簡介

本文檔介紹如何在由ASDM管理的Cisco ASA軟體上請求、安裝、信任和續訂特定型別的證書。

必要條件

需求

• 在開始驗證自適應安全裝置(ASA)具有正確的時鐘時間、日期和時區以及證書身份驗證之前，建議使用網路時間協定(NTP)伺服器來同步ASA上的時間。檢查相關資訊以供參考。
• 若要請求使用憑證簽署請求(CSR)的憑證，必須擁有對受信任內部或第三方憑證授權單位(CA)的存取許可權。 第三方CA供應商的示例包括（但不限於）Entrust、Geotrust、GoDaddy、Thawte和VeriSign。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• ASAv 9.18.1
• 建立PKCS12時使用OpenSSL。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

此文檔處理的證書型別為：

• 自簽名證書
• 由第三方證書頒發機構或內部CA簽名的證書

用於EAP身份驗證協定的安全套接字層(SSL)、傳輸層安全(TLS)和IKEv2 rfc7296要求SSL/TLS/IKEv2伺服器為客戶端提供伺服器證書，以便客戶端執行伺服器身份驗證。建議使用受信任的第三方 CA，以便向 ASA 核發 SSL 憑證做為此用途。

思科建議不要使用自我簽署憑證，因為使用者可能會不當設定瀏覽器信任惡意伺服器的憑證。 如此亦可能造成使用者不便，必須在連線至安全閘道時回應安全性警告。

受信任的CA安全注意事項

證書身份驗證風險和建議

預設信任點驗證 — 使用行為

安裝受信任的CA證書時，可以使用證書身份驗證來驗證不同型別的VPN連線。它由trustpoint命令validation-usage控制(Configuration > Device Management > Certificate Management > CA Certificates > Add -> More Options... > Advanced >選擇所需的驗證用法)。

validation-usage型別為：

• ipsec-client:驗證IPsec客戶端連線。
• ssl-client:驗證SSL客戶端連線。
• ssl-server:驗證SSL伺服器證書。

預設情況下，該命令允許驗證ipsec-client和ssl-client。

預設配置風險

• 預設情況下，可以作為受信任身份安裝的任何CA證書可用於使用證書身份驗證對任何隧道組的傳入客戶端身份證書進行身份驗證。
• 如果您不知道該預設設定，則它可能會帶來安全風險。

建議的操作

禁用非預期信任點的驗證使用。如果CA證書不是用於對VPN對等體或使用者進行身份驗證，請禁用該信任點的驗證使用。

配置示例：

Navigate to: Configuration > Device Management > Certificate Management > CA Certificates. 
a) Select a wanted trustpoint and click Edit. 
b) Navigate to Advanced and uncheck all Validation Usage options. 

trustpoint public-root-ca
 no validation-usage

授權風險和建議

預設情況下，受信任的CA證書可用於對連線到任何隧道組的VPN對等體或使用者進行身份驗證。需要設計適當的授權。

建議的操作

使用證書對映和隧道組對映以確保僅授權證書用於特定隧道組。設定預設隧道組對映規則，該規則指向無訪問隧道組，以限制未經授權的訪問。

組態範例

僅以下各項允許證書身份驗證：

• 具有cn=example.com頒發的證書並且在證書主題中具有OU=machines的電腦。
• 使用cn=example.com頒發的證書並在證書主題中具有OU=users的使用者。

預設情況下，具有其他證書的使用者將分配給no_access tunnel-group，這要感謝命tunnel-group-map default-group no_access令。由於使用命令，證書對映規則優先於group-tunnel-group-map enable rulesurl。瞭解group-url無助於繞過證書對映規則。

! Configure group-policy preventing VPN access:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add > General > More Options 
a) Uncheck Inherit next to Simultaneous Logins and set the value 0.
b) Uncheck Inherit next to Banner and set a wanted massage, for example NO ACCESS GROUP POLICY.

group-policy no_access_gp internal 
group-policy no_access_gp attributes 
 banner value NO ACCESS GROUP POLICY
 vpn-simultaneous-logins 0 


