NAT 策略设置

确定 NAT 设置的一些重要命令如下：

• 要确定 NAT 策略统计信息，请使用 show nat。

• 要确定 NAT 池，包括已分配的地址和端口，及其分配次数，请使用 show nat pool。

有关与 NAT 相关的更多命令，请参阅《CLI 手册 2：思科 ASA 系列防火墙 CLI 配置指南》，并导航至“网络地址转换 (NAT)”一章。

测试基本连接：Ping 通地址

您可以使用 ping 命令对 ASA 设备执行 ping 操作<IP address>命令。了解有关

显示路由表

使用 show route 命令来查看路由表中的条目。

ciscoasa# show route

ASA 路由表的输出示例：

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route, + - replicated route

SI - 静态 InterVRF

Gateway of last resort is 192.168.0.254 to network 0.0.0.0

S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.0.254, management

C 10.0.0.0 255.0.0.0 is directly connected, outside

L 10.10.10.1 255.255.255.255 is directly connected, Outside

C 192.168.0.0 255.255.255.0 is directly connected, management

L 192.168.0.118 255.255.255.255 is directly connected, management

监控交换机端口

• show interface

  显示接口统计信息。

• show interface ip brief

  显示接口的 IP 地址和状态。

• show arp

显示动态、静态和代理 ARP 条目。动态 ARP 条目包括 ARP 条目时限（秒）。

ARP 条目输出示例：

management 10.10.32.129 0050.568a.977b 0

management 10.10.32.136 0050.568a.5387 21

LANFAIL 20.20.21.1 0050.568a.4d70 96

outsi 10.10.16.6 0050.568a.e6d3 3881

outsi 10.10.16.1 0050.568a.977b 5551

“RA VPN 监控”页面上缺少信息

如果未为 Webvpn 启用外部接口，则可能会出现此问题。

解决方法：

1. 在导航窗格中，点击 设备和服务。

2. 点击设备 (Devices) 选项卡，然后点击 ASA 选项卡。

3. 选择存在问题的 RA VPN 头端 ASA 设备。

4. 在右侧的 管理 (Management) 窗格中，点击配置 (Configuration)。

5. 点击“编辑”并搜索“webvpn”。

6. 按 Enter 键并添加 enable interface_name。这里，interface_name 是用户在进行远程访问 VPN 连接时所连接的外部接口的名称。请选择您使用此连接配置文件支持的设备与最终用户之间的任何接口，虽然这通常是外部（面向互联网的）接口。

   例如：

   webvpn

   enable outside

7. 点击保存 (Save)。

8. 预览配置并将其部署到设备。预览和部署所有设备的配置更改

使用 ASA Packet Tracer 进行故障排除

当数据包跟踪器通过 ASA 的路由配置、NAT 规则和安全策略发送数据包时，它会在每个步骤显示数据包的状态。如果策略允许该数据包，则会显示绿色复选标记。如果数据包被拒绝并丢弃，CDO 会显示一个红色的 X 。

数据包跟踪器还会显示数据包跟踪结果的实时日志。在下面的示例中，您可以看到规则拒绝 tcp 数据包的位置。

CDO 中的行为

您可能会看到 ASA 无法载入、CDO 未显示 ASA 运行配置文件中定义的所有配置或 CDO 无法写入更改日志等行为。

可能的原因

ASA 的运行配置文件对于 CDO 而言可能“过大”。

当您将 ASA 载入 CDO 时，CDO 会在其数据库中存储 ASA 的运行配置文件的副本。通常，如果该运行配置文件过大（4.5 MB 或更大），或者包含的行过多（大约 22,000 行），或者单个访问组的访问列表条目过多，则 CDO 将无法可预测地管理该设备。

