ASA - Import Certyfikatu

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
max239
wannabe
wannabe
Posty: 270
Rejestracja: 04 paź 2007, 09:22

ASA - Import Certyfikatu

#1

#1 Post autor: max239 »

Witam!,

mam problem może ktoś wie co może być nie tak....
miałem na ASIE zainstalowany certyfikat ssl dla dostępu WebVPN....
no ale jak to bywa certyfikat wygasł.....
wygenerowałem nowy

na certum
otrzymałem plik . pem z certyfikatem....
no i wszystko fajnie
z tyn że nie da sie go zaimportować do ASY...

robiłem kilka myków z tego linka

http://www.cisco.com/en/US/products/ps6 ... 3cff.shtml



jak zrobie

Kod: Zaznacz cały

pvpn(config)# crypto ca import CertumCA certificate
wkleje kod

to uzyskuje błąd

Kod: Zaznacz cały

Cannot import certificate -
   Certificate does not contain device's General Purpose public key
   for trust point CertumCA
ERROR: Failed to parse or verify imported certificate
myśle że cały problem wynika z tego że CRS (czy tam csr) robiłem nie z ASY tylko z webpanelu certum

oczywiście zaktualizowałem certyfikayty CA ...

zainstalowalem wszystkie i do wszystkich probowałem dodac cert ale nie udało się ma ktoś może jakiś pomysł?

Awatar użytkownika
gryglas
wannabe
wannabe
Posty: 1790
Rejestracja: 09 maja 2006, 07:56
Lokalizacja: Warsaw, PL

Re: ASA - Import Certyfikatu

#2

#2 Post autor: gryglas »

1.Na ASA powinieneś wygenerować certificate request , żądanie wydania certyfikatu w którym znajduje się twój klucz publiczny. Para kluczy prywatny i publiczny została wygenerowana wcześniej i jest na ASA
2. To co otrzymałeś wklejasz na stronkę certum lub wysyłasz mailem.
3. W zamian otrzymujesz certyfikat który importujesz do ASA.

Żeby import się udał musi zgodzić się suma kontrolna certyfikatu i twojego klucza prywatnego. Najpierw aktualizujesz CA , później klucze

Teraz powiedz jak ty to zrobiłeś.


p.s.
Sprawdź jeszcze czy masz Root CA z Certum , żeby ASA wiedziała , że jest to zaufane CA
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.

max239
wannabe
wannabe
Posty: 270
Rejestracja: 04 paź 2007, 09:22

#3

#3 Post autor: max239 »

no właśnie ja wlazłem na strone certum
z linka w którym miałem msg o wygaśnieciu certu i tam były dwie opcje czy tam trzy między innymi wyślij ten CSR albo wygereuj CSR samemu przez strone www a nie chciało mi sie logować do asy więc wygenerowałem csr samemu przez ten kreator na stronie www.....

no i otrzymałem odrazu cert ...

Awatar użytkownika
gryglas
wannabe
wannabe
Posty: 1790
Rejestracja: 09 maja 2006, 07:56
Lokalizacja: Warsaw, PL

#4

#4 Post autor: gryglas »

max239 pisze:no właśnie ja wlazłem na strone certum
z linka w którym miałem msg o wygaśnieciu certu i tam były dwie opcje czy tam trzy między innymi wyślij ten CSR albo wygereuj CSR samemu przez strone www a nie chciało mi sie logować do asy więc wygenerowałem csr samemu przez ten kreator na stronie www.....

no i otrzymałem odrazu cert ...
To wygeneruj go z ASA leniuszku ;)
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.

max239
wannabe
wannabe
Posty: 270
Rejestracja: 04 paź 2007, 09:22

#5

#5 Post autor: max239 »

no ale jak go wygeneruje z asy teraz
to znowu zapłace za cert ;P

ps.

to dlaczego robiliby taki kreator csr jeśli taki cert jest bezużyteczny
?

pozatym pamiętam że do apache tak robiłem i działało :P

Awatar użytkownika
gryglas
wannabe
wannabe
Posty: 1790
Rejestracja: 09 maja 2006, 07:56
Lokalizacja: Warsaw, PL

#6

#6 Post autor: gryglas »

max239 pisze:no ale jak go wygeneruje z asy teraz
to znowu zapłace za cert ;P

ps.

to dlaczego robiliby taki kreator csr jeśli taki cert jest bezużyteczny
?

pozatym pamiętam że do apache tak robiłem i działało :P
A przypadkiem nie wygenerowałeś nowych kluczy na ASA ?

