Cisco ASA5510 vpn certificate install/import

[MYOEY]

Hallo zusammen,
kann man mehrere certificate für verschiedene vpn-Gruppen auf einer ASA5510 importieren und anschliessend installieren?

Hintergrund: pro VPN-Usergruppe eine bestimmte certificate


Falls ja, wäre ein Link bzw. detaillierte Beschreibung sehr hilfsreich!


Besten Dank im Voraus!

Grüsse

[blackbox]

Hm - verstehe nicht ganz was du machen willst. Willst du SSL Clientless machen - oder warum willst du Certifikate auf der ASA importieren ? Beim VPN bringt doch der Client das Zertifikat mit ? Oder willst du S2S machen - dann kannst du pro S2S natürlich nen Certifikat importieren.

[MYOEY]

ich will veschiedene certificate für verschiedene VPN-Usergruppen mit eToken betreiben.


Auf der ASA unter "Certificate Management findet man zwei Arten von Certificate! Könnte mir jemand bitte den genauen Unterschied und die Verwendung des jeweiligen Typ:

-Identity certificates
-CA Certificates



Besten Dank schonmal!

Grüsse,

[blackbox]

Hi,

dann musst du aber doch nicht die Certifikate auf die ASA laden ? Welche eToken willst du verwenden ?

[MYOEY]

Danke für deine Antwort/Hilfe!

Aladdin eToken

Wo muss ich die Certifikate sonst laden?

Ich dachte die müssen auf der ASA geladen werden.

Die Authentifizierung der VPN-User erfolgt über Cisco ACS.

[Otaku19]

Zitat von blackbox Hi, dann musst du aber doch nicht die Certifikate auf die ASA laden ? Welche eToken willst du verwenden ?

sicher muss da eins auf der ASA sein, entweder ein selbst generiertes oder eben ein importiertes/eines das aus dem enrollment stammt.

Der TE hat eben verschiedene RA VPN Gruppen die wohl unterschiedliche root CAs haben, daher muss die ASA eben auch verschiedene Zertifikate besitzen damit die Clients dem Teil vertrauen können. Nur denke ich nicht das das gehen wird.

[MYOEY]

Hmmm jetzt bin ich aber total verwirrt!!!

Müssen die Certificate doch auf die ASA geladen oder nicht??? falls nicht worauf sonst?

Die Certificate werden auf eine andere Maschine generiert, also nicht auf der ASA.


kann mal jemand Klarheit schaffen?


Danke,

[blackbox]

Sag nochmal - was du genau machen willst (Typ Hersteller)

[MYOEY]

Zwei verschiedene VPN-Usergruppen sollten sich über VPN mit Certificate einwählen können.

Dafür ist folgendes vorgesehen:

-ASA5510
-ACS v4.1
-Aladdin eToken
-Notebooks (Aladdin software drauf installiert)
-Anhand der Certificate sind bestimmte Zugriffsrechte verbunden
-Die Certificate wurden auf einen Server generiert und jeder User(jenach Gruppe) einen eToken mit der richtigen Certificate bekommen.

Die Frage lautet: Wo müßen die Certificate auf der Gegenstelle geladen werden? auf der ASA selber oder wo???

[blackbox]

Da ja eine andere Instanz die Zertifikate ausgestellt hat - muss die ASA ja eine unter Instanz werden (Trust Point) - um diese Zertifikate prüfen zu können. Dann müsste es über die Funktion "Certificate to Connection Profile" klappen - habe ich aber bisher auch noch nie eingesetzt (nur mal beim lesen drüber gestolpert).

Du musst ja nicht mehrere Certifikate auf die ASA laden - die kommen ja vom Client und werden gegen den Trustpoint gecheckt. Danach einem VPN Profil dann zugewiesen über obige Funktion.