要确认运行配置文件的大小，请参阅确认 ASA 运行配置大小。

解决方法或解决方案

请联系您的思科客户团队寻求帮助，以在不中断安全策略的情况下安全地减小配置文件的大小。

SEC 载入失败

症状：SEC 载入失败。

修复：删除 SEC 并重新载入。

如果收到此错误：

1. 从虚拟机容器中删除安全事件连接器及其文件。

2. 更新您的安全设备连接器。通常，SDC 会自动更新，您不必使用此程序，但此程序在故障排除的情况下非常有用。

3. 在 SDC 虚拟机上安装安全事件连接器。

提示	激活 SEC 时，请始终使用复制链接复制引导程序数据。

注	如果此程序无法解决问题，请收集故障排除日志并联系您的托管服务提供商或思科技术支持中心。

未提供 SEC Bootstrap 数据

消息：错误，无法引导程序安全事件连接器，不提供引导程序数据，正在退出。(ERROR cannot bootstrap Secure Event Connector, bootstrap data not provided, exiting.)

 [sdc@localhost ~]$ /usr/local/cdo/toolkit/sec.sh setup 
Please input the bootstrap data from Setup Secure Event Connector page of CDO: 
[2020-06-10 04:37:26] ERROR cannot bootstrap Secure Event Connector, bootstrap data not provided, exiting. 

诊断：系统提示时，Boostrap 数据未输入到设置脚本中。

修复：在载入时，如果提示输入引导程序数据，提供在 CDO UI 中生成的 SEC 引导程序数据。

引导程序配置文件不存在

消息：错误，无法为租户引导安全事件连接器：<tenant_name> ，引导程序配置文件（“/usr/local/cdo/es_bootstrapdata”）不存在，正在退出。(ERROR Cannot bootstrap Secure Event Connector for tenant: <tenant_name>, bootstrap config file ("/usr/local/cdo/es_bootstrapdata") does not exist, exiting.)

诊断：SEC 引导程序数据文件（“/usr/local/cdo/es_bootstrapdata”）不存在。

修复：将 CDO UI 中生成的 SEC 引导程序数据放到文件 /usr/local/cdo/es_bootstrapdata 中，然后再次尝试载入。

1. 重复载入程序。

2. 复制引导程序日期。

3. 以“sdc”用户身份登录 SEC VM。

4. 将 CDO UI 中生成的 SEC 引导程序数据放到文件 /usr/local/cdo/es_bootstrapdata 中，然后再次尝试载入。

解码引导程序数据失败

消息：错误无法为租户引导安全事件连接器：<tenant_name> ，未能解码 SEC Boostrap 数据，正在退出。(ERROR cannot bootstrap Secure Event Connector for tenant: <tenant_name>, faile to decode SEC boostrap data, exiting.)

[sdc@localhost ~]$ /usr/local/cdo/toolkit/sec.sh setup
base64: invalid input
[2020-06-10 04:37:26] ERROR cannot bootstrap Secure Event Connector for tenant: tenant_XYZ, failed to decode SEC bootstrap data, exiting. 

诊断：解码引导程序数据失败

修复：重新生成 SEC 引导程序数据，然后再次尝试载入。

引导程序数据没有载入 SEC 所需的信息

消息：

• 错误，无法为租户引导安全事件连接器容器，安全服务交换 FQDN 未设置，正在退出。

• 错误，无法为租户引导安全事件连接器容器，安全服务交换 OTP 未设置，正在退出。

 [sdc@localhost ~]$ /usr/local/cdo/toolkit/sec.sh setup 
[2020-06-10 04:37:26] ERROR cannot bootstrap Secure Event Connector for tenant: 安全服务交换 FQDN not set, exiting. 

[sdc@localhost ~]$ /usr/local/cdo/toolkit/sec.sh setup 
[2020-06-10 04:37:26] ERROR cannot bootstrap Secure Event Connector for tenant: 安全服务交换 FQDN not set, exiting. 

诊断：引导程序数据没有载入 SEC 所需的信息

修复：重新生成 bootstrapdata，然后再次尝试载入。

当前正在运行的工具包 Cron

消息：错误，SEC 工具包已在运行，正在退出。(ERROR SEC toolkit already running, exiting.)

