Strona 1 z 1

ASA - Import Certyfikatu

: 27 kwie 2009, 10:13
autor: max239
Witam!,

mam problem może ktoś wie co może być nie tak....
miałem na ASIE zainstalowany certyfikat ssl dla dostępu WebVPN....
no ale jak to bywa certyfikat wygasł.....
wygenerowałem nowy

na certum
otrzymałem plik . pem z certyfikatem....
no i wszystko fajnie
z tyn że nie da sie go zaimportować do ASY...

robiłem kilka myków z tego linka

http://www.cisco.com/en/US/products/ps6 ... 3cff.shtml



jak zrobie

Kod: Zaznacz cały

pvpn(config)# crypto ca import CertumCA certificate
wkleje kod

to uzyskuje błąd

Kod: Zaznacz cały

Cannot import certificate -
   Certificate does not contain device's General Purpose public key
   for trust point CertumCA
ERROR: Failed to parse or verify imported certificate
myśle że cały problem wynika z tego że CRS (czy tam csr) robiłem nie z ASY tylko z webpanelu certum

oczywiście zaktualizowałem certyfikayty CA ...

zainstalowalem wszystkie i do wszystkich probowałem dodac cert ale nie udało się ma ktoś może jakiś pomysł?

Re: ASA - Import Certyfikatu

: 27 kwie 2009, 10:32
autor: gryglas
1.Na ASA powinieneś wygenerować certificate request , żądanie wydania certyfikatu w którym znajduje się twój klucz publiczny. Para kluczy prywatny i publiczny została wygenerowana wcześniej i jest na ASA
2. To co otrzymałeś wklejasz na stronkę certum lub wysyłasz mailem.
3. W zamian otrzymujesz certyfikat który importujesz do ASA.

Żeby import się udał musi zgodzić się suma kontrolna certyfikatu i twojego klucza prywatnego. Najpierw aktualizujesz CA , później klucze

Teraz powiedz jak ty to zrobiłeś.


p.s.
Sprawdź jeszcze czy masz Root CA z Certum , żeby ASA wiedziała , że jest to zaufane CA

: 27 kwie 2009, 10:39
autor: max239
no właśnie ja wlazłem na strone certum
z linka w którym miałem msg o wygaśnieciu certu i tam były dwie opcje czy tam trzy między innymi wyślij ten CSR albo wygereuj CSR samemu przez strone www a nie chciało mi sie logować do asy więc wygenerowałem csr samemu przez ten kreator na stronie www.....

no i otrzymałem odrazu cert ...

: 27 kwie 2009, 10:42
autor: gryglas
max239 pisze:no właśnie ja wlazłem na strone certum
z linka w którym miałem msg o wygaśnieciu certu i tam były dwie opcje czy tam trzy między innymi wyślij ten CSR albo wygereuj CSR samemu przez strone www a nie chciało mi sie logować do asy więc wygenerowałem csr samemu przez ten kreator na stronie www.....

no i otrzymałem odrazu cert ...
To wygeneruj go z ASA leniuszku ;)

: 27 kwie 2009, 10:42
autor: max239
no ale jak go wygeneruje z asy teraz
to znowu zapłace za cert ;P

ps.

to dlaczego robiliby taki kreator csr jeśli taki cert jest bezużyteczny
?

pozatym pamiętam że do apache tak robiłem i działało :P

: 27 kwie 2009, 10:54
autor: gryglas
max239 pisze:no ale jak go wygeneruje z asy teraz
to znowu zapłace za cert ;P

ps.

to dlaczego robiliby taki kreator csr jeśli taki cert jest bezużyteczny
?

pozatym pamiętam że do apache tak robiłem i działało :P
A przypadkiem nie wygenerowałeś nowych kluczy na ASA ?

Certificate does not contain general purpose public key

This error can occur when you attempt to install your identity certificate to the wrong Trustpoint. You attempt to install an invalid identity certificate, or the key pair associated with the Trustpoint does not match the public key contained in the identity certificate. Use the show crypto ca certificates trustpointname command in order to verify you installed your identity certificate to the correct trustpoint. Look for the line stating Associated Trustpoints: If the wrong trustpoint is listed, use the procedures described in this document in order to remove and reinstall the appropriate trustpoint. Also, verify the key pair has not changed since the CSR was generated.

