证书的要求和必备条件
支持的域
任意
用户角色
管理员
网络管理员
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
任意
管理员
网络管理员
如果 PKI 注册对象与某个设备关联并要安装在该设备上,证书注册过程将立即开始。对于自签名和 SCEP 注册类型,此过程将自动执行;它不需要任何额外的管理员操作。手动证书注册需要管理员操作。
注册完成后,设备上会出现一个信任点,其名称与 证书注册对象相同。在配置 VPN 身份验证方法时会使用此信任点。
威胁防御设备支持使用 Microsoft 证书颁发机构 (CA) 服务和思科自适应安全设备 (ASA) 和思科 IOS 路由器中提供的 CA 服务的证书注册。
威胁防御 设备无法配置为证书颁发机构 (CA)。
证书注册可以在子域或父域中完成。
当从父域执行注册时,证书注册对象也需要在同一个域中。如果该设备上的信任点在子域中被覆盖,则将在该设备上部署被覆盖的值。
当在分叶域中的设备上执行证书注册时,该注册对父域或其他子域是可见的。此外,还可以添加其他证书。
当一个叶域被删除时,将自动删除所包含的设备上的证书注册。
设备在一个域中注册了证书后,该设备将允许在其他任何域中进行注册。可以在其他域中添加该证书。
当您将一台设备从一个域移动到另一个域时,还会相应移动证书。您将收到一个警报,要求您删除这些设备上的注册。
有关数字证书的介绍,请参阅PKI 基础设施和数字证书。
有关用于在受管设备上注册和获取证书的对象的说明,请参阅证书注册对象。
步骤 1 |
选择。 您可以看到此屏幕上列出的每个设备的以下列:
|
||
步骤 2 |
选择 (+) 添加以关联注册对象,并在设备上安装该注册对象。 在证书注册对象与某个设备关联并安装到该设备后,证书注册过程将立即开始。对于自签名和 SCEP 注册类型,此过程将自动执行,这意味着不需要任何额外的管理员操作。手动证书注册需要额外的管理员操作。
|
您可以将管理中心设置为通过 CLI 命令自动更新 CA 证书。默认情况下,当您安装或升级到版本 7.0.5 时,CA 证书会自动更新。
注 |
在仅 IPv6 部署中,CA 证书的自动更新可能会失败,因为某些思科服务器不支持 IPv6。在这种情况下,请使用 configure cert-update run-now force 命令强制更新 CA 证书。 |
步骤 1 |
使用 SSH 登录 FMC CLI,或者打开 VM 控制台(如果是虚拟的)。 |
步骤 2 |
您可以验证本地系统中的 CA 证书是否是最新的: configure cert-update test 此命令将本地系统上的 CA 捆绑包与最新的 CA 捆绑包(来自思科服务器)进行比较。如果 CA 捆绑包是最新的,则不会执行连接检查,并且会显示测试结果,如下所示: 示例:
如果 CA 捆绑包已过期,则对下载的 CA 捆绑包执行连接检查,展示结果。 示例:
示例:
|
步骤 3 |
(可选)要立即更新 CA 捆绑包,请执行以下操作: configure cert-update run-now 示例:
执行此命令时,将验证 CA 证书(来自思科服务器)以进行 SSL 连接。如果其中一台思科服务器的 SSL 连接检查失败,该流程也会终止。 示例:
要在连接失败的情况下继续更新,请使用 force 关键字。 示例:
|
步骤 4 |
如果您不希望自动更新 CA 捆绑包,请禁用配置: configure cert-update auto-update disable 示例:
|
步骤 5 |
要重新启用 CA 捆绑包的自动更新: configure cert-update auto-update enable 示例:
|
步骤 6 |
(可选)显示 CA 证书的自动更新状态。 show cert-update 示例:
|
步骤 1 |
在设备 > 证书屏幕上,选择添加,以打开添加新证书对话框。 |
步骤 2 |
从设备下拉列表中选择设备。 |
步骤 3 |
按照下列方式之一将证书注册对象与此设备关联:
|
步骤 4 |
按添加开始自动自签名注册过程。 对于自签名注册类型的信任点, CA 证书 状态将始终显示,因为受管设备会充当自己的 CA,而不需要 CA 证书来生成自己的身份证书。 身份证书 (Identity Certificate) 状态会在设备创建自己的自签身份证书时由“进行中”(InProgress) 转变为“可用”(Available)。 |
步骤 5 |
点击放大镜可查看为此设备创建的自签身份证书。 |
注册完成后,设备上会出现一个信任点,其名称与证书注册对象相同。请在您的“站点到站点”和“远程接入 VPN 身份验证方法”的配置中,使用此信任点。
注 |
使用 EST 注册创建受管设备与 CA 服务器之间的直接连接。在开始注册流程之前,请确保您的设备已连接到 CA 服务器。 |
注 |
不支持 EST 在证书过期时自动注册设备的功能。 |
步骤 1 |
在 设备 > 证书 屏幕上,点击 添加 以打开 添加新证书 对话框。 |
步骤 2 |
从设备下拉列表中选择设备。 |
