01/07/2016

Cisco – SSL Zertifikat auf Router importieren

Als Beispiel dient mein bei InterSSL gekauftes RapidSSL Zertifikat.

RSA Key auf dem Router generieren

crypto key generate rsa general-keys label MeinKey modulus 2048

 

Trustpoint anlegen

crypto pki trustpoint vpn.uebi.net
 enrollment terminal
 fqdn vpn.uebi.net
 subject-name C=AT, ST=Tirol, L=LA, O=uebi.net, OU=home, CN=vpn.uebi.net
 revocation-check none
 rsakeypair MeinKey

 

Certificate Request

crypto ca enroll vpn.uebi.net
% Start certificate enrollment ..

% The subject name in the certificate will include: C=AT, ST=Tirol, L=LA, O=uebi.net, OU=home, CN=vpn.uebi.net
% The subject name in the certificate will include: vpn.uebi.net
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]:
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:

MIIa345gvxdaasasddTCCA...I8tasdf

---End - This line not part of the certificate request---

Redisplay enrollment request? [yes/no]: no

Den oben ausgegeben „Text“ muessen wir jetzt auf der RapidSSL Seite eingeben. Dafuer loggen wir uns auf InterSSL ein, klicken dort auf unser Zertifikat und bekommen danach (nach Eingabe unserer Daten auf der verlinkten Seite) eine E-Mail, in welcher ein Link ist ueber den wir das Zertifikat ausstellen koennen. Wenn wir dies erledigt haben bekommen wir eine E-Mail mit dem Zertifikat und dem Intermediate Zertifikat.

 

Zertifikate einfuegen – ZUERST das INTERMEDIATE Zertifikat!

crypto pki authenticate vpn.uebi.net

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

MIIafd8u3jaf….aY

Trustpoint 'vpn.uebi.net' is a subordinate CA and holds a non self signed cert
Certificate has the following attributes:
       Fingerprint MD5: 23BB075F ACFBFB02...
      Fingerprint SHA1: 0E341418 46E7423D...

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

 

DANACH das eigentliche Zertifikat einfuegen:

crypto pki import vpn.uebi.net certificate

Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself

MII...adasREUHAFDR

% Router Certificate successfully imported

 

Evtl noch kontrollieren

show crypto pki certificates
show crypto pki trustpoints

 

und AnyConnect sollte funktionieren 🙂

 

 

Weitere Infos

Die VPN Config meines Cisco 887VA-W bzw 880 Series Routers sieht so aus:

aaa authentication login webvpn local

ip local pool VPN 192.168.7.10 192.168.7.49

ip nat inside source list 10 interface Dialer0 overload

access-list 10 permit 192.168.7.0 0.0.0.255

interface Virtual-Template1
 ip unnumbered Dialer0
 ip nat inside
 ip virtual-reassembly in

webvpn gateway vpn.uebi.net
 ip interface Dialer0 port 443
 ssl encryption aes256-sha1
 ssl trustpoint vpn.uebi.net
 inservice
 !
webvpn context VPN
 virtual-template 1
 aaa authentication list webvpn
 gateway vpn.uebi.net
 !
 ssl authenticate verify all
 inservice
 !
 policy group VPNPOLICY
   functions svc-enabled
   svc address-pool "VPN" netmask 255.255.255.0
   svc keep-client-installed
   svc rekey method new-tunnel
   svc dns-server primary 192.168.9.230
 default-group-policy VPNPOLICY

Kommentar verfassen