 [sdc@localhost ~]$ /usr/local/cdo/toolkit/sec.sh setup
 [2020-06-10 04:37:26] ERROR SEC toolkit already running.

诊断： 工具包 cron 当前正在运行。

修复：再次重试载入命令。

没有足够的 CPU 和内存

消息：错误，无法设置安全事件连接器，需要至少 4 个 CPU 和 8 GB 内存，正在退出。(ERROR unable to setup Secure Event Connector, minimum 4 cpus and 8 GB ram required, exiting.)

 [sdc@localhost ~]$ /usr/local/cdo/toolkit/sec.sh setup 
[2020-06-10 04:37:26] ERROR unable to setup Secure Event Connector, minimum 4 cpus and 8 GB ram required, exiting. 

诊断：没有足够的 CPU 和内存。

修复：确保至少为虚拟机上的 SEC 调配了 4 个 CPU 和 8 GB RAM，然后再次尝试载入。

SEC 已在运行

消息：错误安全事件连接器已在运行，在载入新的安全事件连接器并退出之前执行“cleanup”。

[sdc@localhost ~]$ /usr/local/cdo/toolkit/sec.sh setup 
[2020-06-10 04:37:26] ERROR Secure Event Connector already running, execute 'cleanup' before onboarding a new Secure Event Connector, exiting. 

诊断：SEC 已在运行。

修复：在载入新的 SEC 之前运行 SEC cleanup 命令。

SEC 域无法访问

消息：

• 未能连接到 api-sse.cisco.com:443；连接被拒绝 (Failed connect to api-sse.cisco.com:443; Connection refused)

• 错误，无法设置安全事件连接器，无法访问域 api-sse.cisco.com，正在退出。(ERROR unable to setup Secure Event Connector, domain api-sse.cisco.com unreachable, exiting.)

 [sdc@localhost ~]$ /usr/local/cdo/toolkit/sec.sh setup 
curl: (7) Failed connect to api-sse.cisco.com:443; Connection refused 
[2020-06-10 04:37:26] ERROR unable to setup Secure Event Connector, domain api-sse.cisco.com unreachable, exiting. 

诊断：SEC 域不可达

修复：确保本地 SDC 具有互联网连接，然后再次尝试载入。

载入 SEC 命令成功且未出错，但 SEC docker 容器未启动

症状：载入 SEC 命令成功且未出错，但 SEC docker 容器未启动

诊断：载入 SEC 命令成功且未出错，但 SEC docker 容器未启动

修复：

1. 以“sdc”用户身份登录 SEC。

2. 检查 SEC docker 容器启动日志中是否存在任何错误 (/usr/local/cdo/data/<tenantDir>/event_streamer/logs/startup.log)。

3. 如果是，请运行 SEC cleanup 命令，然后再次尝试载入。

联系 CDO 支持人员

如果这些场景都不符合您的情况，请通过思科技术支持中心提交支持案例。

CDO 对证书的使用

CDO 在连接到设备时检查证书的有效性。具体而言，CDO 要求：

1. 设备使用 TLS 版本 1.0 或更高版本。

2. 设备提供的证书未过期，并且其颁发日期是过去的日期（即，它已经有效，未计划在以后生效）。

3. 证书必须是 SHA-256 证书。不接受 SHA-1 证书。

4. 以下条件之一成立：

   • 设备使用自签名证书，并且与授权用户信任的最新证书相同。

   • 设备使用受信任证书颁发机构 (CA) 签名的证书，并提供将所提供的枝叶证书链接到相关 CA 的证书链。

以下是 CDO 使用与浏览器不同的证书的方式：

• 如果是自签名证书，则 CDO 会覆盖域名检查，而不会在设备载入或重新连接期间检查证书是否与授权用户信任的证书完全匹配。

• CDO 尚不支持内部 CA。目前无法检查由内部 CA 签名的证书。

  可以按设备禁用 ASA 设备的证书检查。当 CDO 无法信任 ASA 的证书时，您可以选择禁用该设备的证书检查。如果您已尝试禁用设备的证书检查，但仍无法将其载入，则可能是您为设备指定的 IP 地址和端口不正确或无法访问。无法全局禁用证书检查，也无法对具有受支持证书的设备禁用证书检查。无法禁用非 ASA 设备的证书检查。

