Импорт ключа и сертификата в trustpoint на Cisco ASA

Оригинал

Прислали мне очередной ключ и сертификат для vpn-концентратора на ASA. Ключ сгенерили где-то на стороне, подписали у Thawte. Получилась рассыпуха из ключа, сертификата и 2х CA сертификатов тавта, корневого и промежуточного. Надо это все залить в асу, на заметку запишу команды openssl.

Если ключ генерился не на самой железке то в trustpoint asa нужно заливать ключ, сертификат и сертификат CA одним блоком pkcs12 обернутый в base64. Причем ключ должен быть защищен паролем.

Воспользуемся openssl что бы собрать в кучу все сертификаты и ключ, преобразовать из pem в pkcs12 и закрыть ключь паролем:

1	openssl pkcs12 -export -inkey srv-key.pem -in srv-cert.pem -certfile itermCA.pem -des3 -out asa.pkcs12.pfx

где:
– srv-key.pem файл с ключем
– srv-cert.pem сам сертификат
– itermCA.pem сертификат СА которым подписан наш сертификат
– ключ -des3 говорит Openssl о том что надо запросить пароль с консольки и закрыть им приватный ключ
– asa.pkcs12.pfx – выходной файл в pkcs12 формате

Теперь надо обернуть pkcs12 в base64

1	openssl base64 -in asa.pkcs12.pfx -out asa.b64.pfx

Собственно все, создаем новый trustpoint на ASA и импортируем туда наши сертификаты и ключ из файлика asa.b64.pfx

1 2 3 4 5 6

asa(config)# crypto ca import anyconnect2013 pkcs12 MySimplePassword Enter the base 64 encoded pkcs12. End with the word "quit" on a line by itself: bla-bla quit INFO: Import PKCS12 operation completed successfully

P.S. Полезная ссылочка по openssl http://www.madboa.com/geek/openssl/