Добрый деньЕсть c3825-adventerprisek9-mz.151-4.M7
Когда настраиваю WebVPN через Cisco Professional configurator и создаю selfsighned certificate то все работает как надо, но каждый раз клиент ругается на самоподписаный сертификат.
Есть годный RapidSSL wildcard certificate для моего домена, работает в apache, jabber и других сервисах предприятия. Хочу его использовать как основной сертификат на cisco вместо самоподписаного.
Импортирую RSA ключ (так как .csr делался не на cisco), root сертификат, inermediate сертификат и потом свой. Все вроде ок, кроме того, что когда свой импортирую получаю ошибку:
dWVIcxB2R94mTLGrNHAnoyb1tfG5xBlJQFTVhD+7oIIJQuNs3cfifCJaXho4lP3s
cewGFuo=
-----END CERTIFICATE-----
quit
Trustpoint 'AAA_WILDCARD' is a subordinate CA.
but certificate is not a CA certificate.
Manual verification required
Certificate has the following attributes:
Fingerprint MD5: 19186E74 1522D1C8 D81CFAA3 92858AE8
Fingerprint SHA1: 0C21DF10 51A30C49 D0B06A20 99987424 83D27E5B% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
При попытке подключить этот сертификат к WebVPN через Cisco Configuration Professional - его нет в списке, при подключении ручками и попытке зайти на адрес webVPN - ошибка в логах:
010260: Dec 4 20:04:00.815 EET: CRYPTO_PKI: (A10DF) Session started - identity selected (AAA_WILDCARD)
010261: Dec 4 20:04:00.815 EET: CRYPTO_PKI: unlocked trustpoint AAA_WILDCARD, refcount is 0
Что я делаю не так и возможно ли вообще то, что я хочу ?
Вот куски конфига:
crypto pki trustpoint TP-self-signed-3482185252
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3482185252
revocation-check none
rsakeypair TP-self-signed-3482185252
!
crypto pki trustpoint root
enrollment terminal
subject-name CN=GeoTrust Global CA,O=GeoTrust Inc.
revocation-check crl
!
crypto pki trustpoint rapidssl
enrollment terminal
subject-name CN=RapidSSL SHA256 CA - G3
revocation-check crl
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
subject-name e=sdmtest@sdmtest.com
revocation-check crl
!
crypto pki trustpoint AAA_WILDCARD
enrollment terminal
usage ssl-server
fqdn *.aaa.aaa.aa
ip-address none
subject-name CN=*.aaa.aaa.aa
chain-validation continue rapidssl
revocation-check crl
rsakeypair AAA_WILDCARD
!
crypto pki certificate chain TP-self-signed-3482185252
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
....
6EE732AD 1513FF15 2DCC9F87 68D30FAE 5EA7A534 6B5EA6EB F2093A72 CB9993C7
8191E1BF 6AA91CAC 3BFFE4C0 4D1517
quit
crypto pki certificate chain root
certificate ca 023456
30820354 3082023C A0030201 02020302 3456300D 06092A86 4886F70D 01010505
00304231 0B300906 03550406 13025553 31163014 06035504 0A130D47 656F5472
....
335F9209 2F88665D 7797C71D 7613A9D5 E5F11609 1135D5AC DB247170 2C98560B
D917B4D1 E3512B5E 75E8D5D0 DC4F34ED C2056680 A1CBE633
quit
crypto pki certificate chain rapidssl
certificate ca 023A77
30820425 3082030D A0030201 02020302 3A77300D 06092A86 4886F70D 01010B05
00304231 0B300906 03550406 13025553 31163014 06035504 0A130D47 656F5472
....
4A74564F 1A554070 7525A633 2EBA4BA5 5D539A0D 30E18D5F 612CAFCC EFB099A1
80FF0BF2 624C7026 98
quit
crypto pki certificate chain test_trustpoint_config_created_for_sdm
crypto pki certificate chain AAA_WILDCARD
certificate ca 00D18B
308204B1 30820399 A0030201 02020300 D18B300D 06092A86 4886F70D 01010B05
00304731 0B300906 03550406 13025553 31163014 06035504 0A130D47 656F5472
....
0942E36C DDC7E27C 225A5E1A 3894FDEC 71EC0616 EA
quit
!
И ключики:
sh crypto key mypubkey rsa
% Key pair was generated at: 01:51:02 EET Nov 10 2014
Key name: TP-self-signed-3482185252
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D391A1
....
3CDBA589 D5158757 FA50F549 A6A00025 CBD6D415 B64A1052 058A9C5F 0D020301 0001
% Key pair was generated at: 01:33:32 EET Nov 29 2014
Key name: AAA_WILDCARD
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable.
Key Data:
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
....
47020301 0001
Спасибо