안녕하세요.
Cisco ASA Remote Access VPN를 이용시 https를 이용하기 때문에 Certificate를 사용합니다.
공인 기관에 인증되지 않은 인증서는 경고 메시지가 발생합니다.
이 문제를 해결 하기 위해서는 아래처럼 2가지 방법이 있습니다.
1. self-signed certificate를 접속하고자 하는 PC에 설치 합니다.
2. 인증 가능한 공인 기관에 SSL Certificate를 구매하고 도메인에 연결 합니다.
이미 인증된 기간에서 SSL Certificate를 구매했기 때문에 더 이상 경고 메시지가 발생 하지 않습니다.
이번에는 2번째 방법에 대해서 알아보겠습니다.
1. cisco ASA에서 key를 생성 합니다.
asa(config)# crypto key generate rsa label vpn modulus 2048 INFO: The name for the keys will be: vpn Keypair generation process begin. Please wait... asa(config)# |
2. Key를 확인 하는 방법
asa# show crypto key mypubkey rsa | begin vpn Key name: vpn Usage: General Purpose Key Modulus Size (bits): 2048 Storage: config Key Data: 30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101 008a1968 524f5442 ab4b9629 4d92c38b 0dad1672 35390527 2b5d8115 c3a9c92c fbc0b5e8 866ce9aa 3fe91bf0 cad5e5ee 805f466c f5382fc7 2f35f40e 7fda934a 9580028a 33ad150b 0b7f6fcb bbbfe0d8 2461ddcf 726c7ec8 ec1cec05 07576f86 9b020301 0001 |
3. CSR를 생성 합니다.
asa(config)# crypto ca trustpoint asa_sp_saml asa(config-ca-trustpoint)# enrollment terminal asa(config-ca-trustpoint)# keypair vpn asa(config-ca-trustpoint)# crl configure asa(config-ca-crl)# crypto ca enroll asa_sp_saml % Start certificate enrollment .. % The subject name in the certificate will be: CN=asa.XXXX.today % The fully-qualified domain name in the certificate will be: asa.XXX.today % Include the device serial number in the subject name? [yes/no]: no Display Certificate Request to terminal? [yes/no]: yes Certificate Request follows: -----BEGIN CERTIFICATE REQUEST----- MIICtjCCAZ4CAQAwNjEWMBQGA1UEAxMNYXNhLmthcC50b2RheTEcMBoGCSqGSIb3 DQEJAhYNYXNhLmthcC50b2RheTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoC ggEBAIoZaFJPVEKrS5YpTZLDiw2tFnI1OQUnK12BFcOpySz7wLXohmzpqj/pG/DK 1eXugF9GbPU4L8cvNfQOf9qTSie3g6Boghb5cFsrc1nDBwXU+LuMgs7wPpC56JyA Lerq8Pxi1Pe0MU5uwmnWY3ENsauxWXDZHEizsME9gbM7pQjfVpeFz2IUZLe+pznF B1f+XcXGzK/QgarBZ+WkAZztlma5teCjpiKWZ+1nvp9kR35usx+LTyEpx1+UWnF4 AQEFBQADggEBAFRgqpYb10CPCfqNYp0rELW6tiCJMB0NeVwUKmVDgZGm7v7s3Hwh e3UO+rpcQdqDe8fLQUhD+kgVVPPXxPabD/T2DA9rxdDY+L05+HHjKLR1PqIMT/fS wdtt70HHuwSYp3g5Su9DGudPOBJ+cHj8767D8P6a1aLLd5yphIw3UPHx+g9yc176 9waHB1NJlrEavYRKceVVkM2HVN4HtbwlifUnzDT6F+R4UEqd+lp89qgseYhCkZvS Fnk4fMwS9KCcKTbziKmLGpqc6XZWX5bioObJBERcHcMZdd9+6nl6dev9PTRE80wE fkZkaj+K1EfExyUNP2/ZKKYW+XCsCGrikOU= -----END CERTIFICATE REQUEST----- |
위에 CSR값을 복사 합니다.
4. My Products 클릭 합니다.
6.아래처럼 standard SSL 옆에 set up를 클릭 합니다.
7. 아래 you can enter CSR코드 버튼을 클릭 합니다.
8. cisco ASA에서 생성한 CSR를 생성 합니다.
아래처럼 CSR 코드를 붙여 넣으면 자동으로 코드안에 도메인이 아래처럼
ASA.XXX.today 보입니다.
저희는 ASA.XXX.today 도메인에 SSL Certificate를 생성하는 작합니다.
10. 작업이 완료 될때까지 기다립니다.
11. cPanel 선택하고 다운로드 버튼을 클릭 합니다.
12. 압축 파일을 풀고 보면 아래처럼 4개 파일이 있습니다.
13. install 버튼을 클릭합니다
아래사진은 깜빡하고 사진 캡처 없이 install했습니다.
14. 그리고 인증서 업로드 버튼을 클릭하고 아래 파일을 선택하고 okay버튼을 누르면 인증서가 설치 완료 됩니다.
15. 인증서를 Remote Access VPN에 선택합니다.
16. Remote Access VPN를 테스트 합니다.
위에처럼 Remote Access VPN를 접속 할때 certificate warming message가 사라졌습니다.
Remote Access VPN 공인 IP주소를 브라우저에 입력합니다.
아래처럼 GUI로 접속해서 인증서 경고 메시지가 발생하지 않습니다.
인증서를 상세하게 보면 아래와 같습니다.
asa.XXX.today는 Godaddy에 verified 되었습니다.
'CISCO > ASA 방화벽' 카테고리의 다른 글
[ASA #10] - Godaddy Domain for remote access VPN (0) | 2025.05.28 |
---|---|
[ASA #09] - Self-Signed Certificate for Remote Access VPN (0) | 2025.04.17 |
[ASA #08] - SSL (0) | 2025.04.17 |
[ASA #07] - NTP and NTP zone configuration (0) | 2025.04.15 |
[ASA #06] - Remote Access VPN current user check (0) | 2025.02.02 |