Introdução

Este documento descreve como solicitar, instalar, confiar e renovar determinados tipos de certificados no software Cisco ASA gerenciado com o ASDM.

Pré-requisitos

Requisitos

• Antes de começar a verificar se o Adaptive Security Appliance (ASA) tem a hora, a data e o fuso horário corretos com autenticação de certificado, é recomendável usar um servidor Network Time Protocol (NTP) para sincronizar a hora no ASA. Consulte Informações Relacionadas para referência.
• Para solicitar um certificado que use a CSR (Certificate Signing Request, Solicitação de assinatura de certificado), é necessário ter acesso a uma CA (Certificate Authority, Autoridade de certificação) de terceiros ou interna confiável. Exemplos de fornecedores de CA de terceiros incluem, entre outros, Entrust, Geotrust, GoDaddy, Thawte e VeriSign.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• ASAv 9.18.1
• Para a criação de PKCS12, o OpenSSL é usado.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Os tipos de certificados que este documento aborda são:

• Certificados autoassinados
• Certificados assinados por uma Autoridade de Certificação de terceiros ou CA interna

O protocolo SSL (Secure Socket Layer), o protocolo TLS (Transport Layer Security) e o protocolo IKEv2 rfc7296 para autenticação EAP exigem que o servidor SSL/TLS/IKEv2 forneça ao cliente um certificado de servidor para que ele execute a autenticação do servidor. Para essa finalidade, é recomendável usar CAs de terceiros confiáveis para emitir certificados SSL para o ASA.

A Cisco não recomenda o uso de um certificado autoassinado, devido à possibilidade de um usuário configurar inadvertidamente um navegador para confiar em um certificado de um servidor invasor. Também há a inconveniência de os usuários responderem a um aviso de segurança quando ele se conectar ao gateway seguro.

Considerações sobre segurança de CA confiável

Riscos e recomendações da autenticação de certificado

Comportamento de Uso de Validação de Ponto de Confiança Padrão

Quando um certificado CA confiável é instalado, ele pode ser usado para autenticar diferentes tipos de conexões VPN usando a autenticação de certificado. Ele é controladovalidation-usagecom o comando trustpoint (Configuration > Device Management > Certificate Management >CA Certificates >Add -> More Options... > Advanced > selecionar wanted Validation Usage).

Os tipos de uso de validação são:

• ipsec-client: Valida conexões de cliente IPsec.
• ssl-client: Valida conexões de cliente SSL.
• ssl-server: Valida certificados de servidor SSL.

Por padrão, o comando permite a validação para ipsec-client e ssl-client.

Riscos de configuração padrão

• Qualquer certificado de autoridade de certificação instalado como confiável pode ser usado por padrão para autenticar certificados de identidade de cliente recebidos para qualquer grupo de túneis usando a autenticação de certificado.
• Essa configuração padrão pode ser um risco à segurança se você não estiver ciente disso.

Ação recomendada

Desabilite o uso de validação para pontos de confiança não intencionais. Se um certificado CA não tiver a intenção de autenticar pares VPN ou usuários, desabilite o uso de validação para esse ponto confiável.

Exemplo de configuração:

Navigate to: Configuration > Device Management > Certificate Management > CA Certificates. 
a) Select a wanted trustpoint and click Edit. 
b) Navigate to Advanced and uncheck all Validation Usage options. 

trustpoint public-root-ca
 no validation-usage

Recomendações e riscos de autorização

Por padrão, um certificado CA confiável pode ser usado para autenticar um par VPN ou usuário que se conecta a qualquer grupo de túneis. É necessário conceber uma autorização adequada.

Ação recomendada

Use mapas de certificado e mapas de grupo de túneis para garantir que somente os certificados autorizados sejam usados para grupos de túneis específicos. Defina uma regra de mapa de grupo de túneis padrão, que aponte para um grupo de túneis sem acesso para restringir o acesso não autorizado.

Exemplo de configuração

A autenticação de certificado só é permitida para:

• Computadores com certificado emitido por cn=example.com e com OU=computadores no assunto do certificado.
• Usuários com certificado emitido por cn=example.com e com OU=usuários no assunto do certificado.