  当您禁用设备的证书检查时，CDO 仍将使用 TLS 连接到设备，但不会验证用于建立连接的证书。这意味着被动的中间人攻击者将无法窃听连接，但主动的中间人可以通过提供具有无效证书的 CDO 来拦截连接。

确定证书问题

CDO 可能无法载入设备的原因有很多种。当 UI 显示消息“CDO 无法使用提供的证书连接到设备”时，表示证书存在问题。当 UI 不显示此消息时，问题更有可能与连接问题（设备无法访问）或其他网络错误有关。

要确定 CDO 拒绝给定证书的原因，您可以在 SDC 主机或可访问相关设备的其他主机上使用 openssl 命令行工具。使用以下命令创建显示设备提供的证书的文件：

openssl s_client -showcerts -connect <host>:<port> &> <filename>.txt

此命令将启动交互式会话，因此您需要在几秒钟后使用 Ctrl-c 退出。

您现在应该有一个包含如下输出的文件：

depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA 
verify return:1
depth=1 C = US, O = Google Inc, CN = Google Internet Authority G2 
verify return:1 
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = *.google.com 
verify return:1 CONNECTED(00000003)
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.google.com 
  i:/C=US/O=Google Inc/CN=Google Internet Authority G2
-----BEGIN CERTIFICATE----- 
MIIH0DCCBrigAwIBAgIIUOMfH+8ftN8wDQYJKoZIhvcNAQELBQAwSTELMAkGA1UE 
....lots of base64... 
tzw9TylimhJpZcl4qihFVTgFM7rMU2VHulpJgA59gdbaO/Bf
-----END CERTIFICATE-----
1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2 
  i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 
-----BEGIN CERTIFICATE----- 
MIID8DCCAtigAwIBAgIDAjqSMA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT 
....lots of base64... 
tzw9TylimhJpZcl4qihFVTgFM7rMU2VHulpJgA59gdbaO/Bf 
-----END CERTIFICATE----- 
2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 
  i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority 
-----BEGIN CERTIFICATE----- 
MIIDfTCCAuagAwIBAgIDErvmMA0GCSqGSIb3DQEBBQUAME4xCzAJBgNVBAYTAlVT 
....lots of base64... 
b8ravHNjkOR/ez4iyz0H7V84dJzjA1BOoa+Y7mHyhD8S 
-----END CERTIFICATE-----
--- 
Server certificate 
subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.google.com 
issuer=/C=US/O=Google Inc/CN=Google Internet Authority G2 
---
No client certificate CA names sent 
Peer signing digest: SHA512 
Server Temp Key: ECDH, P-256, 256 bits