Certificate does not contain general purpose public key

This error can occur when you attempt to install your identity certificate to the wrong Trustpoint. You attempt to install an invalid identity certificate, or the key pair associated with the Trustpoint does not match the public key contained in the identity certificate. Use the show crypto ca certificates trustpointname command in order to verify you installed your identity certificate to the correct trustpoint. Look for the line stating Associated Trustpoints: If the wrong trustpoint is listed, use the procedures described in this document in order to remove and reinstall the appropriate trustpoint. Also, verify the key pair has not changed since the CSR was generated.
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.

max239
wannabe
wannabe
Posty: 270
Rejestracja: 04 paź 2007, 09:22

#7

#7 Post autor: max239 »

praktycznie w całym procesie uzyskiwania certyfikatu nie brała udziału ASA :)

zwyczajnie ściągnełem plik PEM który musze teraz zainstalować próbowałem generować w sumie kombinowałem wiele spraw ale nic nie działało :) i przez asdm i przez cli

Awatar użytkownika
gryglas
wannabe
wannabe
Posty: 1790
Rejestracja: 09 maja 2006, 07:56
Lokalizacja: Warsaw, PL

#8

#8 Post autor: gryglas »

max239 pisze:praktycznie w całym procesie uzyskiwania certyfikatu nie brała udziału ASA :)

zwyczajnie ściągnełem plik PEM który musze teraz zainstalować próbowałem generować w sumie kombinowałem wiele spraw ale nic nie działało :) i przez asdm i przez cli
Jeżeli masz nie zgodne klucze to nie ma szansy na poprawne zaimportowanie certyfikat

zerknij jeszcze na :

Kod: Zaznacz cały

show crypto ca certificates trustpointname
Ostatnio zmieniony 27 kwie 2009, 11:03 przez gryglas, łącznie zmieniany 1 raz.
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.

max239
wannabe
wannabe
Posty: 270
Rejestracja: 04 paź 2007, 09:22

#9

#9 Post autor: max239 »

hmm to jak to mogę ugryźć ?

to troche dziwna sprawa bo do apache moge poprostu wrzucić pliki i jest wszystko ok :) więc o co chodzi asie ;)

ps. absolutnie nie mam pojęcia jak to działa ;)

Awatar użytkownika
gryglas
wannabe
wannabe
Posty: 1790
Rejestracja: 09 maja 2006, 07:56
Lokalizacja: Warsaw, PL

#10

#10 Post autor: gryglas »

max239 pisze:hmm to jak to mogę ugryźć ?

to troche dziwna sprawa bo do apache moge poprostu wrzucić pliki i jest wszystko ok :) więc o co chodzi asie ;)

ps. absolutnie nie mam pojęcia jak to działa ;)
zrób krok po kroku procedurę z dokumentacji którą podesłałeś. Musi zadziałać.
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.

Wolf
wannabe
wannabe
Posty: 297
Rejestracja: 20 cze 2005, 09:44
Lokalizacja: Warszawa

#11

#11 Post autor: Wolf »

Nie wiem jak na ASA ale ja przy migracji na CSM z openSSL zaimportowałem sobie spokojnie klucze i potem cert i śmiga. Więc i na ASA pewnie się da.

edit:
przeszukałem dostępne opcje i nie znalazłem nic odnośnie importu kluczy więc chyba będzie problem.

Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#12

#12 Post autor: kktm »

Wolf pisze: przeszukałem dostępne opcje i nie znalazłem nic odnośnie importu kluczy więc chyba będzie problem.
hehe backup kluczy prywatnych to sie robi na poczatku. Generujesz je z opcja exportable, robisz ich kopie, nastepnie kasujesz, a nastepnie instalujesz normalnie.

Teraz to raczej po ptakach :(, no ale żaden problem wygenerować nowy klucz samemu od początku, skoro ci i tak nie działa.
"Trust no one"

Awatar użytkownika
marcins
Site Admin
Site Admin
Posty: 3183
Rejestracja: 22 mar 2004, 09:05
Kontakt:

Re: ASA - Import Certyfikatu

#13

#13 Post autor: marcins »

wiem ze stary watek, ale znalazlem go bo mialem podobna sytuacje

pomogl mi : http://www.labminutes.com/blog/public/2 ... ration-asa

krotko:
sciagasz 'sciezke cerrtyfikacji'
np dla nazwa.pl/certum

Kod: Zaznacz cały

rw-r--r--@ 1 mstrzyze  staff   784 May 29  2014 ca.cer
-rw-r--r--@ 1 mstrzyze  staff  1213 May 29  2014 gsca.cer
-rw-r--r--@ 1 mstrzyze  staff  5312 May 29  2014 nazwassl.cer
i po kolei ( kluczprywatny - pobrac go musiales przy generacji CSR'a, cert.crt - cos co dostales podpisane :) )

Kod: Zaznacz cały

cat nazwassl.cer ca.cer > chain.cer
openssl pkcs12 -export -out out.pfx -inkey kluczprywatny.txt -in cert.crt -certfile chain.cer 
Enter Export Password:
Verifying - Enter Export Password:
openssl base64 -in out.pfx -out vcert_pkcs12.pem
dodajesz na pocz/koncu

Kod: Zaznacz cały

-----BEGIN PKCS12-----
...
-----END PKCS12-----
i ASA:

Kod: Zaznacz cały

asa(config)# crypto ca trustpoint CA

asa(config-ca-trustpoint)# exit
asa(config)#  cry ca import CA pkcs12 cisco

Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
-----BEGIN PKCS12-----

quit
uff !

ODPOWIEDZ