Usuários com outros certificados são atribuídos a no_access tunnel-group por padrão, graçastunnel-group-map default-group no_accessao comando. As regras de mapa de certificados têm prioridade sobre group-url graçastunnel-group-map enable rulesao comando. Conhecer group-url não ajuda a ignorar as Regras de Mapa de Certificados.

! Configure group-policy preventing VPN access:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add > General > More Options 
a) Uncheck Inherit next to Simultaneous Logins and set the value 0.
b) Uncheck Inherit next to Banner and set a wanted massage, for example NO ACCESS GROUP POLICY.

group-policy no_access_gp internal 
group-policy no_access_gp attributes 
 banner value NO ACCESS GROUP POLICY
 vpn-simultaneous-logins 0 


! Configure tunnel-groups for users and tunnel-group preventing VPN access:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles. Click Add and configure:
a) Authentication method as Certificate.
a) Client Address Pools.
b) DNS Servers.
c) Group Policy - for the no_access tunnel group use no_access_gp where simultaneous logins is set to 0.
d) Group URLs - only for the mgmt-tunnel and users_access tunnel groups. Navigate to: Advanced > Group Alias/Group URL, click Add in the Group URLs section and configure a group URL.  

tunnel-group mgmt-tunnel type remote-access
tunnel-group mgmt-tunnel general-attributes
 address-pool vpn_pool
 default-group-policy mgmt-tunnel
tunnel-group mgmt-tunnel webvpn-attributes
 authentication certificate
 group-url https://ftd.example.com/mgmt enable
!
tunnel-group users_access type remote-access
tunnel-group users_access general-attributes
 default-group-policy user_access_gp
 address-pool vpn_pool
tunnel-group users_access webvpn-attributes
 authentication certificate
 group-url https://ftd.example.com/users enable
!
tunnel-group no_access type remote-access
tunnel-group no_access general-attributes
 default-group-policy no_access_gp
 address-pool vpn_pool
tunnel-group no_access webvpn-attributes
 authentication certificate


! Create certificate maps for users and use the certificate maps for tunnel-group mapping:

Navigate to: Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect and Clientless SSL VPN Connection Profile Maps. 
a) Click Add to configure Certificate to Connection Profile Maps.
b) Select New and configure a certificate group map name, for example mgmt_tunnel_map or users_access_map.
c) Select a corresponding connection profile/tunnel group from the drop-down menu at Mapped to Connection Profile.
d) Click Add to configure Mapping Criteria.
e) Select: Field: Subject, Component: Organizational Unit (OU), Operator: Equals, Value: machines or users.
d) Select: Field: Issuer, Component: Common Name (CN), Operator: Equals, Value: example.com.

crypto ca certificate map mgmt_tunnel_map 10 
 issuer-name attr cn eq example.com 
 subject-name attr ou eq machines 
crypto ca certificate map users_access_map 10 
 issuer-name attr cn eq example.com 
 subject-name attr ou eq users 
!
webvpn 
 (...) 
 certificate-group-map mgmt_tunnel_map 10 mgmt-tunnel 
 certificate-group-map users_access_map 10 users_access


! Enable tunnel-group maps and set the default tunnel-group preventing access if a user certificate did not match any other certificate map:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > Certificate to Connection Profile Maps > Policy.
a) Check Use the configure rules to match a certificate to a Connection Profile.
b) Check Defult to Connection Profile and select from the drop-down menu the no-access connection profile/tunnel group.

tunnel-group-map enable rules
tunnel-group-map default-group no_access

Outros recursos

Para obter instruções de configuração mais detalhadas, consulte a documentação da Cisco:

• Configuração do uso da validação -Referência de comandos do Cisco Secure Firewall ASA Series, comandos T - Z
• Configuração do mapa de certificado -Referência de comandos do Cisco Secure Firewall ASA Series, comandos T - Z
• Configuração do mapa de grupo de túneis -Referência de comandos do Cisco Secure Firewall ASA Series, comandos T - Z
• Tunnel-Group-Map Enable Configuration -Referência de comandos do Cisco Secure Firewall ASA Series, comandos T - Z

Solicitar e Instalar um novo Certificado de Identidade com o ASDM

Um certificado pode ser solicitado de uma Autoridade de Certificação (CA) e instalado em um ASA de duas maneiras:

1. Use a CSR (Certificate Signing Request, Solicitação de assinatura de certificado). Gere um par de chaves, solicite um certificado de identidade da CA com um CSR, instale o certificado de identidade assinado obtido da CA.
2. Use o arquivo PKCS12 obtido de uma CA ou exportado de um dispositivo diferente. O arquivo PKCS12 contém par de chaves, certificado de identidade, certificado(s) CA.