--- 
SSL handshake has read 4575 bytes and written 434 bytes 
--- 
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256 
Server public key is 2048 bit Secure Renegotiation IS supported 
Compression: NONE 
Expansion: NONE 
No ALPN negotiated 
SSL-Session:    
    Protocol : TLSv1.2 
    Cipher : ECDHE-RSA-AES128-GCM-SHA256 
    Session-ID: 48F046F3360225D51BE3362B50CE4FE8DB6D6B80B871C2A6DD5461850C4CF5AB 
    Session-ID-ctx: 
    Master-Key: 9A9CCBAA4F5A25B95C37EF7C6870F8C5DD3755A9A7B4CCE4535190B793DEFF53F94203AB0A62F9F70B9099FBFEBAB1B6 
    Key-Arg : None 
    PSK identity: None 
    PSK identity hint: None 
    SRP username: None 
    TLS session ticket lifetime hint: 100800 (seconds) 
    TLS session ticket: 
    0000 - 7a eb 54 dd ac 48 7e 76-30 73 b2 97 95 40 5b de z.T..H~v0s...@[. 
    0010 - f3 53 bf c8 41 36 66 3e-5b 35 a3 03 85 6f 7d 0c .S..A6f>[5...o}. 
    0020 - 4b a6 90 6f 95 e2 ec 03-31 5b 08 ca 65 6f 8f a6 K..o....1[..eo.. 
    0030 - 71 3d c1 53 b1 29 41 fc-d3 cb 03 bc a4 a9 33 28 q=.S.)A.......3( 
    0040 - f8 c8 6e 0a dc b3 e1 63-0e 8f f2 63 e6 64 0a 36 ..n....c...c.d.6 
    0050 - 22 cb 00 3a 59 1d 8d b2-5c 21 be 02 52 28 45 9d "..:Y...\!..R(E. 
    0060 - 72 e3 84 23 b6 f0 e2 7c-8a a3 e8 00 2b fd 42 1d r..#...|....+.B. 
    0070 - 23 35 6d f7 7d 85 39 1c-ad cd 49 f1 fd dd 15 de #5m.}.9...I..... 
    0080 - f6 9c ff 5e 45 9c 7c eb-6b 85 78 b5 49 ea c4 45 ...^E.|.k.x.I..E 
    0090 - 6e 02 24 1b 45 fc 41 a2-87 dd 17 4a 04 36 e6 63 n.$.E.A....J.6.c 
    00a0 - 72 a4 ad 
    00a4 - <SPACES/NULS> Start Time: 1476476711 Timeout : 300 (sec)
Verify return code: 0 (ok)
---  

在此输出中要注意的第一件事是最后一行，您可以在其中看到验证返回代码 (Verify return code)。如果存在证书问题，返回代码将为非零值，并且会有错误说明。

展开此证书错误代码列表，查看常见错误及其补救方法

0 X509_V_OK 操作成功。

2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT 无法找到不受信任证书的颁发者证书。

3 X509_V_ERR_UNABLE_TO_GET_CRL 无法找到证书的 CRL。

4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE 无法解密证书签名。这意味着无法确定实际签名值，而不是与预期值不匹配。这仅对 RSA 密钥有意义。

5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE 无法解密 CRL 签名。这意味着无法确定实际签名值，而不是与预期值不匹配。未使用。

6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY 无法读取证书 SubjectPublicKeyInfo 中的公钥。

7 X509_V_ERR_CERT_SIGNATURE_FAILURE 证书签名无效。

8 X509_V_ERR_CRL_SIGNATURE_FAILURE 证书签名无效。

9 X509_V_ERR_CERT_NOT_YET_VALID 证书无效：notBefore 日期晚于当前时间。有关详细信息，请参阅下面的验证返回代码：9（证书尚未生效）。

10 X509_V_ERR_CERT_HAS_EXPIRED The certificate has expired;也就是说，notAfter 日期早于当前时间。有关详细信息，请参阅下面的验证返回代码：10（证书已过期）。

11 X509_V_ERR_CRL_NOT_YET_VALID CRL 尚未生效。

12 X509_V_ERR_CRL_HAS_EXPIRED CRL 已过期。

13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD 证书 notBefore 字段包含无效时间。

14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD 证书 notAfter 字段包含无效时间。

15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD CRL lastUpdate 字段包含无效时间。

16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD CRL nextUpdate 字段包含无效时间。

17 X509_V_ERR_OUT_OF_MEM 尝试分配内存时发生错误。这绝不应该发生。

18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT 通过的证书是自签名证书，在受信任证书列表中找不到相同的证书。

19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN 可以使用不受信任的证书建立证书链，但无法在本地找到根证书。

20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY 无法找到本地查找的证书的颁发者证书。这通常意味着受信任证书列表不完整。

