Cisco Cisco ASA 5510 Adaptive Security Appliance Leaflet
16-48
Cisco ASA Series 명령 참조 , S 명령
16장 software authenticity development through storage-objects 명령
ssl trust-point
이 명령을 사용할 때 다음 지침을 따르십시오.
•
trustpoint
값은 crypto ca trustpoint name 명령에 구성된 CA 신뢰 지점의 이름이어야 합니다.
•
interface
는 이전에 구성된 인터페이스의 nameif 이름이어야 합니다.
•
신뢰 지점을 제거하면 해당 신뢰 지점을 참조하는 모든 ssl trust-point 항목도 제거됩니다.
•
인터페이스당 하나의 ssl trust-point 항목과 인터페이스 없음을 지정하는 항목을 유지할 수 있
습니다.
습니다.
•
domain
키워드로 구성된 신뢰 지점은 연결 방법에 따라 여러 인터페이스에 적용될 수 있습니다.
•
domain-name
값당 하나의 ssl trust-point만 유지할 수 있습니다.
•
여러 항목에 동일한 신뢰 지점을 다시 사용할 수 있습니다.
•
이 명령을 입력한 후 다음 오류가 표시되는 경우
error:0B080074:x509 certificate routines:X509_check_private_key:key values
mismatch@x509_cmp.c:339
사용자가 이전에 구성된 인증서를 대체할 새 인증서를 구성했음을 의미합니다. 추가 작업은 필
요하지 않습니다.
요하지 않습니다.
•
인증서가 다음 순서대로 선택됩니다.
–
연결이 domain 키워드 값과 일치하지 않는 경우 해당 인증서가 먼저 선택됩니다. (ssl
trust-point
name domain domain-name 명령)
–
부하 균형 주소로 연결이 설정된 경우 vpnlb-ip 인증서가 선택됩니다. (ssl trust-point name
interface
vpnlb-ip 명령)
–
인터페이스에 대해 구성된 인증서 (ssl trust-point name interface 명령)
–
인터페이스와 연결되지 않은 기본 인증서 (ssl trust-point name 명령)
–
ASA의 자체 서명 및 자체 생성된 인증서
예
다음 예에서는 내부 인터페이스에 대한 FirstTrust라는 SSL 신뢰 지점 및 연결된 인터페이스가 없
는 DefaultTrust라는 신뢰 지점을 구성하는 방법을 보여 줍니다.
는 DefaultTrust라는 신뢰 지점을 구성하는 방법을 보여 줍니다.
ciscoasa(config)# ssl trust-point FirstTrust inside
ciscoasa(config)# ssl trust-point DefaultTrust
다음 예에서는 이 명령의 no 형식을 사용하여 연결된 인터페이스가 없는 신뢰 지점을 삭제하는 방
법을 보여 줍니다.
법을 보여 줍니다.
ciscoasa(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
ssl trust-point DefaultTrust
ciscoasa(config)# no ssl trust-point
ciscoasa(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
다음 예에서는 연결된 인터페이스가 있는 신뢰 지점을 삭제하는 방법을 보여 줍니다.
ciscoasa(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
ssl trust-point DefaultTrust
ciscoasa(config)# no ssl trust-point FirstTrust inside
ciscoasa(config)# show running-configuration ssl
ssl trust-point DefaultTrust