Cisco ASA SSL-administration
Installation och konfiguration av SSL-certifikat i Cisco ASA-brandvägg via ASDM.
Introduktion
När du beställer ett SSL-certifikat krävs en Certificate Signing Request (CSR), som genereras från en privat nyckel.
Om du själv vill skapa den privata nyckeln och generera CSR-filen, följ Generering av CSR och därefter Installation av certifikat från CSR
Om CSR-filen har skapats utanför Cisco ASA behöver du ha certifikatet och den privata nyckeln i en .PFX-fil (PKCS12). Följ då Installation av certifikat från .PFX-fil
Generering av CSR
- Öppna Cisco-kontrollpanelen (ASDM).
- Klicka på Configuration.
I vänstermenyn, klicka på Remote Access VPN.
Expandera Certificate Management.
Klicka på Identity Certificates.
Klicka på Add i mitten av fönstret.
- Ange ett Trustpoint Name som gör det enkelt att identifiera certifikatet, t.ex. domännamn och årtal.
Markera Add a new identity certificate.
Klicka på New vid Key Pair till höger.
- Välj vilken typ av nyckel du vill använda. RSA är standard och det som rekommenderas idag.
Ge nyckeln ett namn så att du känner igen den, t.ex. domännamnet följt av .key
Ange storlek på nyckeln, minst 2048 för RSA och 256 för ECDSA.
Välj General purpose.
Klicka på Generate Now.
- Ange följande information:
- Common Name (CN): Den primära domänen (FQDN). Exempel: vpn.fairssl.dk
- Organization Name (O): Företagets fullständiga namn. Exempel: FairSSL A/S
- Location (L): Ort/Stad. Exempel: Stockholm
- State (St): Region eller län. Exempel: Stockholm
- Country (C): ISO-kod för land med två bokstäver, måste vara versaler. Exempel: SE
Välj typ i Attribute.
Ange informationen i Value.
Klicka på Add.
Klicka på OK när all information är inmatad.
- Markera kryssrutan Enable CA flag in basic constraints extension.
Klicka på Advanced på höger sida.
- Ange domännamnet i FQDN.
Klicka på OK.
- Klicka på Add Certificate.
Välj var du vill spara CSR-filen.
Klicka på OK.
- Öppna CSR-filen i en textredigerare (t.ex. Notepad), kopiera hela texten inklusive alla bindestreck i början och slutet.
Klistra in texten i CSR-fältet när du gör din certifikatbeställning.
Här är ett exempel på hur en komplett CSR-text ser ut:
En CSR innehåller ingen känslig information och det innebär ingen säkerhetsrisk att till exempel skicka den via vanlig e-post.
Installation av certifikat från CSR
Vid installation av certifikatet är det viktigt att installera intermediate-certifikatet (mellanliggande certifikat) först.
Installation av intermediate-certifikat
- Öppna Cisco-kontrollpanelen.
- Klicka på Configuration.
I vänstermenyn, klicka på Remote Access VPN.
Expandera Certificate Management.
Klicka på CA Certificates.
- Ange det Trustpoint Name du skapade när du genererade CSR-filen.
Välj antingen intermediate-certifikatfilen eller kopiera texten direkt från e-postmeddelandet du fått och klistra in den i fältet.
Klicka på Install Certificate.
Installation av servercertifikat
- Klicka på Configuration.
I vänstermenyn, klicka på Remote Access VPN.
Expandera Certificate Management.
Klicka på Identity Certificates.
Välj det certifikat som har det Associated Trustpoint-namn du skapade vid genereringen av CSR-filen.
Välj din certifikatfil.
Klicka på Install Certificate.
- Klicka på Configuration.
I vänstermenyn, klicka på Remote Access VPN.
Expandera Advanced.
Klicka på SSL Settings.
Under Certificates, välj det interface som certifikatet ska användas på.
Klicka på Edit.
Välj det certifikat du nyss installerat.
Klicka på OK.
Klicka på Apply.
Vi rekommenderar att du testar installationen med vår SSL-scanner på: https://www.fairssl.se/sv/verktyg/ssl-scanner
Installation av certifikat från .PFX-fil
- Öppna Cisco-kontrollpanelen.
- Klicka på Configuration.
I vänstermenyn, klicka på Remote Access VPN.
Expandera Certificate Management.
Klicka på Identity Certificates.
Klicka på Add i mitten av fönstret.
- Ange ett Trustpoint Name som gör det enkelt att identifiera certifikatet, t.ex. domännamn och årtal.
Markera Import the identity certificate from a file.
I Decryption Passphrase, ange lösenordet till .PFX-filen.
Välj .PFX-filen.
Klicka på Add Certificate.
- Klicka på Configuration.
I vänstermenyn, klicka på Remote Access VPN.
Expandera Advanced.
Klicka på SSL Settings.
Under Certificates, välj det interface som certifikatet ska användas på.
Klicka på Edit.
Välj det certifikat du nyss installerat.
Klicka på OK.
Klicka på Apply.
Vi rekommenderar att du testar installationen med vår SSL-scanner på: https://www.fairssl.se/sv/verktyg/ssl-scanner
Intermediate-certifikat
Här hittar du intermediate-certifikat från de olika utfärdarna.
Vi rekommenderar att du använder det intermediate-certifikat som skickades med din beställning, då det alltid är det korrekta för just ditt servercertifikat. Ladda bara ner härifrån om du har förlorat det bifogade certifikatet.
Förbättra din TLS-säkerhet
Använd Mozilla SSL Configuration Generator för att generera en säker TLS-konfiguration med moderna cipher suites och protokollinställningar.
Mozilla SSL Configuration Generator guide