! Configure tunnel-groups for users and tunnel-group preventing VPN access:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles. Click Add and configure:
a) Authentication method as Certificate.
a) Client Address Pools.
b) DNS Servers.
c) Group Policy - for the no_access tunnel group use no_access_gp where simultaneous logins is set to 0.
d) Group URLs - only for the mgmt-tunnel and users_access tunnel groups. Navigate to: Advanced > Group Alias/Group URL, click Add in the Group URLs section and configure a group URL.  

tunnel-group mgmt-tunnel type remote-access
tunnel-group mgmt-tunnel general-attributes
 address-pool vpn_pool
 default-group-policy mgmt-tunnel
tunnel-group mgmt-tunnel webvpn-attributes
 authentication certificate
 group-url https://ftd.example.com/mgmt enable
!
tunnel-group users_access type remote-access
tunnel-group users_access general-attributes
 default-group-policy user_access_gp
 address-pool vpn_pool
tunnel-group users_access webvpn-attributes
 authentication certificate
 group-url https://ftd.example.com/users enable
!
tunnel-group no_access type remote-access
tunnel-group no_access general-attributes
 default-group-policy no_access_gp
 address-pool vpn_pool
tunnel-group no_access webvpn-attributes
 authentication certificate


! Create certificate maps for users and use the certificate maps for tunnel-group mapping:

Navigate to: Configuration > Remote Access VPN > Advanced > Certificate to AnyConnect and Clientless SSL VPN Connection Profile Maps. 
a) Click Add to configure Certificate to Connection Profile Maps.
b) Select New and configure a certificate group map name, for example mgmt_tunnel_map or users_access_map.
c) Select a corresponding connection profile/tunnel group from the drop-down menu at Mapped to Connection Profile.
d) Click Add to configure Mapping Criteria.
e) Select: Field: Subject, Component: Organizational Unit (OU), Operator: Equals, Value: machines or users.
d) Select: Field: Issuer, Component: Common Name (CN), Operator: Equals, Value: example.com.

crypto ca certificate map mgmt_tunnel_map 10 
 issuer-name attr cn eq example.com 
 subject-name attr ou eq machines 
crypto ca certificate map users_access_map 10 
 issuer-name attr cn eq example.com 
 subject-name attr ou eq users 
!
webvpn 
 (...) 
 certificate-group-map mgmt_tunnel_map 10 mgmt-tunnel 
 certificate-group-map users_access_map 10 users_access


! Enable tunnel-group maps and set the default tunnel-group preventing access if a user certificate did not match any other certificate map:

Navigate to: Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > Certificate to Connection Profile Maps > Policy.
a) Check Use the configure rules to match a certificate to a Connection Profile.
b) Check Defult to Connection Profile and select from the drop-down menu the no-access connection profile/tunnel group.

tunnel-group-map enable rules
tunnel-group-map default-group no_access

其他資源

如需更多詳細設定說明，請參閱Cisco檔案：

• 驗證使用配置- Cisco Secure Firewall ASA系列命令參考，T - Z命令
• 證書對映配置- Cisco Secure Firewall ASA系列命令參考，T - Z命令
• 隧道組對映配置 — Cisco Secure Firewall ASA系列命令參考，T - Z命令
• Tunnel-Group-Map Enable Configuration -Cisco Secure Firewall ASA系列命令參考，T - Z命令

使用ASDM請求並安裝新的身份證書

可以通過兩種方式從證書頒發機構(CA)請求證書並在ASA上安裝：

1. 使用憑證簽署請求(CSR)。 生成金鑰對，使用CSR從CA請求身份證書，安裝從CA獲取的簽名身份證書。
2. 使用從CA獲取或從其他裝置匯出的PKCS12檔案。PKCS12檔案包含金鑰對、身份證書、CA證書。

