Добрый деньЕсть c3825-adventerprisek9-mz.151-4.M7
Когда настраиваю WebVPN через Cisco Professional configurator и создаю selfsighned certificate то все работает как надо, но каждый раз клиент ругается на самоподписаный сертификат.
Есть годный RapidSSL wildcard certificate для моего домена, работает в apache, jabber и других сервисах предприятия. Хочу его использовать как основной сертификат на cisco вместо самоподписаного.
Импортирую RSA ключ (так как .csr делался не на cisco), root сертификат, inermediate сертификат и потом свой. Все вроде ок, кроме того, что когда свой импортирую получаю ошибку:
dWVIcxB2R94mTLGrNHAnoyb1tfG5xBlJQFTVhD+7oIIJQuNs3cfifCJaXho4lP3s
cewGFuo=
-----END CERTIFICATE-----
quit
Trustpoint 'AAA_WILDCARD' is a subordinate CA.
but certificate is not a CA certificate.
Manual verification required
Certificate has the following attributes:
Fingerprint MD5: 19186E74 1522D1C8 D81CFAA3 92858AE8
Fingerprint SHA1: 0C21DF10 51A30C49 D0B06A20 99987424 83D27E5B% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully importedПри попытке подключить этот сертификат к WebVPN через Cisco Configuration Professional - его нет в списке, при подключении ручками и попытке зайти на адрес webVPN - ошибка в логах:
010260: Dec 4 20:04:00.815 EET: CRYPTO_PKI: (A10DF) Session started - identity selected (AAA_WILDCARD)
010261: Dec 4 20:04:00.815 EET: CRYPTO_PKI: unlocked trustpoint AAA_WILDCARD, refcount is 0Что я делаю не так и возможно ли вообще то, что я хочу ?
Вот куски конфига:
crypto pki trustpoint TP-self-signed-3482185252
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3482185252
revocation-check none
rsakeypair TP-self-signed-3482185252
!
crypto pki trustpoint root
enrollment terminal
subject-name CN=GeoTrust Global CA,O=GeoTrust Inc.
revocation-check crl
!
crypto pki trustpoint rapidssl
enrollment terminal
subject-name CN=RapidSSL SHA256 CA - G3
revocation-check crl
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
subject-name e=sdmtest@sdmtest.com
revocation-check crl
!
crypto pki trustpoint AAA_WILDCARD
enrollment terminal
usage ssl-server
fqdn *.aaa.aaa.aa
ip-address none
subject-name CN=*.aaa.aaa.aa
chain-validation continue rapidssl
revocation-check crl
rsakeypair AAA_WILDCARD
!
crypto pki certificate chain TP-self-signed-3482185252
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
....
6EE732AD 1513FF15 2DCC9F87 68D30FAE 5EA7A534 6B5EA6EB F2093A72 CB9993C7
8191E1BF 6AA91CAC 3BFFE4C0 4D1517
quit
crypto pki certificate chain root
certificate ca 023456
30820354 3082023C A0030201 02020302 3456300D 06092A86 4886F70D 01010505
00304231 0B300906 03550406 13025553 31163014 06035504 0A130D47 656F5472
....
335F9209 2F88665D 7797C71D 7613A9D5 E5F11609 1135D5AC DB247170 2C98560B
D917B4D1 E3512B5E 75E8D5D0 DC4F34ED C2056680 A1CBE633
quit
crypto pki certificate chain rapidssl
certificate ca 023A77
30820425 3082030D A0030201 02020302 3A77300D 06092A86 4886F70D 01010B05
00304231 0B300906 03550406 13025553 31163014 06035504 0A130D47 656F5472
....
4A74564F 1A554070 7525A633 2EBA4BA5 5D539A0D 30E18D5F 612CAFCC EFB099A1
80FF0BF2 624C7026 98
quit
crypto pki certificate chain test_trustpoint_config_created_for_sdm
crypto pki certificate chain AAA_WILDCARD
certificate ca 00D18B
308204B1 30820399 A0030201 02020300 D18B300D 06092A86 4886F70D 01010B05
00304731 0B300906 03550406 13025553 31163014 06035504 0A130D47 656F5472
....
0942E36C DDC7E27C 225A5E1A 3894FDEC 71EC0616 EA
quit
!И ключики:
sh crypto key mypubkey rsa
% Key pair was generated at: 01:51:02 EET Nov 10 2014
Key name: TP-self-signed-3482185252
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D391A1
....
