Cisco ASA5510 vpn certificate install/import

[MYOEY 10]

Hallo zusammen,

kann man mehrere certificate für verschiedene vpn-Gruppen auf einer ASA5510 importieren und anschliessend installieren?

 

Hintergrund: pro VPN-Usergruppe eine bestimmte certificate

 

 

Falls ja, wäre ein Link bzw. detaillierte Beschreibung sehr hilfsreich!

 

 

Besten Dank im Voraus!

 

Grüsse

[blackbox 10]

Hm - verstehe nicht ganz was du machen willst. Willst du SSL Clientless machen - oder warum willst du Certifikate auf der ASA importieren ? Beim VPN bringt doch der Client das Zertifikat mit ? Oder willst du S2S machen - dann kannst du pro S2S natürlich nen Certifikat importieren.

[MYOEY 10]

ich will veschiedene certificate für verschiedene VPN-Usergruppen mit eToken betreiben.

 

 

Auf der ASA unter "Certificate Management findet man zwei Arten von Certificate! Könnte mir jemand bitte den genauen Unterschied und die Verwendung des jeweiligen Typ:

 

-Identity certificates

-CA Certificates

 

 

 

Besten Dank schonmal!

 

Grüsse,

[blackbox 10]

Hi,

 

dann musst du aber doch nicht die Certifikate auf die ASA laden ? Welche eToken willst du verwenden ?

[MYOEY 10]

Danke für deine Antwort/Hilfe!

 

Aladdin eToken

 

Wo muss ich die Certifikate sonst laden?

 

Ich dachte die müssen auf der ASA geladen werden.

 

Die Authentifizierung der VPN-User erfolgt über Cisco ACS.

[Otaku19 33]

Hi,

 

dann musst du aber doch nicht die Certifikate auf die ASA laden ? Welche eToken willst du verwenden ?

 

sicher muss da eins auf der ASA sein, entweder ein selbst generiertes oder eben ein importiertes/eines das aus dem enrollment stammt.

 

Der TE hat eben verschiedene RA VPN Gruppen die wohl unterschiedliche root CAs haben, daher muss die ASA eben auch verschiedene Zertifikate besitzen damit die Clients dem Teil vertrauen können. Nur denke ich nicht das das gehen wird.

[MYOEY 10]

Hmmm jetzt bin ich aber total verwirrt!!!

 

Müssen die Certificate doch auf die ASA geladen oder nicht??? falls nicht worauf sonst?

 

Die Certificate werden auf eine andere Maschine generiert, also nicht auf der ASA.

 

 

kann mal jemand Klarheit schaffen?

 

 

Danke,

[blackbox 10]

Sag nochmal - was du genau machen willst (Typ Hersteller)

[MYOEY 10]

Zwei verschiedene VPN-Usergruppen sollten sich über VPN mit Certificate einwählen können.

 

Dafür ist folgendes vorgesehen:

 

-ASA5510

-ACS v4.1

-Aladdin eToken

-Notebooks (Aladdin software drauf installiert)

-Anhand der Certificate sind bestimmte Zugriffsrechte verbunden

-Die Certificate wurden auf einen Server generiert und jeder User(jenach Gruppe) einen eToken mit der richtigen Certificate bekommen.

 

Die Frage lautet: Wo müßen die Certificate auf der Gegenstelle geladen werden? auf der ASA selber oder wo???

[blackbox 10]

Da ja eine andere Instanz die Zertifikate ausgestellt hat - muss die ASA ja eine unter Instanz werden (Trust Point) - um diese Zertifikate prüfen zu können. Dann müsste es über die Funktion "Certificate to Connection Profile" klappen - habe ich aber bisher auch noch nie eingesetzt (nur mal beim lesen drüber gestolpert).

 

Du musst ja nicht mehrere Certifikate auf die ASA laden - die kommen ja vom Client und werden gegen den Trustpoint gecheckt. Danach einem VPN Profil dann zugewiesen über obige Funktion.

[thematrix 10]

Hi,

 

Wenn Deine ASA keine CA ist (Zertifikatsausteller), dann must due die Root-Zertifikate (CA-Zertifikate) Deiner benutzten CA auf jedenfall installieren. Die ASA fragt ja dann die CA Root Server nach der Gültigkeit der Zertifikate wenn sich einer einloggt.

Du musst unterscheiden zwischen User und Root CA Zertifikate. Die ASA fragt in Deinem Fall nur die CA ob die User der VPN-Gruppen ein gültiges Zertifikat haben.

 

Gruss,

 

thematrix

[MYOEY 10]

@thematrix:

also, die ASA ist in diesem Fall nicht die CA sondern ein anderer Server fungiert als CA und dort werden die Certificates erstellt.

Muss man in dem Fall, die erstellten certificate auf der ASA installieren?

 

Ich habe mal etwas über "certificate revocation list (CRL)" gelesen? muss man die CRL auf der ASA konfigurieren???

 

Frage:

Auf der ASA sieht man folgende Certificate Typen. Könntest man mir bitte die beiden Begriffe erläutern:

 

-Identity Certificates

-CA Certificates

 

Mir ist nicht klar, wofür welche Certificates ist!!!

 

 

Besten Dank im Voraus!

[blackbox 10]

Hallo,

 

nein - die erstellen Certifikate kommen immer auf den Client für den du sie installiert hast. Meldet sich jemand mit Cert an - wird gegen die CA geprüft - da aber die ASA nicht die CA ist - muss sie ein "Unter" Certifikat der CA anfordern (einmalig) - so das sie prüfen kann - ob das Cert OK ist. Dier Cert werden nicht "verglichen" sondern geprüft gegen die CA.

 

Identity Certificates = Das womit der User sich anmeldez

CA Certificates = Das wogegen du prüfst

[thematrix 10]

Hallo,

 

 

wie Blackbox schon geschrieben hat, CA Zertifikate auf der ASA installieren.

Die Clientzertifikate werden nur von den Clients verwendet. Die ASA schaut über Revoke List nach ob ein Zertifikat noch Gültigkeit besitzt oder nicht.

 

 

Gruss,

 

thematrix

[Dunkelmann 96]

Auf der ASA sieht man folgende Certificate Typen. Könntest man mir bitte die beiden Begriffe erläutern:

 

-Identity Certificates

-CA Certificates

 

CA Certificates:

Zertifikate der Zertifizierungsstelle(n)

Diese dienen der Validierung der VPN Zertifikate der Clients durch die ASA

 

Identity Certificates:

Das Zertifikat/Die Zertifikate der ASA

Damit wird die Identität der ASA gegenüber den Clients nachgewiesen.

 

Im Idealfall kommen alle Zertifikate (VPN-Clients und ASA) von einer Zertifizirungsstelle oder aus einer PKI - alles andere wird lästig in der Konfiguration.

 

Für das Clientszertifikat gilt außerdem:

Der Name der im Zertifikat angegebenen OU muss dem Namen der TunnelGroup auf der ASA entsprechen.

Damit lassen sich per OU im Zertifikat und Tunnelgroup auf der ASA verschiedene Zugriffberechtigungen relativ einfach verwalten.

 

PS: Die ASA braucht Zertifikate im Base64 Format