Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

인증서의 Issuer 및 Subject 필드를 기반으로 규칙을 구성할 수 있습니다. 생성한 규칙을 사용하

여 IPsec 피어 인증서를 터널 그룹에 매핑할 수 있으며, 이를 위해 tunnel-group-map 명령을 사

용합니다. ASA는 하나의 CA 인증서 맵을 지원하며, 여기에는 많은 규칙이 포함될 수 있습니다. 
CA 

인증서 맵 규칙을 구성하려면 다음 단계를 수행합니다.

구성하려는 규칙에 대한 CA 인증서 맵 구성 모드를 시작하고 규칙 색인 번호를 지정합니다.

예:

ciscoasa(config)# crypto ca certificate map 1

모든 발급된 인증서의 고유 이름을 지정합니다. 이는 자체 서명된 CA 인증서의 주체 이름 DN이

기도 합니다. 

예:

ciscoasa(config-ca-cert-map)# issuer-name cn=asa.example.com

쉼표를 사용하여 특성-값 쌍을 구분합니다. 쉼표를 포함하는 값을 따옴표로 묶습니다. 
issuer-name

은 영숫자 500자 미만이어야 합니다. 기본 issuer-name은 

cn=hostame.domain-name

입니다.

ASA

에서 인증서의 Subject(주체) 필드에서 발견한 값에 적용할 수 있는 테스트를 지정합니다. 

tag eq | co | ne | nc string

예:

ciscoasa(config-ca-cert-map)# subject-name attr cn eq mycert 

테스트는 어떤 특성 또는 전체 필드에 적용할 수 있습니다. 규칙당 여러 개의 테스트를 구성할 수 

있으며, 규칙에 따라 인증서가 일치하기 위해서는 이 명령으로 지정하는 모든 테스트의 결과가 
True

여야 합니다. 다음은 유효한 연산자입니다.

eq—

필드 또는 특성이 주어진 값과 같아야 합니다.

ne—

필드 또는 특성이 주어진 값과 같아서는 안 됩니다.

co—

필드 또는 특성의 일부 또는 전체가 주어진 값과 일치해야 합니다.

nc—

필드 또는 특성의 어떤 부분도 주어진 값과 일치해서는 안 됩니다.

실행 중인 구성을 저장합니다.

예:

ciscoasa(config)# write memory