Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet
16-45
思科 ASA 系列命令参考,S 命令
第 16 章 至 storage-objects 命令
ssl trust-point
•
每个
domain-name 值只能有一个 ssl trust-point。
•
可以将同一信任点重复用于多个条目。
•
如果在输入此命令后显示以下错误:
error:0B080074:x509 certificate routines:X509_check_private_key:key values
mismatch@x509_cmp.c:339
表示用户已配置新证书来替换先前配置的证书。
No action is required.
•
证书按以下顺序选择:
–
如果连接与
domain 关键字的值匹配,则首选该证书。(ssl trust-point name domain
domain-name
命令)
–
如果与负载平衡地址建立连接,则选择
vpnlb-ip 证书。(ssl trust-point name interface
vpnlb-ip
命令)
–
为接口配置的证书。(
ssl trust-point
name interface 命令)
–
未与接口关联的默认证书。(
ssl trust-point
name 命令)
–
ASA 的自签、自生成证书。
示例
以下示例展示如何为内部接口配置一个名为
FirstTrust 的 SSL 信任点,以及如何配置一个名为
DefaultTrust 且未关联任何接口的信任点。
ciscoasa(config)# ssl trust-point FirstTrust inside
ciscoasa(config)# ssl trust-point DefaultTrust
以下示例展示如何使用该命令的
no 形式删除未关联任何接口的信任点:
ciscoasa(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
ssl trust-point DefaultTrust
ciscoasa(config)# no ssl trust-point
ciscoasa(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
以下示例展示如何删除已关联接口的信任点:
ciscoasa(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
ssl trust-point DefaultTrust
ciscoasa(config)# no ssl trust-point FirstTrust inside
ciscoasa(config)# show running-configuration ssl
ssl trust-point DefaultTrust
以下示例展示如何为已配置的信任点分配特定域名:
ciscoasa(config)# ssl trust-point www-cert domain www.example.com
相关命令
命令
说明
clear config ssl
从配置中删除所有
SSL 命令,从而恢复为默认值。
show running-config ssl
显示当前配置的
SSL 命令集。
ssl client-version
指定
ASA 用作客户端时所使用的 SSL/TLS 协议版本。
ssl encryption
指定
SSL/TLS 协议使用的加密算法。