Strona 1 z 1
ASA - Import Certyfikatu
: 27 kwie 2009, 10:13
autor: max239
Witam!,
mam problem może ktoś wie co może być nie tak....
miałem na ASIE zainstalowany certyfikat ssl dla dostępu WebVPN....
no ale jak to bywa certyfikat wygasł.....
wygenerowałem nowy
na certum
otrzymałem plik . pem z certyfikatem....
no i wszystko fajnie
z tyn że nie da sie go zaimportować do ASY...
robiłem kilka myków z tego linka
http://www.cisco.com/en/US/products/ps6 ... 3cff.shtml
jak zrobie
Kod: Zaznacz cały
pvpn(config)# crypto ca import CertumCA certificate
wkleje kod
to uzyskuje błąd
Kod: Zaznacz cały
Cannot import certificate -
Certificate does not contain device's General Purpose public key
for trust point CertumCA
ERROR: Failed to parse or verify imported certificate
myśle że cały problem wynika z tego że CRS (czy tam csr) robiłem nie z ASY tylko z webpanelu certum
oczywiście zaktualizowałem certyfikayty CA ...
zainstalowalem wszystkie i do wszystkich probowałem dodac cert ale nie udało się ma ktoś może jakiś pomysł?
Re: ASA - Import Certyfikatu
: 27 kwie 2009, 10:32
autor: gryglas
1.Na ASA powinieneś wygenerować certificate request , żądanie wydania certyfikatu w którym znajduje się twój klucz publiczny. Para kluczy prywatny i publiczny została wygenerowana wcześniej i jest na ASA
2. To co otrzymałeś wklejasz na stronkę certum lub wysyłasz mailem.
3. W zamian otrzymujesz certyfikat który importujesz do ASA.
Żeby import się udał musi zgodzić się suma kontrolna certyfikatu i twojego klucza prywatnego. Najpierw aktualizujesz CA , później klucze
Teraz powiedz jak ty to zrobiłeś.
p.s.
Sprawdź jeszcze czy masz Root CA z Certum , żeby ASA wiedziała , że jest to zaufane CA
: 27 kwie 2009, 10:39
autor: max239
no właśnie ja wlazłem na strone certum
z linka w którym miałem msg o wygaśnieciu certu i tam były dwie opcje czy tam trzy między innymi wyślij ten CSR albo wygereuj CSR samemu przez strone www a nie chciało mi sie logować do asy więc wygenerowałem csr samemu przez ten kreator na stronie www.....
no i otrzymałem odrazu cert ...
: 27 kwie 2009, 10:42
autor: gryglas
max239 pisze:no właśnie ja wlazłem na strone certum
z linka w którym miałem msg o wygaśnieciu certu i tam były dwie opcje czy tam trzy między innymi wyślij ten CSR albo wygereuj CSR samemu przez strone www a nie chciało mi sie logować do asy więc wygenerowałem csr samemu przez ten kreator na stronie www.....
no i otrzymałem odrazu cert ...
To wygeneruj go z ASA leniuszku
: 27 kwie 2009, 10:42
autor: max239
no ale jak go wygeneruje z asy teraz
to znowu zapłace za cert ;P
ps.
to dlaczego robiliby taki kreator csr jeśli taki cert jest bezużyteczny
?
pozatym pamiętam że do apache tak robiłem i działało
: 27 kwie 2009, 10:54
autor: gryglas
max239 pisze:no ale jak go wygeneruje z asy teraz
to znowu zapłace za cert ;P
ps.
to dlaczego robiliby taki kreator csr jeśli taki cert jest bezużyteczny
?
pozatym pamiętam że do apache tak robiłem i działało
A przypadkiem nie wygenerowałeś nowych kluczy na ASA ?
Certificate does not contain general purpose public key
This error can occur when you attempt to install your identity certificate to the wrong Trustpoint. You attempt to install an invalid identity certificate, or the key pair associated with the Trustpoint does not match the public key contained in the identity certificate. Use the show crypto ca certificates trustpointname command in order to verify you installed your identity certificate to the correct trustpoint. Look for the line stating Associated Trustpoints: If the wrong trustpoint is listed, use the procedures described in this document in order to remove and reinstall the appropriate trustpoint. Also, verify the key pair has not changed since the CSR was generated.
