创建trustpoint

1
2
3
4
5
6
7
8
9
10
11
fqdn = 证书绑定的域名
subject-name = 证书绑定的域名
enrollment terminal
无需配置keypair
示例命令: 
crypto ca trustpoint vpn_point
    enrollment terminal
    fqdn vpn.xx.com
    subject-name vpn.xx.com
    no ca-check

证书导入

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
示例命令:
crypto ca import vpn_point pkcs12 ebe111
Enter the base 64 encoded pkcs12. //此处提示需要导入由base64编码的证书文件
-----BEGIN PKCS12-----
 #证书内容
-----END PKCS12-----
quit
WARNING: CA certificates can be used to validate VPN connections,
by default.  Please adjust the validation-usage of this
trustpoint to limit the validation scope, if necessary.
INFO: Import PKCS12 operation completed successfully.

# 其中 vpn_point 为刚创建的trustpoint名称
# pkcs12 指导入的证书格式
# ebe111 为证书秘钥(私钥)

证书制作(pfx类型)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
公网证书包含pfx或pcks12类型证书
base64编码证书转换
我们使用pfx证书进行转换,转换工具:openssl
openssl base64 -in certificate.pfx > ca.base64 #后缀名无所谓
转换完成后,ca.base64还不能正常使用,需要用文本工具打开,在首位分别添加以下标识
-----BEGIN PKCS12-----
 #证书内容
-----END PKCS12-----
2.2 证书制作(非pfx)
公网证书不包含pfx或pcks12证书
可在线搜索或使用命令合成
在线地址:https://www.myssl.cn/tools/merge-pfx-cert.html
合成命令:openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt 
# 输出文件名称:server.pfx
# 证书私钥文件名称:server.key
# 证书文件名称:server.crt
# 因为各大证书机构办法的证书格式差异,此处对文件做了详细解释,但是肯定会包含证书文件,私钥文件
# 得到pfx格式证书后,在返回base64编码证书的制作即可

证书格式详解

1
2
3
4
5
6
7
8
9
10
11
12
13
private.pem
# 证书私钥,可更改后缀为key。如果使用的是自己上传的CSR文件,将不包含改文件。
fullchain.crt
# 完整的证书链,可更改后缀为pem。文件里一般有两段证书(也会有三张),一张是你的域名证书,另一张是所依赖的证    书链(可能会有两张证书链)。

certificate.pfx
# PFX类型证书,一般IIS和Tomcat使用,秘钥在detail.txt中。当然,你也可以根据上面的两个文件自行生成PFX    格式的证书。
certificate.crt
# 域名证书,里面内容同时存在于fullchain.crt文件中
chain.crt
# 依赖的证书链,里面内容同时存在于fullchain.crt文件中
chain_old.crt
# 旧版的证书链,虽然已经到期,但是可以兼容古老的设备(见于letsencrypt)。

配置证书ssl 接口可信

1
2
3
4
ssl trust-point ASDM_TrustPoint1 outside
# point名称:ASDM_TrustPoint1
# 在哪个端口调用: outside