21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE 无法验证签名，因为该链仅包含一个证书，并且它不是自签名证书。有关详细信息，请参阅下面的“验证返回代码：21（无法验证第一个证书）”。验证返回代码：21（无法验证下面的第一个证书）以了解详细信息。

22 X509_V_ERR_CERT_CHAIN_TOO_LONG 证书链长度大于提供的最大深度。未使用。

23 X509_V_ERR_CERT_REVOKED 证书已被撤销。

24 X509_V_ERR_INVALID_CA CA 证书无效。它不是 CA 或其扩展名与提供的用途不一致。

25 X509_V_ERR_PATH_LENGTH_EXCEEDED BasicConstraints 路径长度参数已被超过。

26 X509_V_ERR_INVALID_PURPOSE 提供的证书不能用于指定的目的。

27 X509_V_ERR_CERT_UNTRUSTED 根 CA 未标记为用于指定用途的受信任。

28 X509_V_ERR_CERT_REJECTED 根 CA 被标记为拒绝指定用途。

29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH 当前候选颁发者证书被拒绝，因为其使用者名称与当前证书的颁发者名称不匹配。仅在设置了 -issuer_checks 选项时显示。

30 X509_V_ERR_AKID_SKID_MISMATCH 当前候选颁发者证书被拒绝，因为其使用者密钥标识符存在且与当前证书的颁发机构密钥标识符不匹配。仅在设置了 -issuer_checks 选项时显示。

31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH 当前候选颁发者证书被拒绝，因为其颁发者名称和序列号存在，并且与当前证书的颁发机构密钥标识符不匹配。仅在设置了 -issuer_checks 选项时显示。

32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN 当前候选颁发者证书被拒绝，因为其 keyUsage 扩展不允许证书签名。

50 X509_V_ERR_APPLICATION_VERIFICATION 应用特定错误。未使用。

检测到新证书

如果升级具有自签名证书的设备，并且在升级过程后生成了新证书，则 CDO 可能会生成“检测到新证书”(New Certificate Detected) 消息作为配置状态 (Configuration Status) 和连接 (Connectivity) 状态。您必须手动确认并解决此问题，然后才能继续从 CDO 对其进行管理。证书同步且设备处于正常状态后，即可管理设备。

Note	当您同时将多个托管设备批量重新连接到 CDO 时，CDO 会自动审核并接受设备上的新证书，并继续与其重新连接。

使用以下程序解析新证书：

1. 导航到设备和服务 (Device & Services) 页面。

2. 使用过滤器显示检测到新证书 (New Certificate Detected) 连接或配置状态的设备，然后选择所需的设备。

3. 在右侧窗格中，点击查看证书 (Review Certificate)。CDO 允许您下载证书以供审核并接受新证书。

4. 在设备同步窗口中，点击接受 (Accept)，或在重新连接到设备窗口中，点击继续 (Continue)。

   CDO 会自动将设备与新的自签名证书同步。您可能需要手动刷新设备和服务 (Devices & Services) 页面，才能在设备同步后查看设备。

证书错误代码

验证返回代码：0（正常），但 CDO 返回证书错误

CDO 获得证书后，它会尝试通过对“https://”进行 GET 调用来连接到设备的 URL。<device_ip> ：<port> "。如果这不起作用，CDO 将显示证书错误。如果您发现证书有效（openssl 返回 0 ok），则问题可能是其他服务正在侦听您尝试连接的端口。只能使用命令：

 curl -k -u <username>:<password> https://<device_id>:<device_port>/admin/exec/show%20version

确定您是否确实在与 ASA 通信，并检查 HTTPS 服务器是否在 ASA 上的正确端口上运行：

 # show asp table socket
Protocol         Socket         State         Local Address             Foreign Address 
SSL             00019b98         LISTEN        192.168.1.5:443             0.0.0.0:* 
SSL             00029e18         LISTEN        192.168.2.5:443             0.0.0.0:* 
TCP             00032208         LISTEN        192.168.1.5:22              0.0.0.0:* 

