredName=asavpn.example.com L=San Jose ST=California C=US O=Example Inc CN=asavpn.example.com Validity Date: start date: 16:09:00 CEDT Jul 20 2022 end date: 16:09:00 CEDT Jul 20 2023 Storage: config Associated Trustpoints: CA-SIGNED
PKCS12 갱신
PKCS12 파일을 사용하여 등록된 신뢰 지점에서 인증서를 갱신할 수 없습니다. 새 인증서를 설치하려면 새 신뢰 지점을 만들어야 합니다.
- 특정 이름으로 신뢰 지점을 만듭니다.
ASAv(config)# crypto ca trustpoint Trustpoint-PKCS12-2022 ASAv(config-ca-trustpoint)# exit
- (선택 사항) CRL(Certificate Revocation List) 또는 OCSP(Online Certificate Status Protocol)를 사용하여 인증서 해지 확인 방법을 구성합니다. 기본적으로 인증서 해지 검사는 비활성화되어 있습니다.
ASAv(config-ca-trustpoint)# revocation-check ocsp
- PKCS12 파일에서 새 인증서를 가져옵니다.
참고: PKCS12 파일은 base64로 인코딩되어야 합니다. 텍스트 편집기에서 파일을 열 때 인쇄 가능한 문자가 표시되면 base64로 인코딩된 것입니다. 이진 파일을 base64 인코딩 형식으로 변환하기 위해 openssl을 사용할 수 있습니다.
openssl enc -base64 -in asavpnpkcs12chain.example.com.pfx -out asavpnpkcs12chain.example.com.pfx.txt
ASAv(config)# crypto ca import TP-PKCS12-2022 pkcs12 cisco123 Enter the base 64 encoded pkcs12. End with the word "quit" on a line by itself: MIIN4gIBAzCCDawGCSqGSIb3DQEHAaCCDZ0Egg2ZMIINlTCCCBcGCSqGSIb3DQEH BqCCCAgwgggEAgEAMIIH/QYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQMwDgQIiK0c wqE3Tm0CAggAgIIH0NjxmJBuoPRuYl1VxTiawHzsL8kIl03lOj7tcWmECBwzsKKq (...) PXowMwYJKoZIhvcNAQkUMSYeJABhAHMAYQB2AHAAbgAuAGUAeABhAG0AcABsAGUA LgBjAG8AbTAtMCEwCQYFKw4DAhoFAAQUPXZZtBeqlh98wQljHW7J/hqoKcwECD05 dnxCNJx6 quit Trustpoint CA certificate accepted. WARNING: CA certificates can be used to validate VPN connections, by default. Please adjust the validation-usage of this trustpoint to limit the validation scope, if necessary. INFO: Import PKCS12 operation completed successfully.
참고: 새 PKCS12 파일에 이전 인증서와 함께 사용된 동일한 키 쌍을 가진 ID 인증서가 포함된 경우 새 신뢰 지점은 이전 키 쌍 이름을 참조합니다.
예:ASAv(config)# crypto ca import TP-PKCS12-2022 pkcs12 cisco123 Enter the base 64 encoded pkcs12. End with the word "quit" on a line by itself: MIIN4gIBAzCCDawGCSqGSIb3DQEHAaCCDZ0Egg2ZMIINlTCCCBcGCSqGSIb3DQEH ... dnxCNJx6 quit WARNING: Identical public key already exists as TP-PKCS12 ASAv(config)# show run crypto ca trustpoint TP-PKCS12-2022 crypto ca trustpoint TP-PKCS12-2022 keypair TP-PKCS12 no validation-usage crl configure
- 설치된 인증서를 확인합니다.
ASAv# show crypto ca certificates TP-PKCS12-2022 Certificate Status: Available Certificate Serial Number: 2b368f75e1770fd0 Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Signature Algorithm: RSA-SHA256 Issuer Name: CN=ca.example.com OU=lab O=ww-vpn C=PL Subject Name: unstructuredName=asavpn.example.com CN=asavpnpkcs12chain.example.com O=Example Inc L=San Jose ST=California C=US Validity Date: start date: 15:33:00 CEDT Jul 15 2022 end date: 15:33:00 CEDT Jul 15 2023 Storage: config Associated Trustpoints: TP-PKCS12-2022 CA Certificate Status: Available Certificate Serial Number: 0ccfd063f876f7e9 Certificate Usage: General Purpose Public Key Type: RSA (2048 bits) Signature Algorithm: RSA-SHA256 Issuer Name: CN=ca.example.com OU=lab O=ww-vpn C=PL Subject Name: CN=ca.example.com OU=lab O=ww-vpn C=PL Validity Date: start date: 15:10:00 CEST Feb 6 2015 end date: 15:10:00 CEST Feb 6 2030 Storage: config Associated Trustpoints: TP-PKCS12-2022
이전 예에서 PKCS12에는 ID 인증서 및 CA 인증서가 포함되었으므로, 가져오기 후 두 항목이 표시됩니다. 인증서 및 CA 인증서 그렇지 않으면 인증서 항목만 표시됩니다.
- (선택 사항) 신뢰 지점을 인증합니다.
PKCS12에 CA 인증서가 없고 CA 인증서를 PEM 형식으로 따로 가져온 경우 수동으로 설치할 수 있습니다.
ASAv(config)# crypto ca authenticate TP-PKCS12-2022 Enter the base 64 encoded CA certificate. End with the word "quit" on a line by itself -----BEGIN CERTIFICATE----- MIIDXDCCAkSgAwIBAgIIDM/QY/h29+kwDQYJKoZIhvcNAQELBQAwRTELMAkGA1UE BhMCUEwxDzANBgNVBAoTBnd3LXZwbjEMMAoGA1UECxMDbGFiMRcwFQYDVQQDEw5j (...) gW8YnHOvM08svyTXSLlJf0UCdmAY+lG0gqhUlSlkFBtLRt6Z2uCot00NoMHI0hh5 dcVcovOi/PAxnrAlJ+Ng2jrWFN3MXWZO4S3CHYMGkWqHkaHChlqDOx9badgfsyzz -----END CERTIFICATE----- quit INFO: Certificate has these attributes: Fingerprint: e9ad165c 2673424c 6e7e0c5f b30b4a02 Do you accept this certificate? [yes/no]: yes WARNING: CA certificates can be used to validate VPN connections, by default. Please adjust the validation-usage of this trustpoint to limit the validation scope, if necessary. Trustpoint CA certificate accepted. % Certificate successfully imported
- 기존 신뢰 지점 대신 새 신뢰 지점을 사용하도록 ASA를 재구성합니다.
예:
ASAv# show running-config ssl trust-point ssl trust-point TP-PKCS12 ASAv# conf t ASAv(config)#ssl trust-point TP-PKCS12-2022 ASAv(config)#exit
참고: 신뢰 지점은 여러 구성 요소에서 사용할 수 있습니다. 이전 신뢰 지점이 사용되는 컨피그레이션을 확인합니다.
관련 정보
ASA에서 시간 설정을 구성하는 방법.
ASA에서 시간과 날짜를 올바르게 설정하는 데 필요한 단계는 이 참조를 확인하십시오. CLI 책 1: Cisco Secure Firewall ASA Series 일반 운영 CLI 컨피그레이션 가이드, 9.18
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
4.0 |
27-Nov-2024 |
기계 번역 및 서식 지정을 위해 섹션을 추가 및 업데이트했습니다. |
2.0 |
09-Jul-2024 |
서식이 업데이트되었습니다. |
1.0 |
21-Mar-2023 |
최초 릴리스 |
피드백