Solicitar e instalar um novo certificado de identidade com CSR (Certificate Signing Request, Solicitação de assinatura de certificado)

Um CSR é criado no dispositivo que precisa de um certificado de identidade, use um par de chaves criado no dispositivo.

Um CSR contém:

• certificate request information - requerente solicitado e outros atributos, chave pública do par de chaves.
• informação de algoritmo de assinatura
• assinatura digital de informações de solicitação de certificado, assinada com a chave privada do par de chaves.

O CSR é passado para a Autoridade de Certificação (CA) para que assine, em um formulário PKCS#10.

O certificado assinado é retornado da CA em um formulário PEM.

Note:   A CA pode alterar os parâmetros FQDN e Nome da Entidade definidos no Ponto de Confiança quando assina o CSR e cria um Certificado de Identidade assinado.

Gerar um CSR com ASDM

1. Criar um ponto de confiança com um nome específico

   1. Navegue até Configuration > Device Management >Certificate Management > Identity Certificates.

      

   2. Clique em Add.
   3. Defina um nome de ponto confiável.

      

   4. Clique no botão de rádio Add a new identity certificate (Adicionar um novo certificado de identidade).

2. (Opcional) Crie um novo par de chaves

   Note: Por padrão, a chave RSA com o nome Default-RSA-Key e um tamanho de 2048 é usada. No entanto, recomenda-se a utilização de um único par de chaves privadas/públicas para cada certificado de identidade.

   1. Clique em New para gerar um novo par de chaves.

      

   2. Escolha a opção Enter new Key Pair name e insira um name para o novo par de chaves.
   3. Escolha o tipo de chave-RSA ou ECDSA.
   4. Escolha o tamanho da chave; para RSA, escolha Uso geral.
   5. Clique em Generate CSR (Gerar CSR). O par de chaves foi criado.

      

3. Escolha o nome do par de chaves

   • Escolha o par de chaves com o qual assinar o CSR e que será vinculado ao novo certificado.

     

4. Configurar o assunto do certificado e o nome de domínio totalmente qualificado (FQDN)

   Caution: O parâmetro FQDN deve corresponder ao FQDN ou ao endereço IP da interface ASA para a qual o Certificado de Identidade é usado. Este parâmetro define a extensão solicitada do SAN (Nome Alternativo da Entidade) para o Certificado de Identidade. A extensão SAN é usada pelo cliente SSL/TLS/IKEv2 para verificar se o certificado corresponde ao FQDN ao qual ele se conecta.

   1. Clique em Selecionar.

      

   2. Na janela Certificate Subject DN (DN do assunto do certificado), configure certificate attributes - escolha attribute na lista suspensa, digite o valor e clique em Add.

      

      

      Atributo	Descrição
      CN	O nome pelo qual o firewall pode ser acessado (geralmente o nome de domínio totalmente qualificado, por exemplo, vpn.example.com).
      OU	O nome do seu departamento na organização.
      O	O nome legalmente registrado da sua organização/empresa.
      C	Código do país (código de 2 letras sem pontuação).
      ST	O estado no qual sua organização está localizada.
      I	A cidade em que sua organização está localizada.
      EA	Endereço de e-mail

      Note: Nenhum dos valores dos campos anteriores pode exceder um limite de 64 caracteres. Um valor mais longo pode causar problemas com a instalação do Certificado de Identidade. Além disso, não é necessário definir todos os atributos DN.

      Clique em OK depois que todos os atributos forem adicionados.
   3. Configure o FQDN do dispositivo - clique em Avançado.

      

   4. No campo FQDN, insira o nome de domínio totalmente qualificado através do qual o dispositivo pode ser acessado da Internet. Click OK.

      

5. Gerar e salvar o CSR

   1. Clique em Add Certificate (Adicionar certificado).

      

   2. Um prompt é exibido para salvar o CSR em um arquivo na máquina local.

      

      Clique em Browse (Procurar), escolha um local para salvar o CSR e salve o arquivo com a extensão .txt.

      Note: Quando o arquivo é salvo com uma extensão .txt, a solicitação PKCS#10 pode ser aberta e visualizada com um editor de texto (como o bloco de notas).