验证返回代码：9（证书尚未生效）

此错误意味着所提供证书的颁发日期是未来，因此客户端不会将其视为有效。这可能是由于证书构建不良导致的，或者在自签名证书的情况下，可能是由于设备生成证书时时间错误。

您应该会在错误中看到一行，包括证书的 notBefore 日期：

depth=0 CN = ASA Temporary Self Signed Certificate 
verify error:num=18:self signed certificate 
verify return:1 
depth=0 CN = ASA Temporary Self Signed Certificate 
verify error:num=9:certificate is not yet valid
notBefore=Oct 21 19:43:15 2016 GMT 
verify return:1 
depth=0 CN = ASA Temporary Self Signed Certificate 
notBefore=Oct 21 19:43:15 2016 GMT 

通过此错误，您可以确定证书何时生效。

补救

证书的 notBefore 日期需要是过去的日期。您可以使用更早的 notBefore 日期重新颁发证书。当客户端或颁发设备上的时间设置不正确时，也会出现此问题。

验证返回代码：10（证书已过期）

此错误意味着所提供的至少一个证书已过期。您应该会在错误中看到一行，包括证书的 notBefore 日期：

 error 10 at 0 depth lookup:certificate has expired 

到期日期位于证书正文中。

补救

如果证书确实已过期，则唯一的补救方法是获取另一个证书。如果证书仍将到期，但 openssl 声称它已过期，请检查计算机上的时间和日期。例如，如果某个证书设置为在 2020 年到期，但您的计算机上的日期是 2021 年，则您的计算机会将该证书视为已过期。

验证返回代码：21（无法验证第一个证书）

此错误表示证书链存在问题，并且 openssl 无法验证设备提供的证书是否应受信任。我们来看看上面示例中的证书链，了解证书链的工作原理：

--- 
Certificate chain 
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=*.google.com 
i:/C=US/O=Google Inc/CN=Google Internet Authority G2

-----BEGIN CERTIFICATE----- 
MIIH0DCCBrigAwIBAgIIUOMfH+8ftN8wDQYJKoZIhvcNAQELBQAwSTELMAkGA1UE 
....lots of base64... 
tzw9TylimhJpZcl4qihFVTgFM7rMU2VHulpJgA59gdbaO/Bf 
-----END CERTIFICATE----- 

1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2 
i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 

-----BEGIN CERTIFICATE----- 
MIID8DCCAtigAwIBAgIDAjqSMA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT 
....lots of base64... 
tzw9TylimhJpZcl4qihFVTgFM7rMU2VHulpJgA59gdbaO/Bf 
-----END CERTIFICATE----- 

2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 
i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority 

-----BEGIN CERTIFICATE----- 
MIIDfTCCAuagAwIBAgIDErvmMA0GCSqGSIb3DQEBBQUAME4xCzAJBgNVBAYTAlVT 
....lots of base64... 
b8ravHNjkOR/ez4iyz0H7V84dJzjA1BOoa+Y7mHyhD8S 
-----END CERTIFICATE----- --- 

证书链是服务器提供的证书列表，从服务器自己的证书开始，然后包括将服务器的证书与证书颁发机构的顶级证书链接的更高级别的中间证书。每个证书都会列出其使用者（以“s:”开头的行及其颁发者）（以“i”开头的行）。

使用者是证书所标识的实体。它包括组织名称，有时还包括为其颁发证书的实体的通用名称。

颁发者是颁发证书的实体。它还包括一个组织字段，有时还包括一个通用名称。

如果服务器具有由受信任证书颁发机构直接颁发的证书，则无需在其证书链中包含任何其他证书。它将显示一个如下所示的证书：

--- Certificate chain 0 s:/C=US/ST=California/L=Anytown/O=ExampleCo/CN=*.example.com i:/C=US/O=Trusted Authority/CN=Trusted Authority 
-----BEGIN CERTIFICATE----- 
MIIH0DCCBrigAwIBAgIIUOMfH+8ftN8wDQYJKoZIhvcNAQELBQAwSTELMAkGA1UE 
....lots of base64... 
tzw9TylimhJpZcl4qihFVTgFM7rMU2VHulpJgA59gdbaO/Bf 
-----END CERTIFICATE----- --- 

