Áp dụng Chứng chỉ SSL trên Bộ định tuyến Cisco

Phần mềm máy khách Cisco AnyConnect VPN, bị hạn chế khi kết nối với Máy chủ VPN có chứng chỉ SSL không hợp lệ, hết hạn hoặc bị thu hồi.

1. Ví dụ là gia hạn / cập nhật giấy phép cho vpn.marktugbo.com

Cách dễ nhất là tạo một Trustpoint mới trên bộ định tuyến và điều chỉnh cài đặt VPN cho Trustpoint đó. Điều này là để tránh nhầm lẫn chứng chỉ.

Create a new trustpoint:

MRK-AKL-RTR-01 (config) #crypto pki trustpoint godaddy.trustpoint-2017

MRK-AKL-RTR-01 (ca-trustpoint) #enrollment terminal
MRK-AKL-RTR-01 (ca-trustpoint) # serial-number none
MRK-AKL-RTR-01 (ca-trustpoint) # fqdn vpn.marktugbo.com
MRK-AKL-RTR-01 (ca-trustpoint) # ip-address none
MRK-AKL-RTR-01 (ca-trustpoint) # $ subject-name CN = vpn.marktugbo.com, O = MyCompany, OU = MyMSP, L = Auckland, ST = Auckland, C = NZ
MRK-AKL-RTR-01 (ca-trustpoint) # revocation-check none
MRK- AKL-RTR-01 (ca-trustpoint) # rsakeypairGDKey
MRK-AKL-RTR-01 (ca-trustpoint) #exit

MRK-AKL-RTR-01 (config) #cry pki en
MRK-AKL-RTR-01 (config) #cry pki register godaddy.trustpoint-2017
% Start certificate enrollment ..

% The subject name in the certificate will include: CN = vpn.marktugbo.com, O = MyCompany, OU = MyMSP, L = Auckland, ST = Auckland, C = NZ
% The subject name in the certificate will include: vpn.marktugbo .com
Display Certificate Request to terminal? [yes / no]: yes
Certificate Request follows::

MIIDFzCCAf8CAQAwgbAxCzAJBgNVBAYTAk5aMREwDwYDVQQIEwhBdWNrbGFuZDER

 

nhớ thêm dấu dấu cách bên dưới để hệ thống chấp nhận

—–BEGIN CERTIFICATE REQUEST—–
YouR-CSR-code-goes-HerE
—–END CERTIFICATE REQUEST—–

Sau đó, bên hệ thống tên miền sẽ xử lý xác thực bằng cách gửi email đến chủ sở hữu của các địa chỉ. Sau khi được xác thực, bên dịch vụ tên miền sẽ tạo ra một chứng chỉ mới mà bạn có thể tải xuống.

=============

2. Tải xuống Chứng chỉ.

 

Bạn sẽ cần phải Nhập chứng chỉ xác thực trước (gói) và sau đó là chứng chỉ thực (một chứng chỉ có số sê-ri)

MRK-AKL-RTR-01(config)#crypto pki authenticate godaddy.trustpoint-2017

Nhập chứng chỉ CA được mã hóa 64 cơ sở.
Kết thúc bằng một dòng trống hoặc từ “thoát” trên một dòng

Enter the base 64 encoded CA certificate.
End with a blank line or the word “quit” on a line by itself.

—–BEGIN CERTIFICATE—–
MIIE0DCCA7igAwIBAgIBBzANBgkqhkiG9w0BAQsFADCBgzELMAkGA1UEBhMCVVMx
..
—–END CERTIFICATE—–

Trustpoint ‘godaddy.trustpoint-2017’  là một CA cấp dưới và có
Chứng chỉ chứng chỉ không tự khai báo có các thuộc tính sau:
Fingerprint MD5: XXX
Fingerprint SHA1: XXX

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

MRK-AKL-RTR-01(config)#crypto pki import godaddy.trustpoint-2017 certificate

Enter the base 64 encoded certificate.
End with a blank line or the word “quit” on a line by itself

—–BEGIN CERTIFICATE—–
MIIFVDCCBDygAwIBAgIJAOoeGFxcMaioMA0GCSqGSIb3DQEBCwUAMIG0MQswCQYD
….
—–END CERTIFICATE—–

% Router Certificate successfully imported

and then reconfigure the SSL-VPN to point to the new trustpoint bearing the updated certificate.

MRK-AKL-RTR-01(config)#webvpn gateway Cisco-WebVPN-Gateway
MRK-AKL-RTR-01(config-webvpn-gateway)#ssl trustpoint godaddy.trustpoint-2017
MRK-AKL-RTR-01(config-webvpn-gateway)#end

Leave a Reply