請求並安裝具有證書簽名請求(CSR)的新身份證書

在需要身份證書的裝置上建立CSR，使用在裝置上建立的金鑰對。

CSR包含：

• 證書請求資訊 — 請求的主題和其他屬性，金鑰對中的公鑰。
• 簽名演算法資訊
• 證書請求資訊的數位簽章，使用金鑰對中的私鑰簽名。

CSR會以PKCS#10形式傳遞至憑證授權單位(CA)，以便其簽署它。

簽名的證書以PEM形式從CA返回。

附註：  CA在簽署CSR並建立已簽名的身份證書時，可以更改信任點中定義的FQDN和使用者名稱引數。

使用ASDM產生CSR

1. 建立具有特定名稱的信任點

   1. 導航到Configuration > Device Management > Certificate Management > Identity Certificates。

      

   2. 按一下「新增」。
   3. 定義信任點名稱。

      

   4. 按一下Add a New Identity Certificate單選按鈕。

2. （可選）建立新金鑰對

   附註：預設情況下，使用名為Default-RSA-Key且大小為2048的RSA金鑰。但是，建議對每個身份證書使用唯一的私鑰/公鑰對。

   1. 按一下New以生成新的金鑰對。

      

   2. 選擇Enter new Key Pair name選項，然後為新的金鑰對輸入name。
   3. 選擇金鑰型別 - RSA或ECDSA。
   4. 選擇Key Size;對於RSA，請選擇General purpose for Usage。
   5. 按一下「Generate Now」。金鑰對現已建立。

      

3. 選擇金鑰對名稱

   • 選擇金鑰對以簽署CSR並將與新證書繫結。

     

4. 配置證書主題和完全限定域名(FQDN)

   注意：FQDN引數必須與身份證書使用的ASA介面的FQDN或IP地址匹配。此引數為身份證書設定請求的主題備用名稱(SAN)擴展。SSL/TLS/IKEv2客戶端使用SAN擴展來驗證證書是否與其連線的FQDN匹配。

   1. 按一下「Select」。

      

   2. 在「Certificate Subject DN」視窗中，配置證書屬性 — 從下拉選單中選擇attribute，輸入值，然後按一下Add。

      

      

      屬性	說明
      CN	用於訪問防火牆的名稱(通常為完全限定域名，例如vpn.example.com)。
      OU	組織內您所在部門的名稱。
      O	您的組織/公司的合法註冊名稱。
      思	國家/地區代碼（2個不帶標點的字母代碼）。
      ST	組織所在的狀態。
      L	組織所在的城市。
      EA	電子郵件地址

      附註：前面的所有欄位值均不能超過64個字元的限制。值越長，可能會導致身份證書安裝問題。此外，不必定義所有DN屬性。

      新增完所有屬性後，按一下OK。
   3. 配置裝置FQDN — 按一下Advanced。

      

   4. 在FQDN欄位中，輸入從Internet訪問裝置的完全限定域名。按一下「OK」（確定）。

      

5. 產生並儲存CSR

   1. 按一下「新增憑證」。

      

   2. 提示隨即顯示，可將 CSR 儲存至本機電腦的檔案中。

      

      按一下Browse，選擇儲存CSR的位置，然後使用.txt副檔名儲存檔案。

      附註：如果檔案以 .txt 副檔名儲存，則可使用文字編輯器（例如 Notepad）開啟和檢視 PKCS#10 要求。

   3. 現在，新信任點顯示為「掛起」狀態。

      

使用ASDM安裝PEM格式的身份證書

安裝步驟假設CA對CSR進行簽名，並提供PEM編碼的(.pem，.cer， .crt)身份證書和CA證書捆綁包。

1. 安裝簽署CSR的CA證書

   1. 導覽至Configuration > Device Management > Certificate Management>，然後選擇CA Certificates。按一下「新增」。

      

   2. 輸入Trustpoint name並選擇Install From File，按一下Browse按鈕，然後選擇intermediatecertificate。或者，將PEM編碼的CA證書從文本檔案貼上到文本欄位。

      

      附註：安裝簽署CSR的CA證書。使用與身份證書相同的信任點名稱。PKI層次結構中較高的其他CA證書可以安裝在單獨的信任點中。

   3. 按一下「Install Certificate」。 

      

2. 安裝身份證書

   1. 選擇之前在CSR生成期間建立的身份證書。按一下「Install」。

      