步骤 3 |
按照下列方式之一将证书注册对象与此设备关联:
|
步骤 4 |
点击 添加 以在设备上注册证书。 身份证书 将在设备使用 EST 从指定的 CA 获取其身份证书后从 进行中 转变为 可用 。有时,可能需要手动刷新才能获取身份证书。 |
步骤 5 |
点击放大镜可查看为此设备创建和安装在此设备上的身份证书。 |
注 |
使用 SCEP 注册创建受管设备与 CA 服务器之间的直接连接。在开始注册流程之前,请确保您的设备已连接到 CA 服务器。 |
步骤 1 |
在设备 > 证书屏幕上,选择添加,以打开添加新证书对话框。 |
步骤 2 |
从设备下拉列表中选择设备。 |
步骤 3 |
按照下列方式之一将证书注册对象与此设备关联:
|
步骤 4 |
按安装,以开始自动注册过程。 对于 SCEP 注册类型信任点,CA 证书状态将在从 CA 服务器获取 CA 证书并安装在设备上后,从“进行中”过渡到“可用”。 身份证书将在设备使用 SCEP 从指定的 CA 获取其身份证书后从进行中转变为可用。有时,可能需要手动刷新才能获取身份证书。 |
步骤 5 |
点击放大镜可查看为此设备创建和安装在此设备上的身份证书。 |
注册完成后,设备上会出现一个信任点,其名称与证书注册对象相同。请在您的“站点到站点”和“远程接入 VPN 身份验证方法”的配置中,使用此信任点。
注 |
使用 EST 注册创建受管设备与 CA 服务器之间的直接连接。在开始注册流程之前,请确保您的设备已连接到 CA 服务器。 |
注 |
不支持 EST 在证书过期时自动注册设备的功能。 |
步骤 1 |
在 设备 > 证书 屏幕上,点击 添加 以打开 添加新证书 对话框。 |
步骤 2 |
从设备下拉列表中选择设备。 |
步骤 3 |
按照下列方式之一将证书注册对象与此设备关联:
|
步骤 4 |
点击 添加 以在设备上注册证书。 身份证书 将在设备使用 EST 从指定的 CA 获取其身份证书后从 进行中 转变为 可用 。有时,可能需要手动刷新才能获取身份证书。 |
步骤 5 |
点击放大镜可查看为此设备创建和安装在此设备上的身份证书。 |
步骤 1 |
在设备 > 证书屏幕上,选择添加,以打开添加新证书对话框。 |
步骤 2 |
从设备下拉列表中选择设备。 |
步骤 3 |
按照下列方式之一将证书注册对象与此设备关联:
|
步骤 4 |
按添加,以开始注册过程。 |
步骤 5 |
使用 PKI CA 服务器执行适当的活动,以获取身份证书。 |
步骤 6 |
选择导入 (Import) 以导入身份证书。 导入完成时,身份证书状态将为 Available。 |
步骤 7 |
点击放大镜可查看此设备的身份证书。 |
注册完成后,设备上会出现一个信任点,其名称与证书注册对象相同。请在您的“站点到站点”和“远程接入 VPN 身份验证方法”的配置中,使用此信任点。
步骤 1 |
转至设备 > 证书屏幕,然后选择添加,以打开添加新证书对话框。 |
||
步骤 2 |
从设备 (Device) 下拉列表中选择预先配置的受管设备。 |
||
步骤 3 |
按照下列方式之一将证书注册对象与此设备关联:
|
||
步骤 4 |
按添加 CA 证书和身份证书状态会在其在设备上安装 PKCS12 文件时从 In Progress 变为 Available。
|
||
步骤 5 |
状态转变为可用 (Available) 后,请点击放大镜查看此设备的身份证书。 |
受管设备上的证书(信任点)的名称与 PKCS#12 文件的名称相同。在 VPN 身份验证配置中使用此证书。
请参阅 Cisco Secure Firewall Threat Defense VPN 证书指南和限制 确定您的证书注册环境中的变体是否可能导致问题。然后,考虑以下事项:
如果在注册对象中给出了 CA 服务器的主机名,请使用 Flex Config 来配置 DNS 以适当方式到达服务器。或者,使用 CA 服务器的 IP 地址。
如果您使用的是 Microsoft 2012 CA 服务器,则受管设备不接受默认的 IPsec 模板,必须更改模板。
请参阅您使用 MS CA 文档时的以下步骤来配置工作模板。
复制 IPsec(脱机请求)模板。
在扩展 (Extensions) > 应用策略 (Application policies) 中,请选择 IP 安全端系统 (IP security end system),而不是 IP 安全 IKE 中间系统 (IP security IKE intermediate)。
设置权限和模板名称。
添加新模板并更改注册表设置以反映新的模板名称。
在 管理中心上,您可能会收到与 威胁防御 设备相关的以下运行状况警报:
Code - F0853; Description - default Keyring's certificate is invalid, reason: expired
在这种情况下,请使用以下命令在 CLISH CLI 中重新生成默认证书:
> system support regenerate-security-keyring default