我需要在我的 Cisco ASA 防火墙上购买并安装 SSL 证书。这将允许我的 VPN 用户连接到我的 ASA,而不会收到来自当前在 ASA 上的不受信任的自分配 SSL 证书的证书错误。
我对 GoDaddy 销售的 SSL 证书有很好的体验。但是,我担心使用它们。在我的网络服务器上,我还必须安装 GoDaddy 的“中间证书包”。在 ASA 上,我认为我无法完成这样的事情。我不完全理解“中间证书包”的作用,但显然它很重要。
所以我的问题是,我能否在 ASA 上使用 GoDaddy SSL 证书,而我的用户不会收到关于连接到使用不受信任的 SSL 证书的站点的任何类型的警告或错误。我需要这对我的最终用户来说尽可能简单,并且警告消息总是很可怕:)
谢谢!
我有一个 GoDaddy(标准,而非豪华)通配符证书,我在 ASA 5510 上使用它来访问 ASDM。ASDM 说“SSL 参数影响 ASDM 和 SSL VPN 访问”,所以如果它适用于我,它应该适用于你和 SSL VPN。
我在导入证书链的 .pem 版本时确实遇到了问题。使用 *.pfx(如 IIS 使用)工作正常。
我从https://certs.godaddy.com/Repository.go抓取了 gd_intermediate.crt
在 ASDM、配置、设备管理、证书管理、CA 证书;单击添加,不要更改任何默认值,从文件安装,找到 gd_intermediate.crt 文件。
我还尝试加载我们的一些证书使用的 gd_bundle.crt 并且失败了,但是由于 gd_intermediate.crt 有效并且这就是我的通配符使用的,所以我没有再测试了。
加载中间证书后,转到身份证书(CA 证书下方)并执行类似操作(添加、从文件导入、选择 .pfx 文件,然后输入 .pfx 的密码。
现在证书已成功安装,设置它将在哪些接口上使用。那是在设备管理、高级、SSL 设置下。点击接口(可能在外面),点击Edit,选择上一步添加的证书的Trustpoint名称。单击确定、应用,然后尝试转到您的https://vpn.url并查看它是否加载了正确的证书。
中间证书颁发机构将您的证书链接回受信任的根证书颁发机构。它是信任链中的一个重要环节。
维基百科有一篇关于中级证书颁发机构的简短文章。这里也有很好的描述。请注意,链式证书和中间证书通常指的是同一事物。
无论如何,我认为你应该能够在你的设备上使用这样的证书......我通过谷歌找到了以下说明。这是另一个中间证书颁发机构的页面,它介绍了在安装他们将颁发的 SSL 证书之前在 ASA 设备上安装他们的中间证书: 在 Cisco ASA 5500 SSL VPN/防火墙中安装您的证书。
在 Cisco ASA 5500 系列盒子上安装 Godaddy.com 通配符证书的分步指南。
从https://certs.godaddy.com/anonymous/repository.seam下载中间证书。
转到https://www.sslshopper.com/ssl-converter.html并通过输入 urdomain.cer & intermedical.cer & 私钥将您的 .cer 文件转换为 .pfx(Pkcs12 格式)(假设您已经下载了您的私钥和来自 gogaddy.com 的证书,即 *.urdomain.com)
创建 .pfx 文件后,在 ASDM、Configuration、Device Management、Certificate Management、CA Certificates 中;单击添加,不要更改任何默认值,从文件安装,找到 gd_intermediate.crt 文件。加载中间证书后,转到身份证书(CA 证书下方)并执行类似操作(添加、从文件导入、选择 .pfx 文件,然后输入 .pfx 的密码。
就是这样,并在外部接口上申请使用此证书。