   3. Agora o novo ponto de confiança é exibido em um estado Pendente.

      

Instalar o Certificado de Identidade no formato PEM com o ASDM

As etapas de instalação pressupõem que a CA assinou o CSR e forneceu um certificado de identidade codificado PEM (.pem,.cer, .crt) e um pacote de certificado CA.

1. Instalar o certificado de autoridade de certificação que assinou o CSR

   1. Navegue até Configuration > Device Management >Certificate Management > e escolha CA Certificates. Clique em Add.

      

   2. Insira o nome do ponto de confiança e selecione Instalar do arquivo, clique no botão Procurar e selecione o certificado intermediário. Como alternativa, cole o certificado CA codificado PEM de um arquivo de texto no campo text.

      

      Note: Instale o certificado CA que assinou o CSR. Usar o mesmo nome de Ponto de Confiança do Certificado de Identidade. Os outros certificados CA mais altos na hierarquia PKI podem ser instalados em Pontos Confiáveis separados.

   3. Clique em Install certificate (Instalar certificado). 

      

2. Instalar certificado de identidade

   1. Escolha o certificado de identidade criado anteriormente durante a geração do CSR. Clique em Instalar.

      

      Note: O campo Certificado de identidade pode ter Emitido por como Não disponível e o campo Data de vencimento como Pendente. 

   2. Escolha um arquivo que contenha o Certificado de identidade codificado PEM recebido da CA ou abra o certificado codificado PEM em um editor de texto e copie e cole o Certificado de identidade fornecido pela CA no campo de texto.

      

      Note: O certificado de identidade pode estar no formato .pem, .cer, .crt para instalar.

   3. Clique em Install certificate (Instalar certificado).

      

3. Vincular o Novo Certificado à Interface com o ASDM

   O ASA precisa ser configurado para usar o novo Certificado de Identidade para sessões WebVPN que terminam na interface especificada.

   1. Navegue até Configuration > Remote Access VPN > Advanced > SSL Settings (Configuração > VPN de acesso remoto > Avançado > Configurações SSL).

   2. Em certificados, escolha a interface usada para encerrar sessões de WebVPN. Neste exemplo, a interface externa é usada.

      Clique em Editar.

   3. Na lista suspensa Certificate (Certificado), escolha o certificado recém-instalado.

      

   4. Click OK.

   5. Clique em Apply.

      

      Agora o novo Certificado de Identidade está em uso.

Instalar um certificado de identidade recebido no formato PKCS12 com ASDM

O arquivo PKCS12 (formato .p12 ou .pfx) contém certificado de identidade, par de chaves e certificado(s) de autoridade de certificação. Ele é criado pela CA, no caso de um certificado curinga, ou exportado de um dispositivo diferente. É um arquivo binário e não pode ser exibido com o editor de texto.

1. Instalar os certificados de identidade e CA de um arquivo PKCS12

   O Certificado de identidade, o(s) certificado(s) de CA e o par de chaves precisam ser agrupados em um único arquivo PKCS12. 
   1. Navegue até Configuration > Device Management > Certificate Management e escolha Identity Certificates.
   2. Clique em Add.
   3. Especifique um nome de Trustpoint.

      

   4. Clique no botão de rádio Import the identity certificate from a file (Importar o certificado de identidade de um arquivo).

      

   5. Insira a senha usada para criar o arquivo PKCS12.

      

   6. Clique em Add Certificate (Adicionar certificado).

      

      Note: Quando você importa um PKCS12 com uma cadeia de certificados CA, o ASDM cria automaticamente os pontos de confiança da CA de upstream com nomes com sufixo de número adicionado.
      

2. Vincular o Novo Certificado à Interface com o ASDM

   O ASA precisa ser configurado para usar o novo Certificado de Identidade para sessões WebVPN que terminam na interface especificada.

   1. Navegue até Configuration > Remote Access VPN > Advanced > SSL Settings (Configuração > VPN de acesso remoto > Avançado > Configurações SSL).

   2. Em Certificates (Certificados), selecione a interface usada para encerrar sessões de WebVPN. Neste exemplo, a interface externa é usada.

      Clique em Editar.

