配置Cisco VPN 3000集中器4.7.x获得数字证书和SSL证书

简介

本文档包含有关如何配置Cisco VPN 3000系列集中器以使用数字或身份证书和SSL证书进行身份验证的分步说明。

注意：在VPN集中器中，必须在生成另一个SSL证书之前禁用负载均衡，因为这会阻止证书生成。

请参阅如何使用 ASA 上的 ASDM 从 Microsoft Windows CA 获得数字证书，以便了解有关 PIX/ASA 7.x 中的相同方案的详细信息。

要了解有关与Cisco IOS®平台相同方案的详细信息，请参阅使用增强型注册命令的Cisco IOS证书注册配置示例。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于运行版本4.7的Cisco VPN 3000集中器。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

在VPN集中器上安装数字证书

请完成以下步骤：

1. 选择Administration > Certificate Management > Enroll以选择数字证书或身份证书请求。

   

2. 选择Administration > Certificate Management > Enrollment > Identity Certificate，然后单击Enroll via PKCS10 Request(Manual)。

   

3. 填写请求的字段，然后单击Enroll。

   本示例中填写了这些字段。

   • 公用名称 — altiga30

   • 组织单位 — IPSECCERT（OU应与配置的IPsec组名匹配）

   • 组织- Cisco Systems

   • 位置- RTP

   • 州/省 — 北卡罗莱纳

   • 国家 — 美国

   • 完全限定域名 — （此处未使用）

   • 密钥大小 — 512

   注：如果使用简单证书注册协议(SCEP)请求SSL证书或身份证书，这些是仅有的可用的RSA选项。

   • RSA 512位

   • RSA 768位

   • RSA 1024位

   • RSA 2048位

   • DSA 512位

   • DSA 768位

   • DSA 1024位

   

4. 单击Enroll后，出现多个窗口。第一个窗口确认您已请求证书。

   

   还会打开一个新的浏览器窗口，并显示您的PKCS请求文件。

   

5. 在证书颁发机构(CA)服务器上，突出显示请求并将其粘贴到CA服务器以提交请求。单击 Next。

   

6. 选择Advanced request，然后单击Next。

   

7. 选择Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file，然后单击Next。

   

8. 将PKCS文件剪切并粘贴到Saved Request部分下的文本字段中。然后请点击提交。

   

9. 在CA服务器上颁发身份证书。

   

10. 下载根证书和身份证书。在CA服务器上，选择Check on a pending certificate，然后单击Next。

    

11. 选择Base 64 encoded，然后单击Download CA certificate on the CA server。

    

12. 保存本地驱动器上的身份证书。

    

13. 在CA服务器上，选择Retrieve the CA certificate or certificate revocation list以获取根证书。然后，单击下一步。

    

14. 保存本地驱动器上的根证书。

    

15. 在VPN 3000集中器上安装根证书和身份证书。为此，请选择Administration > Certificate Manager > Installation > Install certificate obtained via enrollment。在Enrollment Status下，单击Install。

    

16. 单击从工作站上传文件。

    

17. 单击Browse并选择您保存到本地驱动器的根证书文件。

    选择Install以在VPN集中器上安装身份证书。行政部门 | “证书管理”(Certificate Management)窗口显示为确认，新身份证书出现在“身份证书”(Identity Certificates)表中。

    

    注意：如果证书失败，请完成以下步骤以生成新证书。

    1. 选择 Administration > Certificate Management。

    2. 在SSL证书列表的Actions框中点击Delete。

    3. 选择Administration > System Reboot。

    4. 选择Save the active configuration at time of reboot，选择Now，然后单击Apply。现在，您可以在重新加载完成后生成新证书。

在VPN集中器上安装SSL证书

如果在浏览器和VPN集中器之间使用安全连接，则VPN集中器需要SSL证书。您还需要在用于管理VPN集中器和WebVPN的接口上以及终止WebVPN隧道的每个接口上使用SSL证书。

升级VPN 3000集中器软件后，VPN 3000集中器重新启动时，会自动生成接口SSL证书（如果不存在）。由于自签名证书是自生成的，因此此证书不可验证。没有证书颁发机构保证其身份。但是，此证书允许您使用浏览器与VPN集中器进行初始联系。如果要将其替换为其他自签名SSL证书，请完成以下步骤：

1. 选择Administration > Certificate Management。

   

2. 单击Generate以便在SSL Certificate表中显示新证书并替换现有证书。

   此窗口允许您配置VPN集中器自动生成的SSL证书的字段。这些SSL证书用于接口和负载均衡。

   

   如果要获取可验证的SSL证书（即，由证书颁发机构颁发的证书），请参阅本文档的在VPN集中器上安装数字证书部分，以便使用与获取身份证书相同的过程。但这次在Administration > Certificate Management > Enroll窗口中，单击SSL certificate（而不是Identity Certificate）。

   注意：请参阅管理 | VPN 3000 Concentrator Reference Volume II: Administration and Monitoring Release 4.7的Certificate Management部分，了解有关数字证书和SSL证书的完整信息。

在VPN集中器上更新SSL证书

本节介绍如何更新SSL证书：

如果这是针对VPN集中器生成的SSL证书，请转到SSL部分上的管理>证书管理。单击renew选项，该选项将更新SSL证书。

如果这是由外部CA服务器授予的证书，请完成以下步骤：

1. 在SSL Certificates下选择Administration > Certificate Management >Delete，以便从公共接口删除过期的证书。

   

   单击Yes以确认删除SSL证书。

   

2. 选择Administration > Certificate Management > Generate以生成新的SSL证书。

   

   系统将显示公共接口的新SSL证书。

   

相关信息

• Cisco VPN 3000 系列集中器支持页
• IPsec 协商/IKE 协议
• 技术支持和文档 - Cisco Systems