web-dev-qa-db-ja.com

CiscoASAファイアウォールでGoDaddySSL証明書を使用する際に問題はありますか?

CiscoASAファイアウォールにSSL証明書を購入してインストールする必要があります。これにより、VPNユーザーは、現在ASAにある信頼できない自己割り当てSSL証明書から証明書エラーを受信することなくASAに接続できます。

GoDaddyが販売しているSSL証明書で良い経験をしました。しかし、私はそれらを使用することを心配しています。 Webサーバーには、GoDaddyの「中間証明書バンドル」もインストールする必要があります。 ASAでは、このようなことを実行できるとは思いません。 「中間証明書バンドル」が何をするのか完全には理解していませんが、明らかにそれは重要です。

したがって、私の質問は、信頼できないSSL証明書を使用しているサイトへの接続について、ユーザーが警告やエラーを受け取ることなく、ASAでGoDaddySSL証明書を使用できるかどうかです。エンドユーザーにとってこれをできるだけシンプルにする必要があり、警告メッセージは常に怖いです:)

ありがとう!

1
Richard West

ASDMアクセス用にASA5510で使用するGoDaddy(デラックスではなく標準)ワイルドカード証明書を持っています。 ASDMは、「SSLパラメータはASDMとSSL VPNアクセスの両方に影響を与える」と言っているので、それが私にとってうまくいくのであれば、あなたとSSLVPNにとってもそうあるべきです。

証明書チェーンの.pemバージョンのインポートで問題が発生しました。 * .pfxの使用(IIS使用など)は正常に機能しました。

https://certs.godaddy.com/Repository.go からGd_intermediate.crtを取得しました

ASDMでは、構成、デバイス管理、証明書管理、CA証明書。 [追加]をクリックし、デフォルトを変更せず、ファイルからインストールし、Gd_intermediate.crtファイルを見つけます。

また、一部の証明書で使用されているGd_bundle.crtをロードしようとしましたが、失敗しましたが、Gd_intermediate.crtが機能し、ワイルドカードで使用されているため、これ以上テストしませんでした。

中間証明書がロードされたら、ID証明書(CA証明書のすぐ下)に移動し、同様の操作を行います(追加、ファイルからのインポート、.pfxファイルの選択、および.pfxのパスワードの入力)。

証明書が正常にインストールされたので、証明書を使用するインターフェイスを設定します。これは、[デバイス管理]、[詳細]、[SSL設定]の下にあります。インターフェイス(おそらく外部)をクリックし、[編集]をクリックして、最後の手順で追加した証明書のトラストポイント名を選択します。 [OK]、[適用]の順にクリックし、 https://vpn.url に移動して、正しい証明書が読み込まれるかどうかを確認します。

4
David

中間認証局は、証明書を信頼されたルート証明機関にリンクします。それは信頼の連鎖における重要なリンクです。

ウィキペディアには、 中間認証局 に関する簡単な記事があります。良い説明もあります ここ 。チェーン証明書と中間証明書は通常、同じものを参照することに注意してください。

とにかく、あなたはあなたのデバイスでそのような証明書を使うことができるはずだと思います...私はグーグルを通して以下の指示を見つけました。これは、発行するSSL証明書をインストールする前にASAデバイスに中間証明書をインストールする手順を説明する別の中間認証局のページです。 Cisco ASA 5500 SSL VPN /ファイアウォールに証明書をインストールします

1
Chris W. Rea

Cisco ASA5500シリーズボックスにGodaddy.comワイルドカード証明書をインストールするためのステップバイステップガイド。

  1. https://certs.godaddy.com/anonymous/repository.seam から中間証明書をダウンロードします。

  2. Goto https://www.sslshopper.com/ssl-converter.html urdomain.cerとintermedicate.cerと秘密鍵を入力して.cerファイルを.pfx(Pkcs12形式)に変換します(検討してください) gogaddy.comから秘密鍵と証明書(* .urdomain.com)をダウンロードしました

  3. .pfxファイルを作成した後、ASDM、構成、デバイス管理、証明書管理、CA証明書で; [追加]をクリックし、デフォルトを変更せず、ファイルからインストールし、Gd_intermediate.crtファイルを見つけます。中間証明書がロードされたら、ID証明書(CA証明書のすぐ下)に移動し、同様の操作を行います(追加、ファイルからのインポート、.pfxファイルの選択、および.pfxのパスワードの入力)。

それだけで、この証明書を使用するために外部インターフェースに適用します。

1
Murali Mohan