- Enrôlement pour des Certificats numériques Sécurité - ASA - Enrôlement pour des Certificats numériques ccnp_cch
Sommaire ● Introduction ● Générer une paire de clés RSA ccnp_cch ● Présentation de la procédure de configuration ● Comprendre les paires de clés ● Générer une paire de clés RSA ● Créer un point de confiance ● Obtenir les certificats avec SCEP ● Enrôlement auprès de l'autorité de certification ● Gérer les certificats ccnp_cch
Introduction Ce document décrit comment s'enrôler pour un certificat numérique avec l'ASDM. Une fois enrôlé, vous pouvez utiliser le certificat pour authentifier les tunnel VPN LAN à LAN et les tunnels d'accès distants. Si vous avez l'intention d'utiliser uniquement des clés pré-partagées alors vous n'avez pas besoin de ce document. Ce document comprend les sections suivantes: - Présentation de la procédure de configuration - Comprendre les paires de clés - Générer une paire de clés RSA - Créer un point de confiance - Obtenir les certificats avec SCEP - Enrôlement auprès de l'autorité de certification - Gérer les certificats Note: lorsque vous suivez les instructions de document, cliquez sur Help pour plus d'information sur les attributs affichés dans les fenêtres de l'ASDM. Présentation de la procédure de configuration Pour s'enrôler avec une CA et obtenir un certificat d'identité pour l'authentification des tunnels, exécutez les tâches suivantes: Note: Cet exemple montre un enregistrement automatique (SCEP) 1. Créez une paire de clés pour le certificat d'identité. La paire de clés peut être RSA ou DSA. Toutefois pour un enrôlement automatique vous devez utiliser des clés RSA. Les instructions dans les sections qui suivent montrent comment générer une paire de clés RSA. 2. Créez un point de confiance. Le nom du point de confiance de cet exemple est newmsroot. 3. Configurez une URL d'enrôlement. L'URL de cet exemple est http://10.20.30.40/ certsrv/mscep/mscep.dll. 4. Authentifiez la CA 5. Enrôlez-vous avec la CA qui échange le certificat d'identité avec l'ASA. ccnp_cch
Comprendre les paires de clés Chaque extrémité a une paire de clés contenant une clé publique et une clé privée. Ces clés sont complémentaires, toute communication cryptée avec l'une d'elles peut être décryptée avec l'autre. Les paires de clés peuvent être des clés RSA ou DSA. Le support pour ces deux types de clés diffère comme suit: Les clés DSA ne peuvent pas être utilisées pour SSH ou SSL. Pour valider l'accès SSL ou SSH sur une appliance de sécurité, utilisez des clés RSA. L'enrôlement SCEP supporte uniquement la certification de clés RSA. Si vous utili- sez des clés DSA, vous devez utiliser un enrôlement manuel. Pour les besoins de génération de clés, le modulo maximum pour les clés RSA est 2048 et le modulo de clé maximum pour DSA est 1024. La taille par défaut est 1024 pour les deux. Pour les opérations de signature, les tailles maximum de clés sont 4096 bits pour des clés RSA et 1024 bits pour des clés DSA. Vous pouvez générer une paire de clés RSA à usage général pour la signature et le cryptage ou des paires de clés à usages séparés pour chaque besoin respectif, ceci requérant deux certificats pour les identités correspondantes. La valeur par défaut est usage général. Ce thème ne s'applique pas aux paires de clés DSA car elles sont utilisées uniquement pour la signature. Pour configurer une paire de clés pour un certificat, vous spécifiez les étiquettes pour identifier la paire de clés à générer. Les sections suivantes montrent comment générer une paire de clés RSA avec une étiquette particulière et en utilisant l'ASDM et des va- leurs par défaut pour les autres paramètres. Générer une paire de clés RSA Pour générer une paire de clés RSA, exécutez les étapes suivantes: 1. Dans la fenêtre Configuration > Properties > Certificate > Key Pair, cliquez sur Add. 2. Configurez les informations dans la boite de dialogue Add Key Pair: a. Name - Cliquez pour utiliser le nom par défaut ou entrez le nom de la paire de clés. Cet exemple utilise la clé RSA par défaut mais vous pouvez entrer un nom tel que key1. b. Size list - Pour une paire de clés RSA, Size list affiche les options: 512, 768, 1024 ou 2048. La taille par défaut est 1024. Cet exemple prend les valeurs par défaut. ccnp_cch
Créer un point de confiance c. Type - Les options pour Type sont RSA et DSA. Cet exemple prend la valeur par défaut qui est RSA. d. Usage - (Applicable uniquement si Type est RSA.) Les options sont General Pur- pose (une paire pour signature et cryptage) et Special (une paire pour chaque fonction respective). Pour cet exemple, prenez la valeur par défaut (General Purpose). 3. Cliquez sur Generate Now. 4. Pour afficher la paire de clés générée, cliquez sur Show Details. L'ASDM affiche les informations sur la paire de clés. Créer un point de confiance Un point de confiance représente la paire CA/Identité et contient l'identité de la CA, des paramètres de configuration spécifiques à la CA et une association avec un certifi- cat d'identité enrôlée. Pour créer un point de confiance, exécutez les étapes suivantes: 1. Dans la fenêtre Configuration > Properties > Certificate > Trustpoint > Configuration, cliquez sur Add. 2. Configurez les informations de base dans la boite de dialogue Add Trustpoint Configuration. Pour tous les autres paramètres, acceptez les valeurs par défaut. a. Trustpoint Name - Entrez le nom du point de confiance dans le champ Trustpoint Name. Par exemple le nom es newmsroot. ccnp_cch