   3. Na lista suspensa Certificate (Certificado), escolha o certificado recém-instalado.

      

   4. Click OK.

   5. Clique em Apply.

      

      Agora o novo Certificado de Identidade está em uso.

Renovação de certificado

Renove um certificado registrado com CSR (Certificate Signing Request, solicitação de assinatura de certificado) com ASDM

A renovação do certificado CSR registrado requer que você crie e registre um novo ponto de confiança. Ele precisa ter um nome diferente (por exemplo, nome antigo com sufixo de ano de inscrição). Ele pode usar os mesmos parâmetros e Par de chaves que o certificado antigo, ou pode usar diferentes.

Gerar um CSR com ASDM

1. Criar um Novo Ponto de Confiabilidade com um Nome Específico

   1. Navegue até Configuration > Device Management >Certificate Management > Identity Certificates.

      

   2. Clique em Add.
   3. Defina um Nome de Ponto Confiável.

      

   4. Clique no botão de opção Adicionar um novo certificado de identidade.

2. (Opcional) Crie um novo par de chaves 

   Note: Por padrão, a chave RSA com o nome Default-RSA-Key e um tamanho de 2048 é usada; no entanto, recomenda-se a utilização de um único par de chaves privado/público para cada certificado de identidade.

   1. Clique em New para gerar um novo par de chaves.

      

   2. Escolha a opção Enter new Key Pair name e insira um name para o novo par de chaves.
   3. Escolha o tipo de chave-RSA ou ECDSA.
   4. Escolha o tamanho da chave; para RSA, escolha Uso geral.
   5. Clique em Generate CSR (Gerar CSR). O par de chaves foi criado.

      

3. Selecione o nome do par de chaves

   • Escolha o Par de Chaves para assinar o CSR e ser vinculado ao novo certificado.

     

4. Configurar o assunto do certificado e o nome de domínio totalmente qualificado (FQDN)

   Caution: O parâmetro FQDN deve corresponder ao FQDN ou ao endereço IP da interface ASA para a qual o certificado é usado. Esse parâmetro define o SAN (Nome Alternativo da Entidade) do certificado. O campo SAN é usado pelo cliente SSL/TLS/IKEv2 para verificar se o certificado corresponde ao FQDN ao qual ele se conecta.

   Note:  A CA pode alterar os parâmetros FQDN e Nome da Entidade definidos no ponto de confiança quando assina o CSR e cria um Certificado de Identidade assinado.

   1. Clique em Selecionar.

      

   2. Na janela Certificate Subject DN (DN do assunto do certificado), configure certificate attributes - selecione o atributo na lista suspensa, digite o valor e clique em Add.

      

      Atributo	Descrição
      CN	O nome pelo qual o firewall pode ser acessado (geralmente o nome de domínio totalmente qualificado, por exemplo, vpn.example.com).
      OU	O nome do seu departamento na organização.
      O	O nome legalmente registrado da sua organização/empresa.
      C	Código do país (código de 2 letras sem pontuação)
      ST	O estado no qual sua organização está localizada.
      I	A cidade em que sua organização está localizada.
      EA	Endereço de e-mail

      Note: Nenhum dos campos anteriores pode exceder um limite de 64 caracteres. Um valor mais longo pode causar problemas com a instalação do Certificado de Identidade. Além disso, não é necessário definir todos os atributos DN.

      Clique em OK depois que todos os atributos forem adicionados.
   3. Para configurar o FQDN do dispositivo, clique em Avançado.

      

   4. No campo FQDN, insira o nome de domínio totalmente qualificado através do qual o dispositivo pode ser acessado da Internet. Click OK.

      

5. Gerar e salvar o CSR

   1. Clique em Add Certificate (Adicionar certificado).

      

   2. Um prompt é exibido para salvar o CSR em um arquivo na máquina local.

      

      Clique em Procurar. Escolha um local no qual salvar o CSR e salve o arquivo com a extensão .txt.

      Note: Quando o arquivo é salvo com uma extensão .txt, a solicitação PKCS#10 pode ser aberta e visualizada com um editor de texto (como o bloco de notas).

   3. Agora o novo ponto de confiança é exibido em um estado Pendente.

      

Instalar o Certificado de Identidade no Formato PEM com o ASDM

As etapas de instalação pressupõem que a CA assinou o CSR e forneceu um novo certificado de identidade e um pacote de certificado de CA codificados em PEM (.pem, .cer, .crt).