: 27 kwie 2009, 10:56
autor: max239
praktycznie w całym procesie uzyskiwania certyfikatu nie brała udziału ASA
zwyczajnie ściągnełem plik PEM który musze teraz zainstalować próbowałem generować w sumie kombinowałem wiele spraw ale nic nie działało
i przez asdm i przez cli
: 27 kwie 2009, 11:00
autor: gryglas
max239 pisze:praktycznie w całym procesie uzyskiwania certyfikatu nie brała udziału ASA
zwyczajnie ściągnełem plik PEM który musze teraz zainstalować próbowałem generować w sumie kombinowałem wiele spraw ale nic nie działało
i przez asdm i przez cli
Jeżeli masz nie zgodne klucze to nie ma szansy na poprawne zaimportowanie certyfikat
zerknij jeszcze na :
: 27 kwie 2009, 11:01
autor: max239
hmm to jak to mogę ugryźć ?
to troche dziwna sprawa bo do apache moge poprostu wrzucić pliki i jest wszystko ok
więc o co chodzi asie
ps. absolutnie nie mam pojęcia jak to działa
: 27 kwie 2009, 11:06
autor: gryglas
max239 pisze:hmm to jak to mogę ugryźć ?
to troche dziwna sprawa bo do apache moge poprostu wrzucić pliki i jest wszystko ok
więc o co chodzi asie
ps. absolutnie nie mam pojęcia jak to działa
zrób krok po kroku procedurę z dokumentacji którą podesłałeś. Musi zadziałać.
: 04 maja 2009, 10:18
autor: Wolf
Nie wiem jak na ASA ale ja przy migracji na CSM z openSSL zaimportowałem sobie spokojnie klucze i potem cert i śmiga. Więc i na ASA pewnie się da.
edit:
przeszukałem dostępne opcje i nie znalazłem nic odnośnie importu kluczy więc chyba będzie problem.
: 04 maja 2009, 12:15
autor: kktm
Wolf pisze:
przeszukałem dostępne opcje i nie znalazłem nic odnośnie importu kluczy więc chyba będzie problem.
hehe backup kluczy prywatnych to sie robi na poczatku. Generujesz je z opcja exportable, robisz ich kopie, nastepnie kasujesz, a nastepnie instalujesz normalnie.
Teraz to raczej po ptakach
, no ale żaden problem wygenerować nowy klucz samemu od początku, skoro ci i tak nie działa.
Re: ASA - Import Certyfikatu
: 16 wrz 2016, 19:17
autor: marcins
wiem ze stary watek, ale znalazlem go bo mialem podobna sytuacje
pomogl mi :
http://www.labminutes.com/blog/public/2 ... ration-asa
krotko:
sciagasz 'sciezke cerrtyfikacji'
np dla nazwa.pl/certum
Kod: Zaznacz cały
rw-r--r--@ 1 mstrzyze staff 784 May 29 2014 ca.cer
-rw-r--r--@ 1 mstrzyze staff 1213 May 29 2014 gsca.cer
-rw-r--r--@ 1 mstrzyze staff 5312 May 29 2014 nazwassl.cer
i po kolei ( kluczprywatny - pobrac go musiales przy generacji CSR'a, cert.crt - cos co dostales podpisane
)
Kod: Zaznacz cały
cat nazwassl.cer ca.cer > chain.cer
openssl pkcs12 -export -out out.pfx -inkey kluczprywatny.txt -in cert.crt -certfile chain.cer
Enter Export Password:
Verifying - Enter Export Password:
openssl base64 -in out.pfx -out vcert_pkcs12.pem
dodajesz na pocz/koncu
Kod: Zaznacz cały
-----BEGIN PKCS12-----
...
-----END PKCS12-----
i ASA:
Kod: Zaznacz cały
asa(config)# crypto ca trustpoint CA
asa(config-ca-trustpoint)# exit
asa(config)# cry ca import CA pkcs12 cisco
Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
-----BEGIN PKCS12-----
quit
uff !