      附註：身份證書的Issued By欄位可以為Not available，Expiry Date欄位可以為Pending。 

   2. 選擇包含從CA接收的PEM編碼身份證書的檔案，或在文本編輯器中開啟PEM編碼證書，然後將CA提供的身份證書複製並貼上到文本欄位中。

      

      附註：身份證書可以採用.pem、.cer、.crt格式進行安裝。

   3. 按一下「Install Certificate」。

      

3. 將新證書繫結到與ASDM的介面

   需要將ASA配置為使用新的身份證書，以便在指定介面上終止的WebVPN會話使用。

   1. 導覽至「組態 >「遠端存取 VPN」>「進階」>「SSL 設定」。

   2. 在「憑證」下方，選擇用於終止 WebVPN 作業階段的介面。在此範例中，所使用的是外部介面。

      按一下「Edit」。

   3. 在「憑證」下拉式清單中，選擇新安裝的憑證。

      

   4. 按一下「OK」（確定）。

   5. 按一下「Apply」。

      

      現在，新的身份證書正在使用。

使用ASDM安裝以PKCS12格式接收的身份證書

PKCS12檔案（.p12或.pfx格式）包含身份證書、金鑰對和CA證書。 它由CA建立（對於萬用字元證書），或從其他裝置匯出。它是二進位制檔案，不能使用文本編輯器檢視。

1. 從PKCS12檔案安裝身份證書和CA證書

   身份證書、CA證書和金鑰對需要捆綁到單個PKCS12檔案中。 
   1. 導覽至Configuration > Device Management > Certificate Management，然後選擇Identity Certificates。
   2. 按一下「新增」。
   3. 指定信任點名稱。

      

   4. 按一下「從檔案匯入身分識別憑證」單選按鈕。

      

   5. 輸入用於建立 PKCS12 檔案的複雜密碼。

      

   6. 按一下「新增憑證」。

      

      附註：當您匯入帶CA證書鏈的PKCS12時，ASDM會自動使用新增了 — number字尾的名稱建立上游CA信任點。
      

2. 將新證書繫結到與ASDM的介面

   需要將ASA配置為使用新的身份證書，以便在指定介面上終止的WebVPN會話使用。

   1. 導覽至「組態 >「遠端存取 VPN」>「進階」>「SSL 設定」。

   2. 在「憑證」下方，選取用於終止 WebVPN 作業階段的介面。在此範例中，所使用的是外部介面。

      按一下「Edit」。

   3. 在「憑證」下拉式清單中，選擇新安裝的憑證。

      

   4. 按一下「OK」（確定）。

   5. 按一下「Apply」。

      

      現在，新的身份證書正在使用。

證書續訂

續訂使用ASDM的證書簽名請求(CSR)註冊的證書

CSR註冊證書的證書續訂要求您建立和註冊新的信任點。它需要具有不同的名稱（例如，具有登記年度字尾的舊名稱）。 它可以使用與舊證書相同的引數和金鑰對，也可以使用不同的引數和金鑰對。

使用ASDM產生CSR

1. 建立具有特定名稱的新信任點

   1. 導航到Configuration > Device Management > Certificate Management > Identity Certificates。

      

   2. 按一下「新增」。
   3. 定義信任點名稱。

      

   4. 按一下新增新身份證書單選按鈕。

2. （可選）建立新金鑰對 

   附註：預設情況下，使用名為Default-RSA-Key且大小為2048的RSA金鑰；但是，建議對每個身份證書使用唯一的私鑰/公鑰對。

   1. 按一下New以生成新的金鑰對。

      

   2. 選擇Enter new Key Pair name選項，然後為新的金鑰對輸入name。
   3. 選擇金鑰型別 - RSA或ECDSA。
   4. 選擇Key Size;對於RSA，請選擇General purpose for Usage。
   5. 按一下「Generate Now」。金鑰對現已建立。

      

3. 選擇金鑰對名稱

   • 選擇Key Pair以使用CSR簽署CSR，並要與新憑證繫結。

     

4. 配置證書主題和完全限定域名(FQDN)

   注意：FQDN引數必須與證書使用的ASA介面的FQDN或IP地址匹配。此引數設定證書的使用者替代名稱(SAN)。SSL/TLS/IKEv2客戶端使用SAN欄位來驗證證書是否與其所連線的FQDN匹配。

