Adicionar/importar novo certificado PKCS#12 na GUI do Cisco ESA

Introduction

Este documento descreve como adicionar/importar novos certificados PKCS (Public Key Cryptography Standards, padrões de criptografia de chave pública) nº 12 na GUI do Cisco Email Security Appliance (ESA).

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Cisco ESA
• AsyncOS 7.1 e posterior

Problema

Desde AsyncOS 7.1.0. e mais tarde, é possível gerenciar/adicionar certificados na GUI dos dispositivos de e-mail. Entretanto, para isso, o novo certificado deve estar no formato PKCS#12, portanto, esse requisito adiciona algumas etapas extras após o recebimento do certificado da autoridade de certificação (CA).

A geração de um certificado PKCS#12 também exige o certificado de chave privada. Se você executar a solicitação de assinatura de certificado (CSR) do comando CLI do Cisco ESA certconfig, não receberá o certificado de chave privada. O Certificado de Chave Privada criado no menu da GUI (Políticas de e-mail > Chaves de assinatura) não será válido quando você o usar para gerar um certificado PKCS#12 junto com o certificado CA.

Solução

1. Instale o aplicativo OpenSSL se sua estação de trabalho não o tiver. A versão do Windows pode ser baixada aqui.

   Certifique-se de que o Visual C++ 2008 Redistributables esteja instalado antes do OpenSSL Win32.
   

2. Use um modelo para criar um script para gerar CSR e chave privada aqui.

   O script ficará assim:

   openssl req -new -newkey rsa:2048 -nodes -out test_example.csr -keyout test_example.key -subj "/C=AU/ST=NSW/L=Sydney/O=Cisco Systems/OU=IronPort/CN=test.example.com"

   
   
3. Copie e cole o script na janela OpenSSL e pressione Enter.
   
   

   C:\OpenSSL-Win32\bin>openssl req -new -newkey rsa:2048 -nodes -out test_example.csr -keyout
   test_example.key -subj "/C=AU/ST=NSW/L=Sydney/O=Cisco Systems/OU=IronPort/CN=test.example.com"
   
   Saída:

   test_example.csr and test_example.key in the C:\OpenSSL-Win32\bin or in the
   'bin' folder where OpenSSL is installed
   test_example.csr = Certificate Signing Request
   example.key = private key

4. Use o arquivo .CSR para solicitar o certificado CA.
   
   
5. Depois de receber o certificado CA, salve-o como arquivo cacert.pem. Renomeie o arquivo de chave privada test_example.key para test_example.pem. Agora você pode gerar um certificado PKCS#12 usando OpenSSL.
   
   Comando:
   
   openssl pkcs12 -export -out cacert.p12 -in cacert.pem -inkey test_example.pem
   
   Se o certificado CA e a chave privada usados estiverem corretos, o OpenSSL solicitará que você insira Export Password e confirme a senha novamente. Caso contrário, ele avisa que o certificado e a chave usados não correspondem e não podem prosseguir com o processo.
   
   Entrada:
   

   cacert.pem = CA certificate
   test_example.pem = private key
   Export password: ironport

   
   Saída:
   

   cacert.p12 (the PKCS#12 certificate)

6. Vá para o menu GUI do IronPort, Rede > Certificado.

Selecione Adicionar certificado.
Selecione Importar certificado na opção Adicionar certificado.
Selecione Choose e navegue até o local do certificado PKCS#12 gerado na Etapa 5.
Digite a mesma senha que você usou quando gerou o certificado PKCS#12 no OpenSSL (nesse caso, a senha é ironport).
Selecione Avançar e a próxima tela exibirá os detalhes dos atributos usados para o certificado.
Selecione Submit.
Selecione Confirmar alterações.

Após essas etapas, o novo certificado é adicionado à lista de certificados e pode ser atribuído para uso.