: 27 kwie 2009, 10:56
autor: max239
praktycznie w całym procesie uzyskiwania certyfikatu nie brała udziału ASA :)

zwyczajnie ściągnełem plik PEM który musze teraz zainstalować próbowałem generować w sumie kombinowałem wiele spraw ale nic nie działało :) i przez asdm i przez cli

: 27 kwie 2009, 11:00
autor: gryglas
max239 pisze:praktycznie w całym procesie uzyskiwania certyfikatu nie brała udziału ASA :)

zwyczajnie ściągnełem plik PEM który musze teraz zainstalować próbowałem generować w sumie kombinowałem wiele spraw ale nic nie działało :) i przez asdm i przez cli
Jeżeli masz nie zgodne klucze to nie ma szansy na poprawne zaimportowanie certyfikat

zerknij jeszcze na :

Kod: Zaznacz cały

show crypto ca certificates trustpointname

: 27 kwie 2009, 11:01
autor: max239
hmm to jak to mogę ugryźć ?

to troche dziwna sprawa bo do apache moge poprostu wrzucić pliki i jest wszystko ok :) więc o co chodzi asie ;)

ps. absolutnie nie mam pojęcia jak to działa ;)

: 27 kwie 2009, 11:06
autor: gryglas
max239 pisze:hmm to jak to mogę ugryźć ?

to troche dziwna sprawa bo do apache moge poprostu wrzucić pliki i jest wszystko ok :) więc o co chodzi asie ;)

ps. absolutnie nie mam pojęcia jak to działa ;)
zrób krok po kroku procedurę z dokumentacji którą podesłałeś. Musi zadziałać.

: 04 maja 2009, 10:18
autor: Wolf
Nie wiem jak na ASA ale ja przy migracji na CSM z openSSL zaimportowałem sobie spokojnie klucze i potem cert i śmiga. Więc i na ASA pewnie się da.

edit:
przeszukałem dostępne opcje i nie znalazłem nic odnośnie importu kluczy więc chyba będzie problem.

: 04 maja 2009, 12:15
autor: kktm
Wolf pisze: przeszukałem dostępne opcje i nie znalazłem nic odnośnie importu kluczy więc chyba będzie problem.
hehe backup kluczy prywatnych to sie robi na poczatku. Generujesz je z opcja exportable, robisz ich kopie, nastepnie kasujesz, a nastepnie instalujesz normalnie.

Teraz to raczej po ptakach :(, no ale żaden problem wygenerować nowy klucz samemu od początku, skoro ci i tak nie działa.

Re: ASA - Import Certyfikatu

: 16 wrz 2016, 19:17
autor: marcins
wiem ze stary watek, ale znalazlem go bo mialem podobna sytuacje

pomogl mi : http://www.labminutes.com/blog/public/2 ... ration-asa

krotko:
sciagasz 'sciezke cerrtyfikacji'
np dla nazwa.pl/certum

Kod: Zaznacz cały

rw-r--r--@ 1 mstrzyze  staff   784 May 29  2014 ca.cer
-rw-r--r--@ 1 mstrzyze  staff  1213 May 29  2014 gsca.cer
-rw-r--r--@ 1 mstrzyze  staff  5312 May 29  2014 nazwassl.cer
i po kolei ( kluczprywatny - pobrac go musiales przy generacji CSR'a, cert.crt - cos co dostales podpisane :) )

Kod: Zaznacz cały

cat nazwassl.cer ca.cer > chain.cer
openssl pkcs12 -export -out out.pfx -inkey kluczprywatny.txt -in cert.crt -certfile chain.cer 
Enter Export Password:
Verifying - Enter Export Password:
openssl base64 -in out.pfx -out vcert_pkcs12.pem
dodajesz na pocz/koncu

Kod: Zaznacz cały

-----BEGIN PKCS12-----
...
-----END PKCS12-----
i ASA:

Kod: Zaznacz cały

asa(config)# crypto ca trustpoint CA

asa(config-ca-trustpoint)# exit
asa(config)#  cry ca import CA pkcs12 cisco

Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
-----BEGIN PKCS12-----

quit
uff !