   附註：  CA在簽署CSR並建立已簽名的身份證書時，可以更改信任點中定義的FQDN和使用者名稱引數。

   1. 按一下「Select」。

      

   2. 在「Certificate Subject DN」視窗中，配置certificate attributes — 從下拉選單中選擇attribute，輸入值，然後按一下Add。

      

      屬性	說明
      CN	用於訪問防火牆的名稱(通常為完全限定域名，例如vpn.example.com)。
      OU	組織內您所在部門的名稱。
      O	您的組織/公司的合法註冊名稱。
      思	國家/地區代碼（2個不帶標點的字母代碼）
      ST	組織所在的狀態。
      L	組織所在的城市。
      EA	電子郵件地址

      附註：前面的所有欄位都不能超過64個字元的限制。值越長，可能會導致身份證書安裝問題。此外，不必定義所有DN屬性。

      新增完所有屬性後，按一下OK。
   3. 要配置裝置FQDN，請按一下Advanced。

      

   4. 在FQDN欄位中，輸入從Internet訪問裝置的完全限定域名。按一下「OK」（確定）。

      

5. 產生並儲存CSR

   1. 按一下「新增憑證」。

      

   2. 提示隨即顯示，可將 CSR 儲存至本機電腦的檔案中。

      

      按一下Browse。選擇儲存CSR的位置，然後使用.txt副檔名儲存檔案。

      附註：如果檔案以 .txt 副檔名儲存，則可使用文字編輯器（例如 Notepad）開啟和檢視 PKCS#10 要求。

   3. 現在，新信任點顯示為「掛起」狀態。

      

使用ASDM安裝PEM格式的身份證書

安裝步驟假設CA對CSR進行簽名，並提供PEM編碼(.pem、.cer、.crt)的新身份證書和CA證書捆綁包。

1. 安裝簽署CSR的CA證書

   簽名身份證書的CA證書可以安裝在為身份證書建立的信任點中。如果身份證書是由中間CA簽名的，則此CA證書可以安裝在身份證書信任點中。層次結構中上游的所有CA證書，可以安裝在單獨的CA信任點中。
   1. 導覽至Configuration > Device Management > Certificate Management>，然後選擇CA Certificates。按一下「新增」。

      

   2. 輸入Trustpoint name並選擇Install From File，按一下Browse按鈕，然後選擇intermediatecertificate。或者，也可以將PEM編碼的CA證書從文本檔案貼上到文本欄位中。

      

      附註：如果身份證書是由中間CA證書簽名的，請安裝與身份證書信任點名稱相同的信任點名稱的中間證書。

   3. 按一下「Install Certificate」。 

      

      在本例中，新證書使用與舊證書相同的CA證書簽名。同一個CA證書現在與兩個信任點關聯。
      

2. 安裝身份證書

   1. 選擇之前使用CSR生成建立的Identity Certificate。按一下「Install」。

      

      附註：身份證書的Issued By欄位可以是Not available，而Expiry Date欄位可以是Pending。 

   2. 選擇包含從CA接收的PEM編碼身份證書的檔案，或在文本編輯器中開啟PEM編碼證書，然後將CA提供的身份證書複製並貼上到text欄位中。

      

      附註：身份證書可以採用.pem、.cer、.crt格式進行安裝。

   3. 按一下「Install Certificate」。

      

      安裝後，存在舊身份證書和新身份證書。
      

3. 將新證書繫結到與ASDM的介面

   需要將ASA配置為使用新的身份證書，以便在指定介面上終止的WebVPN會話使用。

   1. 導覽至「組態 >「遠端存取 VPN」>「進階」>「SSL 設定」。

   2. 在「憑證」下方，選擇用於終止 WebVPN 作業階段的介面。在此範例中，所使用的是外部介面。

      按一下「Edit」。

   3. 在「憑證」下拉式清單中，選擇新安裝的憑證。

      

   4. 按一下「OK」（確定）。

   5. 按一下「Apply」。現在，新的身份證書正在使用。

      