1. Instalar o certificado de autoridade de certificação que assinou o CSR

   O certificado CA que assinou o Certificado de Identidade pode ser instalado no Ponto de Confiança criado para o Certificado de Identidade. Se o Certificado de Identidade for assinado por uma autoridade de certificação intermediária, esse certificado de autoridade de certificação poderá ser instalado no Ponto de Confiança do Certificado de Identidade. Todos os certificados de autoridade de certificação upstream na hierarquia e podem ser instalados em pontos confiáveis de autoridade de certificação separados.
   1. Navegue até Configuration > Device Management >Certificate Management > e escolha CA Certificates. Clique em Add.

      

   2. Insira o nome do ponto de confiança e escolha Instalar do arquivo, clique no botão Procurar e escolha o certificado intermediário. Como alternativa, cole o certificado CA codificado PEM de um arquivo de texto no campo de texto.

      

      Note: Instale o certificado intermediário com o mesmo nome de ponto de confiança que o nome de ponto de confiança do Certificado de Identidade, se o Certificado de Identidade for assinado pelo certificado CA intermediário.

   3. Clique em Install certificate (Instalar certificado). 

      

      No exemplo, o novo certificado é assinado com o mesmo certificado CA que o antigo. O mesmo certificado CA está associado a dois pontos confiáveis agora.
      

2. Instalar certificado de identidade

   1. Escolha o certificado de identidade criado anteriormente com a geração de CSR. Clique em Instalar.

      

      Note: O Certificado de identidade pode ter o campo Emitido por como Não disponível, e o campo Data de expiração como Pendente. 

   2. Escolha um arquivo que contenha o Certificado de identidade codificado PEM recebido da CA ou abra o certificado codificado PEM em um editor de texto e copie e cole o Certificado de identidade fornecido pela CA no campo de texto.

      

      Note: O certificado de identidade pode estar no formato .pem, .cer, .crt para instalar.

   3. Clique em Install certificate (Instalar certificado).

      

      Após a instalação, há certificados de identidade novos e antigos presentes.
      

3. Vincular o Novo Certificado à Interface com o ASDM

   O ASA precisa ser configurado para usar o novo Certificado de Identidade para sessões WebVPN que terminam na interface especificada.

   1. Navegue até Configuration > Remote Access VPN > Advanced > SSL Settings (Configuração > VPN de acesso remoto > Avançado > Configurações SSL).

   2. Em certificados, escolha a interface usada para encerrar sessões de WebVPN. Neste exemplo, a interface externa é usada.

      Clique em Editar.

   3. Na lista suspensa Certificate (Certificado), escolha o certificado recém-instalado.

      

   4. Click OK.

   5. Clique em Apply. Agora o novo Certificado de Identidade está em uso.

      

Renove um certificado registrado com o arquivo PKCS12 com ASDM

A renovação de certificado registrado no PKCS12 requer que você crie e registre um novo ponto confiável. Ele precisa ter um nome diferente (por exemplo, nome antigo com sufixo de ano de inscrição).

O arquivo PKCS12 (formato .p12 ou .pfx) contém certificado de identidade, par de chaves e certificado(s) de autoridade de certificação. Ele é criado pela CA, por exemplo, no caso de um certificado curinga, ou exportado de um dispositivo diferente. É um arquivo binário e não pode ser exibido com o editor de texto.

1. Instalar o certificado de identidade renovado e os certificados CA de um arquivo PKCS12

   O Certificado de identidade, o(s) certificado(s) de CA e o par de chaves precisam ser agrupados em um único arquivo PKCS12.
   1. Navegue até Configuration > Device Management > Certificate Management e escolha Identity Certificates.
   2. Clique em Add.
   3. Especifique um novo Nome de Ponto de Confiabilidade.

      

   4. Clique no botão de rádio Import the identity certificate from a file (Importar o certificado de identidade de um arquivo).

      

   5. Insira a senha usada para criar o arquivo PKCS12.

      

   6. Clique em Add Certificate (Adicionar certificado).

      

      Note: Quando uma cadeia de certificados PKCS12 com CAs é importada, o ASDM cria automaticamente pontos de confiança de CAs de upstream com nomes com sufixo de número adicionado.
      

