Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 19:10



Ответить на тему  [ Сообщений: 9 ] 
SSL сертификат на ASA 
Автор Сообщение
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Приветствую дядьки.
Чото я забуксовал - установил купленный сертификат и 2 промежуточных, подписал корневым, ставлю ssl trust-point на outside, ломлюсь по https, а мне отдается какая-то неведомая самоподписная ерунда. Самое главное я в show crypto ca certificates я вижу все 3 сертификата, а того что браузеру отдается не наблюдаю. Вроде сто раз делал, а тут чото застрял, пните куда копать.


19 ноя 2018, 20:47
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Если подписано публичным СА то ничего не нужно аплодить из корневых - нужно отвязать и удалить текущие самоподписные и привязать на подписанный


19 ноя 2018, 20:51
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Так в том то и дело что самоподписных нет, по крайней мере в show crypto ca certificates я их не вижу.


20 ноя 2018, 08:56
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Дядьки, подскажите пожалуйста в чем засада. На ASA Anyconnect, стоит подписанный сертификат, https должен подписываться этим трастпоинтом, а по факту отдается самоподписный корневой сертификат который аса себе непонятно где сделала, чото я застрял.
Цитата:
ASA-Reus# show crypto ssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
Disabled ciphers: des-sha1 rc4-md5 dhe-aes128-sha1 dhe-aes256-sha1 null-sha1
SSL trust-points:
outside interface: VPN
Certificate authentication is not enabled
ASA-Reus# show crypto ca trustpoints VPN

Trustpoint VPN:
Subject Name:
cn=COMODO RSA Domain Validation Secure Server CA
o=COMODO CA Limited
l=Salford
st=Greater Manchester
c=GB
Serial Number: 2b2e6eead975366c148a6edba37c8c07
Certificate configured.

ASA-Reus# sh run | i ssl trust
ssl trust-point VPN outside


04 дек 2018, 15:47
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Что показывает ASDM - посмотрите там, наверняка найдёте этот самоподписной серт


04 дек 2018, 16:16
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Вопрос не в том как увидеть самоподписный сертификат, а почему при настроенном trustpoint с живым сертификатом
Цитата:
outside interface: VPN
аса отдает по этому интерфейсу самоподписный.


04 дек 2018, 16:52
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
может его отключить rc4-sha1?


05 дек 2018, 07:23
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
может быть банально пропустили какую то деталь?
при сборке pkcs12 или при установке?
Я бы попробовал удалить и заново подсунуть АСА сертификат


05 дек 2018, 08:47
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Сертификаты я правильно воткнул, проблема решилась обновлением софта асы. Предполагаю что либо старая версия не умела SAN который CA зачем-то втыкал на одиночный CSR, либо не умела какого-то шифрования требуемого сертификатом.


05 дек 2018, 09:20
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 9 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 52


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB