CISCO ASA (VPN), PROBLEM PO PODMIANIE CERTYFIKATU

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
mariusz389
fresh
fresh
Posty: 3
Rejestracja: 21 lut 2020, 22:48

CISCO ASA (VPN), PROBLEM PO PODMIANIE CERTYFIKATU

#1

#1 Post autor: mariusz389 »

Cześć,

Mam pewien problem.. Po podmianie Certyfikatu na CISCO ASA wyskakuje mi błąd:

No Group found by matching OU(s) from ID payload: ou=TP

Kiedy wracam do starego Certa błąd znika. Dodam iż certy są identyczne. CN, OU sa takie same (różnią się tylko datą wygaśnięcia z powodu iż jest to podmiana niedługo już wygasającego na nowy).

Kolejną dziwną rzecz jaką udało mi się zauważyć w Trustpoincie związanym z nowym certyfikatem jest wpis "not authenticated". Poniżej wynik komendy weryfikacyjnej:

#show crypto ca trustpoints
#Trustpoint TrustPoint-2020:
Not authenticated.

oraz

#sh running-config crypto ca trustpoint
#no ca-check

Wszytko to występuje przy nowym Trustpoincie. przy starym nie widać nic niepokojącego.

Prośba o pomoc w wyjaśnieniu sprawy.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: CISCO ASA (VPN), PROBLEM PO PODMIANIE CERTYFIKATU

#2

#2 Post autor: drake »

Hej,
A speawdziles dokumentacje dla twojego softu? Certyfikat trzeba wgrac, zainstalowac i uwierzytelnic certyfikatem root ca (i ewentualnie intermediate jesli konieczne), a potem uzywac dany Trustpoint jako nowy w aktualnym konfigu tunelu S2S.
Pozdruffka!
Never stop exploring :)

https://iverion.de

mariusz389
fresh
fresh
Posty: 3
Rejestracja: 21 lut 2020, 22:48

Re: CISCO ASA (VPN), PROBLEM PO PODMIANIE CERTYFIKATU

#3

#3 Post autor: mariusz389 »

Cześć,

Większość kroków które opisałeś wykonałem czyli:
- Cert podpisany przez zewnętrzne CA
- Cert zainstalowany na ASA
- Trustpoint ustawiony w konfigu dla danego tunelu S2S


Zastawia mnie natomiast: "zainstalować i uwierzytelnić certyfikatem root ca i ewentualnie intermediate", bo być może jest to rzecz którą ominąłem. Czy jest to jakaś dodatkowa operacja którą wykonuje się już po zainstalowaniu podpisanego Certa i wymagająca dodatkowej konfiguracji ?

Z góry dzięki i pozdrawiam

ODPOWIEDZ