2. Vincular o Novo Certificado à Interface com o ASDM

   O ASA precisa ser configurado para usar o novo Certificado de Identidade para sessões WebVPN que terminam na interface especificada.

   1. Navegue até Configuration > Remote Access VPN > Advanced > SSL Settings (Configuração > VPN de acesso remoto > Avançado > Configurações SSL).

   2. Em certificados, escolha a interface usada para encerrar sessões de WebVPN. Neste exemplo, a interface externa é usada.

      Clique em Editar.

   3. Na lista suspensa Certificate (Certificado), escolha o certificado recém-instalado.

      

   4. Click OK.

   5. Clique em Apply.

      

      Agora o novo Certificado de Identidade está em uso.

Verificar

Use estas etapas para verificar se a instalação do Certificado de fornecedor de terceiros foi bem-sucedida e o uso para conexões VPN SSL.

Exibir certificados instalados via ASDM

1. Navegue até Configuration > Remote Access VPN > Certificate Management (Configuração > Acesso remoto > Gerenciamento) e escolha Identity Certificates (Certificados de identidade).
2. O Certificado de Identidade emitido pelo fornecedor terceirizado pode ser exibido.

Troubleshooting

Este comando de depuração deve ser coletado na CLI em caso de falha na instalação do certificado SSL.

• debug crypto ca 14

Perguntas mais freqüentes

P. O que é um PKCS12?
R. Na criptografia, o PKCS12 define um formato de arquivo criado para armazenar muitos objetos de criptografia como um único arquivo. É comumente usado para agrupar uma chave privada com seu certificado X.509 ou para agrupar todos os membros de uma cadeia de confiança.

P. O que é CSR?
R. Nos sistemas de infraestrutura de chave pública (PKI), um pedido de assinatura de certificado (também conhecido como CSR ou pedido de certificação) é uma mensagem enviada por um requerente a uma autoridade de registro da infraestrutura de chave pública para solicitar um certificado de identidade digital. Ele geralmente contém a chave pública para a qual o certificado pode ser emitido, informações que são usadas para identificar o certificado assinado (como um nome de domínio no Assunto) e proteção de integridade (por exemplo, uma assinatura digital).

P. Onde está a senha do PKCS12?
R. Quando certificados e pares de chaves são exportados para um arquivo PKCS12, a senha é fornecida no comando export.  Para importar um arquivo pkcs12, a senha precisa ser entregue pelo proprietário do servidor da autoridade de certificação ou pela pessoa que exportou o PKCS12 de outro dispositivo.

P. Qual é a diferença entre a raiz e a identidade?
R. Na criptografia e na segurança do computador, um certificado raiz é um certificado de chave pública que identifica uma autoridade de certificação raiz (CA). Os certificados raiz são autoassinados (e é possível que um certificado tenha vários caminhos confiáveis, por exemplo, se o certificado foi emitido por uma raiz que foi assinada entre si) e formam a base de uma infraestrutura de chave pública (PKI) baseada em X.509. Um certificado de chave pública, também conhecido como certificado digital ou certificado de identidade, é um documento eletrônico usado para provar a propriedade de uma chave pública. O certificado inclui informações sobre a chave, informações sobre a identidade do seu proprietário (denominada entidade) e a assinatura digital de uma entidade que verificou o conteúdo do certificado (denominada emitente). Se a assinatura for válida e o software que examina o certificado confiar no emissor, ele poderá usar essa chave para se comunicar com segurança com o requerente do certificado.

P. Instalei o certificado, por que ele não funciona?
R. Isso pode ser devido a muitas razões, por exemplo:

1. O certificado e o ponto confiável estão configurados, mas não foram associados ao processo que o utiliza.  Por exemplo, o ponto confiável a ser usado não está vinculado à interface externa que termina os clientes Anyconnect.

2. Um arquivo PKCS12 está instalado, mas apresenta erros devido à ausência do certificado intermediário CA no arquivo PKCS12. Os clientes que têm o certificado intermediário de autoridade de certificação como confiável, mas não têm o certificado raiz de autoridade de certificação como confiável, não podem verificar toda a cadeia de certificados e relatar o certificado de identidade do servidor como não confiável.

3. Um certificado preenchido com atributos incorretos pode causar falha na instalação ou erros no lado do cliente. Por exemplo, determinados atributos são codificados com o formato incorreto. Outro motivo é que o Certificado de Identidade não tem o SAN (Nome Alternativo da Entidade) ou o nome de domínio usado para acessar o servidor não está presente como uma SAN.

