关于证书
数字证书是一种用于身份验证的数字识别方式。数字证书包括用于识别设备或用户的信息,例如名称、序列号、公司、部门或 IP 地址。数字证书还包括用户或设备的公钥副本。证书用于 SSL(安全套接字层)、TLS(传输层安全)和 DTLS(数据报 TLS)连接,例如 HTTPS 和 LDAPS。
您可以创建以下类型的证书:
-
内部证书 - 内部身份证书是用于特定系统或主机的证书。您可以使用 OpenSSL 工具包自己生成这些证书,也可以从证书颁发机构获取这些证书。此外,您还可以生成自签名证书。当内部证书因任何原因到期或无效时,您可以通过以下 CLISH CLI 命令重新生成证书: > system support regenerate-security-keyring String Certificate to be regenerated, default or fdm
-
内部证书颁发机构 (CA) 证书 - 内部 CA 证书是系统可用于签署其他证书的证书。这些证书与内部身份证书的区别在于基本限制条件扩展和 CA 标记方面,CA 证书启用了这些功能,而身份证书中则禁用了这些功能。您可以使用 OpenSSL 工具包自己生成这些证书,也可以从证书颁发机构获取这些证书。此外,您还可以生成自签名的内部 CA 证书。如果配置自签名的内部 CA 证书,该 CA 将在设备自身上运行。
-
可信证书颁发机构 (CA) 证书 - 可信的 CA 证书可用于签署其他证书。它是自签名证书,也称为根证书。由另一个 CA 证书颁发的证书称为从属证书。
证书颁发机构 (CA) 是指“签署”证书以确认其真实性,从而确保设备或用户的身份的可信颁发机构。CA 在 PKI(使用公钥或私钥加密以确保安全性)的情景下颁发数字证书。CA 可以是可信的第三方(例如 VeriSign),也可以是组织内建立的私有(内部)CA。CA 负责管理证书请求和颁发数字证书。有关详细信息,请参阅公钥加密。
公钥加密
在 RSA 加密系统等公钥加密中,每位用户都有一个包含公钥和私钥的密钥对。这一对密钥相互补充,用其中一个密钥加密的任何内容都可用另一个密钥解密。
简言之,使用私钥加密数据时会形成一个签名。此签名附加在数据中并发送给接收者。接收者对数据应用发送者的公钥。如果随数据一起发送的签名与对数据应用公钥的结果一致,就会确立消息的有效性。
此过程的前提是接收者拥有发送者的公钥副本而且非常确定此密钥属于发送者,而不是伪装成发送者的其他人。
获取发送方公钥通常是在外部处理或通过安装时执行的操作处理。例如,默认情况下,大多数 Web 浏览器都使用若干 CA 的根证书进行配置。
您可以通过 openssl.org、维基百科或其他来源了解有关数字证书和公钥加密的更多信息。充分了解 SSL/TLS 加密有助于您为自己的设备建立安全连接。
功能使用的证书类型
您需要为每个功能创建正确类型的证书。以下功能需要证书。
- 身份策略(强制网络门户)- 内部证书
-
(可选。)强制网络门户用于身份策略中。在向设备进行身份验证时,为了标识自己的身份并获得与其用户名关联的 IP 地址,用户必须接受此证书。如果不提供证书,设备将使用自动生成的证书。
- 身份领域(身份策略和远程访问 VPN)- 受信任的 CA 证书
-
(可选。)如果对目录服务器进行加密连接,则必须接受证书才能在目录服务器上执行身份验证。当系统按身份和远程访问 VPN 策略提示用户进行身份验证时,用户必须进行身份验证。如果不对目录服务器使用加密,则不需要证书。
- 管理 Web 服务器(管理访问系统设置)- 内部证书
-
(可选) 设备管理器 是基于 Web 的应用,所以在 Web 服务器上运行。您可以上传您的浏览器视为有效的证书,以避免出现“不受信任的颁发机构”警告。
- 远程访问 VPN - 内部证书
-
(必需。)内部证书用于外部接口,在 AnyConnect 客户端 与设备进行连接时确定客户端的设备身份。客户端必须接受此证书。
- 站点间 VPN - 内部和受信任 CA 证书
-
如果对站点间 VPN 连接使用证书身份验证,您需要选择用于对连接中的本地对等体进行身份验证的内部身份证书。虽然这并不是 VPN 连接定义的一部分,但您还需要上传用于签署本地和远程对等体身份证书的受信任 CA 证书,以便系统可以对对等体进行身份验证。
- SSL 解密策略 - 内部、内部 CA 和受信任 CA 证书 以及证书组
-
(必需。)SSL 解密策略将证书用于以下目的:
-
内部证书用于已知的密钥解密规则。
-
在客户端和 威胁防御 设备之间创建会话时,内部 CA 证书用于解密重签名规则。
-
在 威胁防御 设备和服务器之间创建会话时,受信任 CA 证书直接用于解密重签名规则。受信任 CA 证书用于验证服务器证书的签名机构。您可以直接配置这些证书或在策略设置的证书组中进行配置。系统包括大量受信任 CA 证书(集中放置于 Cisco-Trusted-Authorities 组中),因此您可能无需上传任何其他证书。
-
示例:使用 OpenSSL 生成内部证书
以下示例使用 OpenSSL 命令生成内部服务器证书。您可以从 openssl.org 获取 OpenSSL。有关具体信息,请查阅 OpenSSL 文档。此示例中使用的命令可能会更改,您还可以使用其他您可能想要使用的可用选项。
此程序旨在让您了解如何获取要上传到 威胁防御 的证书。
注 |
这里显示的 OpenSSL 命令仅作为示例。调整参数以满足您的安全要求。 |
过程
步骤 1 |
生成密钥。
|
步骤 2 |
生成证书签名请求 (CSR)。
|
步骤 3 |
使用密钥和 CSR 生成自签证书。
由于 设备管理器 不支持加密的密钥,请尝试在生成自签证书时按回车键跳过质询密码。 |
步骤 4 |
在 设备管理器中创建内部证书对象时,将文件上传到相应的字段。 您还可以复制/粘贴文件内容。示例命令创建以下文件:
|