我需要购买并安装 SSL 证书到我的 Cisco ASA 防火墙上。这样我的 VPN 用户就可以连接到我的 ASA,而不会收到来自 ASA 上当前不受信任的自分配 SSL 证书的证书错误。
我对 GoDaddy 销售的 SSL 证书有很好的体验。但是,我对使用它们感到担心。在我的 Web 服务器上,我还必须安装 GoDaddy 的“中间证书包”。在 ASA 上,我认为我无法执行任何此类操作。我不完全了解“中间证书包”的作用,但显然它很重要。
所以我的问题是,我是否可以在 ASA 上使用 GoDaddy SSL 证书,而不会让我的用户收到任何类型的警告或错误,提示我连接到使用不受信任的 SSL 证书的站点。我需要让最终用户尽可能简单,警告消息总是很吓人 :)
谢谢!
答案1
我有一个 GoDaddy(标准版,不是豪华版)通配符证书,用于我的 ASA 5510 上的 ASDM 访问。ASDM 说“SSL 参数会影响 ASDM 和 SSL VPN 访问”,所以如果它对我有用,那么对你和 SSL VPN 也应该有用。
我在导入证书链的 .pem 版本时确实遇到了问题。使用 *.pfx(如 IIS 使用的)则没问题。
我从https://certs.godaddy.com/Repository.go
在 ASDM 中,配置、设备管理、证书管理、CA 证书;单击添加,不要更改任何默认值,从文件安装,找到 gd_intermediate.crt 文件。
我还尝试加载我们的一些证书使用的 gd_bundle.crt,但失败了,但由于 gd_intermediate.crt 起作用了,而且我的通配符也使用它,所以我没有再进行测试。
加载中间证书后,转到身份证书(CA 证书正下方)并执行类似操作(添加、从文件导入、选择 .pfx 文件,然后输入 .pfx 的密码)。
现在证书已成功安装,请设置将在哪些接口上使用证书。这在设备管理、高级、SSL 设置下。单击接口(可能在外部),单击编辑,然后选择您在上一步中添加的证书的信任点名称。单击确定、应用,然后尝试转到您的https://vpn.url并查看它是否加载了正确的证书。
答案2
中间证书颁发机构将您的证书链接回受信任的根证书颁发机构。它是信任链中的重要环节。
维基百科上有一篇简短的文章中级证书颁发机构. 还有一个很好的描述这里。请注意,链式证书和中间证书通常指的是同一件事。
无论如何,我认为您应该能够在您的设备上使用此类证书...我通过 Google 找到了以下说明。这是另一家中间证书颁发机构的页面,其中介绍了如何在安装他们将颁发的 SSL 证书之前在 ASA 设备上安装他们的中间证书: 在 Cisco ASA 5500 SSL VPN/防火墙中安装您的证书。
答案3
在 Cisco ASA 5500 系列机器上安装 Godaddy.com 通配符证书的分步指南。
从以下位置下载中级证书https://certs.godaddy.com/anonymous/repository.seam。
去https://www.sslshopper.com/ssl-converter.html并通过输入 urdomain.cer 和 intermedicate.cer 和私钥将您的 .cer 文件转换为 .pfx(Pkcs12 格式)(假设您已经从 gogaddy.com 下载了您的私钥和证书,即 *.urdomain.com)
创建 .pfx 文件后,在 ASDM、配置、设备管理、证书管理、CA 证书中单击添加,不要更改任何默认值,从文件安装,找到 gd_intermediate.crt 文件。加载中间证书后,转到身份证书(CA 证书正下方)并执行类似操作(添加、从文件导入、选择 .pfx 文件,然后输入 .pfx 的密码。
就这样,在外部接口上申请使用这个证书。