P. A instalação de um novo certificado requer uma janela de manutenção ou causa tempo de inatividade?
R. A instalação de um novo certificado (identidade ou CA) não é intrusiva e não causa tempo de inatividade ou requer uma janela de manutenção. Permitir que um novo certificado seja usado para um serviço que existe é uma alteração e exige uma janela de solicitação/manutenção de alteração.

P. É possível adicionar ou alterar um certificado para desconectar os usuários conectados?
R. Não, os usuários conectados no momento permanecem conectados. O certificado é usado no estabelecimento da conexão. Quando os usuários se reconectarem, o novo certificado será usado.

P. Como posso criar um CSR com um curinga? Ou um nome alternativo para o assunto (SAN)?
R. Atualmente, o ASA/FTD não pode criar um CSR com curinga; no entanto, esse processo pode ser feito com o OpenSSL. Para gerar a chave CSR e ID, você pode executar os comandos:
     openssl genrsa -out id.key 2048

     openssl req -out id.csr -key id.key -new
Quando um ponto confiável é configurado com o atributo Fully Qualified Domain Name (FQDN), o CSR criado pelo ASA/FTD contém a SAN com esse valor. Mais atributos de SAN podem ser adicionados pela CA quando ela assina o CSR, ou o CSR pode ser criado com o OpenSSL

P.  A substituição de certificado entra em vigor imediatamente?

R. O novo certificado de identidade do servidor é usado somente para as novas conexões. O novo certificado está pronto para ser usado imediatamente após a alteração, mas é usado com novas conexões.

P.  Como posso verificar se a instalação funcionou?
R. O comando CLI para verificar: show crypto ca cert <nome_do_ponto_de_confiança>

P. Como gerar PKCS12 a partir do certificado de identidade, certificado CA e chave privada?
A.  O PKCS12 pode ser criado com o OpenSSL, com o comando:
     openssl pkcs12 -export -out p12.pfx -inkey id.key -in id.crt -certfile ca.crt

P.  Como exportar um certificado para instalá-lo em um novo ASA?
A.

• Com CLI: use o comando: crypto ca export <nome_do_ponto_de_confiança> pkcs12 <senha>

• Com ASDM:

  1. Navegue para Configuration > Device Management > Certificate Management > Identity Certificates e escolha o Identity Certificate. Clique em Exportar.

     

  2. Escolha para onde exportar o arquivo, especifique a senha de exportação e clique em Export Certificate.

     

     O certificado exportado pode estar no disco do computador. Por favor, coloque a senha em um lugar seguro, o arquivo é inútil sem ele.

P. Se as chaves ECDSA forem usadas, o processo de geração de certificado SSL será diferente?
R. A única diferença na configuração é a etapa de geração do par de chaves, onde um par de chaves ECDSA pode ser gerado em vez de um par de chaves RSA. O restante do endereço permanece o mesmo.

P. É sempre necessário gerar um novo par de chaves?
R.A etapa de geração do par de chaves é opcional. O par de chaves existente pode ser usado ou, no caso de PKCS12, o par de chaves é importado com o certificado. Consulte a seção Selecionar o Nome do Par de Chaves para o respectivo tipo de inscrição/reinscrição.

P. É seguro gerar um novo par de chaves para um novo certificado de identidade?
R. O processo é seguro desde que um novo nome de par de chaves seja usado. Nesse caso, os antigos Pares de Chave não são alterados.

P. É necessário gerar a chave novamente quando um firewall é substituído (como RMA)?
R. O novo firewall por design não tem Pares de chaves presentes no firewall antigo.
O backup da configuração atual não contém os Pares de Chaves. O backup completo feito com o ASDM pode conter os Pares de Chaves.
Os Certificados de Identidade podem ser exportados de um ASA com ASDM ou CLI, antes de falhar. No caso do par de failover, os certificados e os Pares de Chaves são sincronizados com uma unidade de standby com o comando write standby. Caso um nó do par de failover seja substituído, é suficiente configurar o failover básico e enviar a configuração para o novo dispositivo.
Caso um par de chaves seja perdido com o dispositivo e não haja backup, um novo certificado precisa ser assinado com o par de chaves presente no novo dispositivo.