使用ASDM續訂用PKCS12檔案註冊的證書

PKCS12已註冊證書的證書續訂要求您建立和註冊新的Trustpoint。它需要具有不同的名稱（例如，具有登記年度字尾的舊名稱）。

PKCS12檔案（.p12或.pfx格式）包含身份證書、金鑰對和CA證書。 例如，遇到萬用字元證書，它由CA建立，或者從其他裝置匯出。它是二進位制檔案，不能使用文本編輯器檢視。

1. 從PKCS12檔案安裝更新的身份證書和CA證書

   身份證書、CA證書和金鑰對需要捆綁到單個PKCS12檔案中。
   1. 導覽至Configuration > Device Management > Certificate Management，然後選擇Identity Certificates。
   2. 按一下「新增」。
   3. 指定新的信任點名稱。

      

   4. 按一下「從檔案匯入身分識別憑證」單選按鈕。

      

   5. 輸入用於建立 PKCS12 檔案的複雜密碼。

      

   6. 按一下「新增憑證」。

      

      附註：匯入帶有CAs證書鏈的PKCS12時，ASDM會自動建立具有新增了 — number字尾的名稱的上游CAs信任點。
      

2. 將新證書繫結到與ASDM的介面

   需要將ASA配置為使用新的身份證書，以便在指定介面上終止的WebVPN會話使用。

   1. 導覽至「組態 >「遠端存取 VPN」>「進階」>「SSL 設定」。

   2. 在「憑證」下方，選擇用於終止 WebVPN 作業階段的介面。在此範例中，所使用的是外部介面。

      按一下「Edit」。

   3. 在「憑證」下拉式清單中，選擇新安裝的憑證。

      

   4. 按一下「OK」（確定）。

   5. 按一下「Apply」。

      

      現在，新的身份證書正在使用。

驗證

使用以下步驟驗證第三方廠商憑證的成功安裝以及用於SSL VPN連線。

透過 ASDM 檢視安裝的憑證

1. 導覽至「組態」>「遠端存取 VPN」>「 Certificate Management」，然後選擇「身分識別憑證」。
2. 可能會顯示第三方供應商頒發的身份證書。

疑難排解

如果SSL證書安裝失敗，則會在CLI上收集此debug命令。

• debug crypto ca 14

常見問題

問：什麼是PKCS12?
A.在加密中，PKCS12定義了一個存檔檔案格式，建立該格式是為了將許多加密對象儲存為一個檔案。它通常用於將私鑰與其X.509證書捆綁在一起，或者用於捆綁信任鏈中的所有成員。

問：什麼是CSR?
A.在公鑰基礎設施(PKI)系統中，證書簽名請求（也稱為CSR或證書請求）是從申請人傳送到公鑰基礎結構的註冊機構以申請數位身份證書的消息。它通常包含可為其頒發證書的公鑰、用於標識已簽名證書的資訊（如主題中的域名）以及完整性保護（如數位簽章）。

問：PKCS12的密碼在哪裡？
A.將證書和金鑰對匯出到PKCS12檔案時，在export命令中給出口令。  對於匯入pkcs12檔案，密碼需要由所有者從另一裝置匯出PKCS12的CA伺服器或人員提供。

根本和標識有什麼區別？
A.在密碼學和電腦保安領域，根證書是標識根證書頒發機構(CA)的公鑰證書。 根證書是自簽名的（如果證書是由交叉簽名的根頒發的，則證書可以具有多個信任路徑），並構成基於X.509的公鑰基礎架構(PKI)的基礎。公鑰證書也稱為數位證書或身份證書，是一種用於證明公鑰所有權的電子文檔。證書包括有關金鑰的資訊、有關其所有者（稱為主題）的標識的資訊以及驗證證書內容的實體（稱為頒發者）的數位簽章。 如果簽名有效，並且檢查證書的軟體信任頒發者，那麼它就可以使用該金鑰與證書的使用者安全地通訊。