3CDBA589 D5158757 FA50F549 A6A00025 CBD6D415 B64A1052 058A9C5F 0D020301 0001
% Key pair was generated at: 01:33:32 EET Nov 29 2014
Key name: AAA_WILDCARD
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable.
Key Data:
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
....
47020301 0001Спасибо
У вас CA вроде как не CA.
Покажите show crypto pki certificates и show crypto pki trustpoints
> У вас CA вроде как не CA.
> Покажите show crypto pki certificates и show crypto pki trustpointsЯ видел это в сообщении об ошибке, но почему так, не понял.
cisco#sh crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number (hex): 00D18B
Certificate Usage: General Purpose
Issuer:
cn=RapidSSL SHA256 CA - G3
o=GeoTrust Inc.
c=US
Subject:
cn=*.aaa.aaa.aa
ou=Domain Control Validated - RapidSSL(R)
ou=See www.rapidssl.com/resources/cps (c)14
ou=GT20684972
CRL Distribution Points:
http://gv.symcb.com/gv.crl
Validity Date:
start date: 22:18:38 EET Nov 27 2014
end date: 16:48:06 EET Jan 29 2016
Associated Trustpoints: AAA_WILDCARD
Storage: nvram:RapidSSLSHA2#D18BCA.cerCA Certificate
Status: Available
Certificate Serial Number (hex): 023A77
Certificate Usage: Signature
Issuer:
cn=GeoTrust Global CA
o=GeoTrust Inc.
c=US
Subject:
cn=RapidSSL SHA256 CA - G3
o=GeoTrust Inc.
c=US
CRL Distribution Points:
http://g.symcb.com/crls/gtglobal.crl
Validity Date:
start date: 00:39:32 EEST Aug 30 2014
end date: 00:39:32 EEST May 21 2022
Associated Trustpoints: rapidssl
Storage: nvram:GeoTrustGlob#3A77CA.cerCA Certificate
Status: Available
Certificate Serial Number (hex): 023456
Certificate Usage: General Purpose
Issuer:
cn=GeoTrust Global CA
o=GeoTrust Inc.
c=US
Subject:
cn=GeoTrust Global CA
o=GeoTrust Inc.
c=US
Validity Date:
start date: 07:00:00 EEST May 21 2002
end date: 07:00:00 EEST May 21 2022
Associated Trustpoints: root
Storage: nvram:GeoTrustGlob#3456CA.cerRouter Self-Signed Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: General Purpose
Issuer:
cn=IOS-Self-Signed-Certificate-3482185252
Subject:
Name: IOS-Self-Signed-Certificate-3482185252
cn=IOS-Self-Signed-Certificate-3482185252
Validity Date:
start date: 01:51:02 EET Nov 10 2014
end date: 02:00:00 EET Jan 1 2020
Associated Trustpoints: TP-self-signed-3482185252
Storage: nvram:IOS-Self-Sig#1.cer
cisco#и второе:
cisco#sh crypto pki trustpoints
Trustpoint TP-self-signed-3482185252:
Subject Name:
cn=IOS-Self-Signed-Certificate-3482185252
Serial Number (hex): 01
Persistent self-signed certificate trust point
Trustpoint root:
Subject Name:
cn=GeoTrust Global CA
o=GeoTrust Inc.
c=US
Serial Number (hex): 023456
Certificate configured.
Trustpoint rapidssl:
Subject Name:
cn=RapidSSL SHA256 CA - G3
o=GeoTrust Inc.
c=US
Serial Number (hex): 023A77
Certificate configured.
Trustpoint test_trustpoint_config_created_for_sdm:Trustpoint AAA_WILDCARD:
Subject Name:
cn=*.aaa.aaa.aa
ou=Domain Control Validated - RapidSSL(R)
ou=See www.rapidssl.com/resources/cps (c)14
ou=GT20684972
Serial Number (hex): 00D18B
Certificate configured.
cisco#P.S. Если вдруг где-то я ошибся с количеством AAA_WILDCARD или *.aaa.aaa.aa то это ошибка при затирании информации перед передачей в сеть а не в конфиге, т.к. в конфиге используется конкретное доменное имя.
А какими командами вы сертификаты ставили?Трастпоинт нужно делать тольк один, а не три.
rapidssl добавляете через authenticate, а свой через import.
root вообще в конфиге циски не нужен.
> А какими командами вы сертификаты ставили?
> Трастпоинт нужно делать тольк один, а не три.
> rapidssl добавляете через authenticate, а свой через import.
> root вообще в конфиге циски не нужен.Огромное спасибо, поставил так, как вы рекомендовали - все заработало.
До этого ставил все через authenticate.