使用ASDM为ASA注册数字证书

数字证书是搭建SSLVPN中不可或缺的一步，即使安全设备可以生成自己签署的证书，但仍强烈建议使用外部CA(ASA设备使用指南)

环境：

CA证书服务器

ASA

保证两者可以传输文件

1.获得CA证书

ASDM:Configuration > Device Management > CA Certificates 

点击ADD 

 输入信任点名称，选择Install from a file，Browse，导入本地CA证书，最后Install Certificate

导入成功 

2.请求证书

 进入Identity Cerificates

 点击ADD

 输入之前创建的信任点名称，勾选Add a new identity certificate，选择之前注册的密钥对（如果有的话），没有则点击NEW

 可以为密钥对修改名称，选择General purpose，类型选择RSA

然后key pair选择创建好的密钥对，DN一般默认

其中， Generate self-signed certificate为创建自签名证书

要取消勾选Enable CA flag in basic contraints extension

然后会提示你要将证书申请保存在哪里

得到证书申请文件

提交申请，可以选择复制文件信息或者直接申请

 申请完之后保存在本地，导入到ASA中

然后自行将申请传输到CA服务器上，并签署证书

提交证书申请之后，证书应一直处于待定状态，直到CA管理员批准为止。实体证书通过批准之后，选择待定证书请求并点击INSTALL

 然后可以选择直接安装本地的证书文件或粘贴编码的证书，Install Certificate将证书安装到设备中

3.为SSLVPN连接应用实体证书

CLI：ASA（config)#ssl trust-point 信任点名称 接口名

选择应用的外部接口并EDIT

 选择证书并确认

完成