我安裝了認證，為什麼它不工作？
A.這可能出於多種原因，例如：

1.已配置證書和信任點，但尚未繫結到使用該證書和信任點的進程。  例如，要使用的信任點不會繫結到終止Anyconnect客戶端的外部介面。

2.已安裝PKCS12檔案，但由於PKCS12檔案中缺少中間CA證書而出現錯誤。如果客戶端的中間CA證書為受信任，但根的CA證書不是受信任，則無法驗證整個證書鏈並報告伺服器身份證書為不受信任。

3.使用不正確的屬性填充的證書可能會導致安裝失敗或客戶端錯誤。例如，某些屬性使用錯誤的格式進行編碼。另一個原因是標識證書缺少主體備用名稱(SAN)，或者用於訪問伺服器的域名沒有作為SAN存在。

問：安裝新證書是否需要維護視窗或導致停機時間？
A.安裝新證書（身份或CA）不會帶來干擾，不會導致停機或需要維護視窗。要啟用新證書用於已存在的服務，需要更改請求/維護視窗。

問：可以新增或更改證書以斷開已連線使用者的連線？
答：不，當前連線的使用者保持連線。該證書在建立連線時使用。使用者重新連線後，會使用新憑證。

問：如何使用萬用字元建立CSR?還是主題備用名稱(SAN)?
A.目前，ASA/FTD無法使用萬用字元建立CSR;但是此程式可以使用OpenSSL來完成。若要產生CSR和ID金鑰，您可以執行以下命令：
     openssl genrsa -out id.key 2048

     openssl req -out id.csr -key id.key -new
使用完全限定域名(FQDN)屬性配置信任點時，由ASA/FTD建立的CSR包含具有該值的SAN。CA在簽署CSR時可以新增更多SAN屬性，或可以使用OpenSSL建立CSR

問題：   證書更換是否立即生效？

A.新伺服器身份證書僅用於新連線。新證書可在更改後立即使用，但實際上用於新連線。

問題：   如何檢查安裝是否成功？
A.用於驗證的CLI命令：show crypto ca cert <trustpointname>

問：如何從身份證書、CA證書和私鑰中生成PKCS12?
A.  可以使用OpenSSL使用以下命令來建立PKCS12:
     openssl pkcs12 -export -out p12.pfx -inkey id.key -in id.crt -certfile ca.crt

問題：   如何匯出證書以將其安裝到新ASA中？
A.

• 使用CLI:使用命令:crypto ca export <trustpointname> pkcs12 <password>

• 使用ASDM:

  1. 導航到Configuration > Device Management > Certificate Management > Identity Certificates，然後選擇Identity Certificate。按一下「Export」。

     

  2. 選擇匯出檔案的位置，指定匯出密碼，然後按一下Export Certificate。

     

     匯出的證書可以在電腦磁碟上。請把密碼放在一個安全的地方，沒有密碼檔案就毫無用處了。

問：如果使用ECDSA金鑰，則SSL證書生成過程是否不同？
A.配置的唯一區別是金鑰對生成步驟，在該步驟中可生成ECDSA金鑰對，而不是RSA金鑰對。其他步驟皆維持不變。

問：是否總是需要生成新的金鑰對？
答：金鑰對生成步驟是可選的。可以使用現有的金鑰對，或者，在PKCS12的情況下，金鑰對隨證書匯入。請參閱選擇金鑰對名稱部分，瞭解相應的註冊/重新註冊型別。

問：為新的身份證書生成新的金鑰對是否安全？
A.只要使用新的金鑰對名稱，該過程就是安全的。在這種情況下，舊金鑰對不會更改。

問：在更換防火牆（如RMA）時，是否需要再次生成金鑰？
A.新防火牆的設計沒有在舊防火牆上提供金鑰對。
運行配置的備份不包含金鑰對。使用ASDM完成的完全備份可以包含金鑰對。
可以在身份證書失敗之前通過ASDM或CLI從ASA匯出。在故障轉移對的情況下，使用write standby命令將證書和金鑰對同步到備用裝置。如果替換了故障轉移對中的一個節點，則配置基本故障轉移並將配置推送到新裝置就足夠了。
如果裝置丟失了金鑰對，並且沒有備份，則需要使用新裝置上存在的金鑰對來簽署新證書。