b. Enrollment URL - Dans la fenêtre Enrollment Settings, sous la zone Enrollment Mode, cliquez sur l'option Use automatic enrollment. Ensuite entrez l'URL d'enrôlement dans le champ. Pour cet exemple, entrez 10.20.30.40/ certsrv/ mscep/mscep.dll. 3. Configurez le nom du sujet en utilisant le nom commun (CN) et le nom de l'unité organisationnelle (OU): a. Dans la fenêtre Enrollment Settings, sélectionnez la paire de clés que vous avez configurée pour ce point de confiance dans la liste Key Pair. Pour cet exemple, la paire de clés est key1. b. Dans la fenêtre Enrollment Settings, cliquez sur Certificate Parameters. c. Pour ajouter les valeurs de noms de sujet (X.500), cliquez sur Edit dans la boite de dialogue Certificate Parameters. d. Dans la zone Edit DN sous DN Attribute to be Added, sélectionnez un attribut dans la liste Attribute et entrez une valeur dans le champ Value. Ensuite cliquez sur Add. Après avoir entré l'information DN, cliquez sur OK. Pour cet exemple, sélectionnez d'abord Common Name (CN), entrez Pat dans le champ Value et cliquez sur Add; ensuite sélectionnez Department (OU) et entrez Techpubs dans le champ Value. La figure suivante montre ce que vous avez entré dans la boite de dialogue Edit DN. 4. Après avoir revu la boite de dialogue, cliquez sur OK puis cliquez sur OK dans les autres boites de dialogue. ccnp_cch
Obtenir des certificats avec SCEP Cette section montre comment configurer des certificats en utilisant SCEP. Répéter les instructions pour chaque point de confiance que vous configurez pour un enrôlement automatique. Une fois que vous avez terminé les instructions pour chaque point de confiance, l'appliance de sécurité reçoit un certificat de la CA pour le point de confian- ce et deux autres certificats pour la signature et le cryptage. Si vous ne suivez pas cet- te procédure, l'appliance de sécurité vous demande de coller le certificat de la CA au format base-64 dans la boite de texte. Si vous utilisez des clés DSA, le certificat reçu est uniquement pour la signature. Si vous utilisez des clés RSA à usage général, le certificat reçu est pour la signature et le cryptage. Si vous utilisez des clés RSA séparées pour la signature et le cryptage, l'application de sécurité reçoit des certificats séparés pour chacun des besoins. Pour obtenir des certificats, exécutez ces étapes: 1. Sélectionnez la fenêtre Configuration >Properties > Certificate > Authentication. 2. Dans la liste Trustpoint Name, sélectionnez le nom du point de confiance. Pour cet exemple, sélectionnez newmsroot. 3. Cliquez sur Authenticate. 4. Cliquez sur Apply. Quand l'ASDM affiche la boite de dialogue Authentication Successful, cliquez sur OK. Enrôlement avec l'autorité de certificat Après avoir configuré le point de confiance et s'être authentifié avec lui, vous pouvez vous enrôler pour un certificat d'identité en exécutant les étapes suivantes: 1. Dans la fenêtre Configuration > Properties > Certificate > Enrollment, sélectio- nez le point de confiance dans la liste Trustpoint Name. Pour cet exemple, vous devrez sélectionner newmsroot. 2. Cliquez sur Enroll. Gérer des certificats Pour gérer des certificats, utilisez la fenêtre Configuration > Properties > Certificate > Manage Certificates. Vous pouvez utiliser cette fenêtre pour ajouter un nouveau certificat et effacer un certi- ficat. Vous pouvez également afficher des informations sur un certificat en cliquant sur Show Details. La boîte de dialogue Certificate Details affiche trois tableaux: General, Subject et Issuer. ccnp_cch
Le tableau General affiche les informations suivantes: Type - CA, RA ou Identity Serial Number - Numéro de série du certificat Status - Disponible ou en attente - Disponible signifie que la CA a accepté la requête d'enrôlement et a généré un certificat d'identité. - En attente signifie que la requête d'enrôlement est toujours en traitement et que la CA n'a pas encore généré de certificat d'identité. Usage - Utilisation générale ou spéciale CDP (CRL Distribution Point) - URL pour obtenir la CRL pour la validation du certificat. Le tableau Subject affiche les informations suivantes: Name - Nom de la personne ou de l'entité qui possède le certificat. Serial number - Numéro de série de l'ASA. Nom des champs de différenciation (X500) pour le sujet du certificat - cn, ou, etc.. Nom de host de celui qui détient le certificat Le tableau Issuer affiche les informations sur les champs de différenciation pour l'entité qui a délivré le certificat: Common Name (CN) Organization Unit ou departement (OU) Organization (o) Locality (I) State (st) Country code (c) Adresse e-mail du générateur (ca) ccnp_cch