Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

이 섹션에서는 디지털 인증서를 구성하기 전에 확인해야 하는 지침 및 제한사항에 대해 설명합니다.

서드파티 CA의 경우 단일 상황 모드에서만 지원됩니다.

스테이트풀 장애 조치에서는 세션 복제를 지원하지 않습니다.

로컬 CA에 대해서는 장애 조치를 지원하지 않습니다. 

IPv6

을 지원하지 않습니다.

ASA

가 인증서를 지원하도록 올바르게 구성되어야 합니다. ASA가 잘못 구성되면 등록이 실

패하거나 부정확한 정보가 들어 있는 인증서를 요청할 수 있습니다.

ASA

의 호스트 이름과 도메인 이름이 올바르게 구성되어야 합니다. 현재 구성된 호스트 이름 

및 도메인 이름을 보려면 show running-config 명령을 입력합니다.

CA 

구성에 앞서 ASA 시계가 정확하게 설정되어야 합니다. 인증서는 유효 기간이 시작하고 종

료하는 날짜와 시간이 있습니다. ASA에서 CA에 등록하여 인증서를 받을 때 ASA는 현재 시

간이 인증서의 유효 기간에 속하는지 확인합니다. 그 범위를 벗어나면 등록이 실패합니다. 

로컬 CA 인증서가 만료되기 30일 전에 롤오버 대체 인증서가 생성되고 syslog 메시지를 통해 

관리자에게 로컬 CA 롤오버 시점임을 알립니다. 새 로컬 CA 인증서는 현재 인증서가 만료되

기 전에 필요한 모든 디바이스에 가져와야 합니다. 관리자가 응답하여 롤오버 인증서를 새로

운 로컬 CA 인증서로 설치하지 않을 경우, 유효성 검사가 실패할 수 있습니다.

인증서가 만료되면 로컬 CA 인증서는 동일한 키 쌍을 사용하여 자동으로 롤오버합니다. 롤오

버 인증서는 base64 형식으로 내보낼 수 있습니다. 
다음 예는 base64 인코딩 로컬 CA 인증서를 보여줍니다.

MIIXlwIBAzCCF1EGCSqGSIb3DQEHAaCCF0IEghc+MIIXOjCCFzYGCSqGSIb3DQEHBqCCFycwghcjAgEAMIIXHA

YJKoZIhvcNAQcBMBsGCiqGSIb3DQEMAQMwDQQIjph4SxJoyTgCAQGAghbw3v4bFy+GGG2dJnB4OLphsUM+IG3S

DOiDwZG9n1SvtMieoxd7Hxknxbum06JDrujWKtHBIqkrm+td34qlNE1iGeP2YC94/NQ2z+4kS+uZzwcRhl1KEZ

TS1E4L0fSaC3uMTxJq2NUHYWmoc8pi4CIeLj3h7VVMy6qbx2AC8I+q57+QG5vG5l5Hi5imwtYfaWwPEdPQxaWZ

PrzoG1J8BFqdPa1jBGhAzzuSmElm3j/2dQ3Atro1G9nIsRHgV39fcBgwz4fEabHG7/Vanb+fj81d5nlOiJjDYY

bP86tvbZ2yOVZR6aKFVI0b2AfCr6PbwfC9U8Z/aF3BCyM2sN2xPJrXva94CaYrqyotZdAkSYA5KWScyEcgdqmu

BeGDKOncTknfgy0XM+fG5rb3qAXy1GkjyFI5Bm9Do6RUROoG1DSrQrKeq/hj….

END OF CERTIFICATE

엔드포인트에서 AnyConnect Secure Mobility Client 3.0 이상이 실행되고 있어야 합니다.

그룹 정책의 연결 프로필에 구성된 인증 방법이 AAA와 인증서 인증을 모두 사용하도록 설정

되어야 합니다.

IKEv2 VPN 

연결을 위한 SSL 포트가 열려 있어야 합니다.

CA

가 자동 허용(auto-grant) 모드여야 합니다.