Вы здесь

ASA и Wildcard certificate. Описание

ВНИМАНИЕ
Доступ к статье ограничен, обращайтесь к автору: ciscomaster@mail.ru

Перейти к статье ASA и Wildcard certificate

ASA и сертификаты

Всегда, когда мы заходим на какой-либо сайт по SSL или HTTPS, то на этом сайте используется сертификат формата x.509.
ASA не явлется исключением, и на ASA сертификат выполняет несколько функций:

Идентификация самого сайта для пользователя

  • Обеспечение шифрования между клиентом-браузером и сайтом
  • Обеспечение шифрования между клиентом anyconnect и ASA

Таким образом, сертификат играет важную роль в инсталляции сервера ASA.

При изначальной установке ASA автоматом генерируется self-signed certificate или самоподписный сертификат.
Такому сертификату никакой клиент не будет доверять и будет выдавать ошибку. С такими сертификатами могут быть связано несколько проблем, - ругань клиентских браузеров, ругань клиентов anyconnect и т.д.
Поэтому крайне рекомендуется установка на ASA signed certificate, т.е. сертификат, сгенерированный и подписанный доверенным CA.

CA-Signed Certificates

Существует несколько способов установки на устройство signed certificate.

  • Сгенерировать на ASA Certificate Signing Request (CSR), передать этот запрос на CA. Запрос содержит public key. CA заверяет это public key своей цифровой подписью, который мы затем установим на ASA.
  • Генерация сертификата непосредственно на CA и его импорт на ASA

Первый способ подробно описан в материале:
Работа с ASA Anyconnect SSL VPN HUB

Теперь пара слов о wildcard certificate.

Рассмотрим клиента, браузер которого заходит на сервер HTTPS.
Получив сертификат сервера, клиент выполняет сравнение имени сервера URL и имени, которое прописано в разделе сертификата Common Name (CN). Если имена не совпадают, - начнётся ругань. Даже если мы зайдём не по имени а по IP адресу, - у нас откроется страница, но браузер также сообщит о несовпадении, поскольку IP адрес не совпадает с именем, прописанным в сертификате.
Отсюда следует, что по хорошему, для каждого хоста нужно выписывать отдельный сертификат, содержащий имя CN этого хоста.
Такой "обычный" сертификат называется UC Certificate (Unified Communications Certificate)

Чтобы облегчить эту задачу, и не плодить сотни сертификатов, придумали понятие wildcard certificate. Такой сертификат может быть использован несколькими хостами.
Например если в его CN будет прописано *.mydomain.ru, то этим сертификатом могут воспользоваться все хосты, находящиеся в домене *.mydomain.ru

Тут также следует отметить, что безусловно использование wildcard certificate снижает безопасность, поэтому к примеру Microsoft EAP supplicants в принципе не доверяют шаблонным сертификатам.
Но это не касается ASA и anyconnect.

ASA не умеет делать CSR для wildcard certificate, поэтому нам придётся прибегнуть к генерации сертификата непосредственно на CA и его импорт на ASA. Чему и посвящен данный материал.

ВНИМАНИЕ
Доступ к статье ограничен, обращайтесь к автору: ciscomaster@mail.ru

Перейти к статье ASA и Wildcard certificate

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image