Cisco Cisco ASA 5555-X Adaptive Security Appliance - No Payload Encryption 전단
18-41
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
18
장 디지털 인증서
디지털 인증서 지침
알림 구성에 관계없이, 만료 마지막 주 동안 알림이 매일 전송됩니다. 다음의 show 및 clear 명령
이 추가되었습니다.
clear conf crypto ca alerts
show run crypto ca alerts
갱신 알림 외에도, 이미 만료된 인증서가 구성에 있는 경우, 인증서를 갱신하거나 만료된 인증서
를 제거하여 구성을 수정하도록 syslog가 매일 생성됩니다.
예를 들어 만료 알림이 60일에 시작되고 이후에 6일마다 반복되는 것으로 가정해 보겠습니다.
ASA
예를 들어 만료 알림이 60일에 시작되고 이후에 6일마다 반복되는 것으로 가정해 보겠습니다.
ASA
가 40일에 재부팅되는 경우 알림이 해당 날짜에 전송되고, 다음 알림은 36번째 날짜에 전송
됩니다.
참고
만료 검사는 신뢰 풀 인증서에서 수행되지 않습니다. 로컬 CA 신뢰 지점은 만료 검사에 대한 일반
적인 신뢰 지점으로도 처리됩니다.
주기적인 인증서 확인 활성화/비활성화
그룹 정책 특성 구성 모드에서 주기적인 인증서 확인을 활성화/비활성화할 수 있습니다.
[no] periodic-authentication certificate <time in hours> | none
주기적인 인증서 확인은 기본적으로 비활성화되어 있습니다(주기적인 인증 인증서 없음).
주기적인 인증서 확인이 활성화된 경우, 1시간부터 168시간 사이에서 간격을 구성할 수 있습니다.
주기적인 인증서 확인이 활성화된 경우, 1시간부터 168시간 사이에서 간격을 구성할 수 있습니다.
기본 제약 조건 적용
기본 제약 조건 확장은 이 인증서를 포함하는 CA 인증서의 주체 및 유효한 인증 경로의 최대 수준
을 식별합니다. cA 부울은 인증된 공개 키가 인증서 서명을 확인하는 데 사용되는지를 나타냅니
다. cA 부울이 어설션되지 않은 경우, 키 사용 확장에 있는 keyCertSign 비트를 어설션하지 않아
야 합니다. 기본 제약 조건 확장이 버전 3 인증서에 없거나 이 확장이 존재하지만 cA 부울이 어설
션되지 않은 경우, 인증된 공개 키를 인증서 서명을 확인하는 데 사용하지 않아야 합니다.
CA
CA
플래그 없는 인증서는 CA 인증서로 ASA에 기본적으로 설치할 수 없습니다. CLI 노브는 기존
고객을 위해 이 인증서를 설치하기 위해 제공됩니다.
ciscoasa(config-ca-trustpoint)# ca-check
ciscoasa (config-ca-trustpoint)# show run crypto ca trustpoint new
crypto ca trustpoint new
enrollment terminal
crl configure
ciscoasa (config-ca-trustpoint)# no ca-check
ciscoasa (config-ca-trustpoint)# show run crypto ca trustpoint new
crypto ca trustpoint new
enrollment terminal
no ca-check
crl configure