分类目录归档:ASA

向ASA导入证书

准备一个私钥(.pem)和对应的证书(.crt)文件。注意证书里面只能有私钥对应的那个证书,不应该有证书链。

先用OpenSSL把它转成PKCS#12格式。

openssl pkcs12 -export -out asa.example.com.pfx -inkey asa.example.com.pem -in asa.example.com.crt

然后Base64一下。

openssl base64 -in asa.example.com.pfx -out asa.example.com.pfx.base64

导入ASA:

Type help or '?' for a list of available commands.
asa> enable
Password: 
asa# configure terminal
asa(config)# crypto ca import 证书名 pkcs12 密码
Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
<粘贴 base64 过的文件>
quit
INFO: Import PKCS12 operation completed successfully

换上新的证书:

asa(config)# ssl trust-point newcert inside 
asa(config)# ssl trust-point newcert outside
asa(config)# no crypto ikev2 remote-access trustpoint oldcert
asa(config)# crypto ikev2 remote-access trustpoint newcert

删掉原来的证书:

asa(config)# no crypto ca trustpoint oldcert

 

Cisco ASA做AnyConnect服务器时的动态路由协议和NAT规则设置

从ASA的设计来看,AnyConnect隧道不像是一个传统的Point-to-Point或Site-to-Site VPN隧道,而更像是一个IPSec Transform规则。每个客户端建立起隧道以后,ASA会为其动态生成一条路由,该路由具有如下特征:

  • 类型为静态(STATIC)
  • CIDR为/32
  • 接口为用户连入流量的来源接口,例如用户从公网访问则为outsite
  • 网关地址为接口对应的网关

继续阅读