Cisco Cisco ASA 5515-X Adaptive Security Appliance Prospecto
18-9
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
18
장 디지털 인증서
디지털 인증서 지침
디지털 인증서 지침
이 섹션에서는 디지털 인증서를 구성하기 전에 확인해야 하는 지침 및 제한사항에 대해 설명합니다.
상황 모드 지침
•
서드파티 CA의 경우 단일 상황 모드에서만 지원됩니다.
장애 조치 지침
•
스테이트풀 장애 조치에서는 세션 복제를 지원하지 않습니다.
•
로컬 CA에 대해서는 장애 조치를 지원하지 않습니다.
IPv6
지침
IPv6
을 지원하지 않습니다.
로컬 CA 인증서
•
ASA
가 인증서를 지원하도록 올바르게 구성되어야 합니다. ASA가 잘못 구성되면 등록이 실
패하거나 부정확한 정보가 들어 있는 인증서를 요청할 수 있습니다.
•
ASA
의 호스트 이름과 도메인 이름이 올바르게 구성되어야 합니다. 현재 구성된 호스트 이름
및 도메인 이름을 보려면 show running-config 명령을 입력합니다.
•
CA
구성에 앞서 ASA 시계가 정확하게 설정되어야 합니다. 인증서는 유효 기간이 시작하고 종
료하는 날짜와 시간이 있습니다. ASA에서 CA에 등록하여 인증서를 받을 때 ASA는 현재 시
간이 인증서의 유효 기간에 속하는지 확인합니다. 그 범위를 벗어나면 등록이 실패합니다.
•
로컬 CA 인증서가 만료되기 30일 전에 롤오버 대체 인증서가 생성되고 syslog 메시지를 통해
관리자에게 로컬 CA 롤오버 시점임을 알립니다. 새 로컬 CA 인증서는 현재 인증서가 만료되
기 전에 필요한 모든 디바이스에 가져와야 합니다. 관리자가 응답하여 롤오버 인증서를 새로
운 로컬 CA 인증서로 설치하지 않을 경우, 유효성 검사가 실패할 수 있습니다.
•
인증서가 만료되면 로컬 CA 인증서는 동일한 키 쌍을 사용하여 자동으로 롤오버합니다. 롤오
버 인증서는 base64 형식으로 내보낼 수 있습니다.
다음 예는 base64 인코딩 로컬 CA 인증서를 보여줍니다.
다음 예는 base64 인코딩 로컬 CA 인증서를 보여줍니다.
MIIXlwIBAzCCF1EGCSqGSIb3DQEHAaCCF0IEghc+MIIXOjCCFzYGCSqGSIb3DQEHBqCCFycwghcjAgEAMIIXHA
YJKoZIhvcNAQcBMBsGCiqGSIb3DQEMAQMwDQQIjph4SxJoyTgCAQGAghbw3v4bFy+GGG2dJnB4OLphsUM+IG3S
DOiDwZG9n1SvtMieoxd7Hxknxbum06JDrujWKtHBIqkrm+td34qlNE1iGeP2YC94/NQ2z+4kS+uZzwcRhl1KEZ
TS1E4L0fSaC3uMTxJq2NUHYWmoc8pi4CIeLj3h7VVMy6qbx2AC8I+q57+QG5vG5l5Hi5imwtYfaWwPEdPQxaWZ
PrzoG1J8BFqdPa1jBGhAzzuSmElm3j/2dQ3Atro1G9nIsRHgV39fcBgwz4fEabHG7/Vanb+fj81d5nlOiJjDYY
bP86tvbZ2yOVZR6aKFVI0b2AfCr6PbwfC9U8Z/aF3BCyM2sN2xPJrXva94CaYrqyotZdAkSYA5KWScyEcgdqmu
BeGDKOncTknfgy0XM+fG5rb3qAXy1GkjyFI5Bm9Do6RUROoG1DSrQrKeq/hj….
END OF CERTIFICATE
SCEP
프록시 지원
•
엔드포인트에서 AnyConnect Secure Mobility Client 3.0 이상이 실행되고 있어야 합니다.
•
그룹 정책의 연결 프로필에 구성된 인증 방법이 AAA와 인증서 인증을 모두 사용하도록 설정
되어야 합니다.
•
IKEv2 VPN
연결을 위한 SSL 포트가 열려 있어야 합니다.
•
CA
가 자동 허용(auto-grant) 모드여야 합니다.