鉴于此证书，openssl 将验证 *.example.com 的 ExampleCo 证书是否由受信任的颁发机构证书正确签名，该证书存在于 openssl 的内置信任存储区中。验证后，openssl 将成功连接到设备。

但是，大多数服务器没有直接由受信任 CA 签名的证书。相反，与第一个示例一样，服务器的证书由一个或多个中间设备签名，而最高级别的中间设备具有由受信任 CA 签名的证书。默认情况下，OpenSSL 不信任这些中间 CA，并且只有在获得以受信任 CA 结尾的完整证书链时才能对其进行验证。

由中间机构签署证书的服务器必须提供将其链接到受信任 CA 的所有证书，包括所有中间证书。如果它们不提供整个链，则 openssl 的输出将如下所示：

depth=0 OU = Example Unit, CN = example.com 
verify error:num=20:unable to get local issuer certificate 
verify return:1 

depth=0 OU = Example Unit, CN = example.com 
verify error:num=27:certificate not trusted 
verify return:1 

depth=0 OU = Example Unit, CN = example.com 
verify error:num=21:unable to verify the first certificate 
verify return:1

CONNECTED(00000003)

--- 
Certificate chain 
0 s:/OU=Example Unit/CN=example.com 
i:/C=US/ST=Massachusetts/L=Cambridge/O=Intermediate Authority/OU=http://certificates.intermediateauth...N=Intermediate Certification Authority/sn=675637734 
-----BEGIN CERTIFICATE-----
...lots of b64...
-----END CERTIFICATE-----
--- 
Server certificate 
subject=/OU=Example Unit/CN=example.com 
issuer=/C=US/ST=Massachusetts/L=Cambridge/O=Intermediate Authority/OU=http://certificates.intermediateauth...N=Intermediate Certification Authority/sn=675637734 
--- 
No client certificate CA names sent 
--- 
SSL handshake has read 1509 bytes and written 573 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA 
Server public key is 2048 bit 
Secure Renegotiation IS NOT supported 
Compression: NONE 
Expansion: NONE 
SSL-Session: 
Protocol : TLSv1 
Cipher : AES256-SHA 
Session-ID: 24B45B2D5492A6C5D2D5AC470E42896F9D2DDDD54EF6E3363B7FDA28AB32414B 
Session-ID-ctx: 
Master-Key: 21BAF9D2E1525A5B935BF107DA3CAF691C1E499286CBEA987F64AE5F603AAF8E65999BD21B06B116FE9968FB7C62EF7C 
Key-Arg : None 
Krb5 Principal: None 
PSK identity: None 
PSK identity hint: None 
Start Time: 1476711760 
Timeout : 300 (sec) 
Verify return code: 21 (unable to verify the first certificate) 
--- 

此输出显示服务器仅提供一个证书，并且提供的证书是由中间机构而不是受信任的根签名的。输出还显示特征验证错误。

补救

此问题是由设备提供的证书配置错误引起的。解决此问题的唯一方法是将正确的证书链加载到设备上，以便 CDO 或任何其他程序可以安全地连接到设备，以便为连接的客户端提供完整的证书链。

要将中间 CA 添加到信任点，请访问以下链接之一（具体取决于您的情况 - 是否在 ASA 上生成了 CSR）：

• https://www.cisco.com/c/en/us/support/docs/security-vpn/public-key-infrastructure-pki/200339-Configure-ASA-SSL-Digital-Certificate-I.html#anc13

• https://www.cisco.com/c/en/us/support/docs/security-vpn/public-key-infrastructure-pki/200339-Configure-ASA-SSL-Digital-Certificate-I.html#anc15