Panduan Membuat CSR (Certificate Signing Request) pada Cisco ASA 5000 Series menggunakan Command Line

Deskripsi

Dokumen ini memberikan instruksi untuk membuat CSR pada Cisco ASA 5000 Series menggunakan Command Line. Jika Anda tidak dapat menggunakan panduan ini pada server Anda, RapidSSL merekomendasikan Anda untuk menghubungi Cisco.

CATATAN: Untuk membuat CSR, Anda perlu membuat pasangan kunci untuk Server Anda. Kedua item ini merupakan pasangan kunci digital certificate dan tidak dapat dipisahkan. Jika Anda kehilangan Public/Private key atau password Anda dan membuat kembali yang baru, Sertifikat SSL Anda tidak akan cocok lagi dan penerbitan ulang sertifikat (Re-Issue) diperlukan.

Langkah 1 : Verifikasi bahwa tanggal, waktu, dan zona waktu akurat.

1.      Anda dapat memverifikasi tanggal, waktu dan zona waktu dengan menjalankan perintah berikut :

ciscoasa#show clock

Sebagai contoh: 11:02:20.244 UTC Thu Jul 19 2012

Langkah 2: Membuat certificate private key

CATATAN: Semua sertifikat yang akan kedaluwarsa setelah Oktober 2013 harus memiliki ukuran kunci 2048-bit.

1.      Sebelum membuat permohonan CSR, Anda harus membuat Private Key. Anda dapat melakukan ini dengan perintah berikut :

ciscoasa#conf t

ciscoasa(config)#crypto key generate rsa label <key_file_name>.key modulus 2048

INFO: Nama untuk kunci akan menjadi: <key_file_name>.key

Proses generate pasangan kunci dimulai. Mohon menunggu.

Langkah 3: Membuat Trustpoint

1.    Setelah Private Key dibuat, Anda akan perlu membuat trustpoint untuk kunci Anda. Ini akan memungkinkan Anda untuk membuat informasi DN untuk CSR baru Anda. Masukkan perintah berikut untuk membuat trustpoint:

ciscoasa(config)#crypto ca trustpoint <key_file_name>.trustpoint

2.    Provide your CSR attributes to  your trustpoint:

ciscoasa(config-ca-trustpoint)#subject-name CN=www.domain.com,OU=Support, O=Company Inc.,C=US,St=California,L=Mountain View

CN= FQDN (Full Qualified Domain Name) yang akan digunakan untuk koneksi ke firewall Anda.

CATATAN: Sertifikat RapidSSL hanya dapat digunakan pada web server yang menggunakan Common Name yang telah ditentukan selama pendaftaran. Misalnya, sertifikat untuk domain "domain.com" akan menerima peringatan jika mengakses situs bernama "www.domain.com" atau "secure.domain.com" karena "www.domain.com" dan "secure.domain.com" berbeda dengan "domain.com".

OU= Department Name. Sebagai contoh: Support

O= Company Name (Hindari menggunakan karakter khusus). Misalnya : Company Inc.

C= Country Code (dua kode negara tanpa tanda baca)

St= State (Harus dijabarkan secara lengkap.) Misalnya: California

L= City

3.    Tentukan pasangan kunci yang di buat di langkah 2:

ciscoasa(config-ca-trustpoint)#keypair <key_file_name>.key

4.   Tentukan Common Name untuk permohonan sertifikat Anda (Harap masukkan FQDN yang telah ditentukan pada langkah 3):

ciscoasa(config-ca-trustpoint)#fqdn www.domain.com 

5.   Tentukan pendaftaran manual:

ciscoasa(config-ca-trustpoint)#enrollment terminal

6.    Keluar dari pendaftaran manual dan mulai permohonan penandatanganan sertifikat Anda.

Ini adalah permintaan untuk dikirimkan ke halaman pendaftaran kami.

Untuk keluar dari pendaftaran manual dan memulai sertifikat Anda, masukkan perintah berikut ini :

ciscoasa(config-ca-trustpoint)#exit

ciscoasa(config)#crypto ca enroll <key_file_name>.trustpoint

CATATAN: Langkah ini akan memulai permohonan penandatanganan sertifikat. Ini adalah permohonan yang akan Anda kirimkan ke RapidSSL selama pendaftaran atau proses pembaruan Anda.

Outputnya akan terlihat seperti contoh berikut ini :

Memulai pendaftaran sertifikat ..

Nama subject dalam sertifikat akan menjadi: CN=www.domain.com,OU=Support,

O=Company Inc.,C=US,St=California,L=Mountain View

7.    Anda sekarang akan diminta untuk memvalidasi informasi yang telah Anda kirimkan.

Informasi akan terlihat seperti contoh berikut :

Nama domain yang sepenuhnya memenuhi syarat dalam sertifikat akan: www.domain.com

CATATAN:  Jangan sertakan nomor seri perangkat dalam nama subjek sertakan nomor seri perangkat dalam nama subjek? [yes/no]: no

8.    Tampilkan file CSR Anda.

Langkah ini akan menampilkan CSR Anda di sesi terminal Anda. Anda akan ingin meng-copy dan paste seluruh file CSR. Pastikan untuk menyertakan "BEGIN CERTIFICATE REQUEST" dan "END CERTIFICATE REQUEST" header dan footer.

9.    Setelah dicopy, paste informasi ini ke editor teks yang tidak menambahkan karakter tambahan seperti NotePad atau Vi (jangan menggunakan Microsoft Word). 

Display Certificate Request to terminal? [yes/no]: yes

       Certificate Request follows:

       -----BEGIN CERTIFICATE REQUEST-----
       MIICwTCCAakCAQAwfDEXMBUGA1UEAxMOd3d3LmRvbWFpbi5jb20xFTATBgNVBAoT
       DENvbXBhbnkgSW5jLjEQMA4GA1UECxMHU3VwcG9ydDEWMBQGA1UEBxMNTW91bnRh
       aW4gVmlldzETMBEGA1UECBMKQ2FsaWZvcm5pYTELMAkGA1UEBhMCVVMwggEiMA0G
       CSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC+ySPuctHzaADLUZXVCk6xlaQcGLOq
       HDCtAQZ0k7M8MLGiGIjEYx2l3+tFO4QivUC9HCOWFxAkBD0rzgAUJL/b513T2iQo
       oXca5dhrAJQgxO1o2LFYt9uHVdJPDpFlWrtf5W5U+K3hdzAwEmqKlsS9LX+Tm7e5
       I/bOAqiTUKB39T7oc7ETy9A5PvqJVc+ZcVuj3VaAZwcKkhLnM9l5xXlyVz0YXzck
       rsZg5VT9y+pqCLPB0yqChbEYARyM0YLiyNAFAZTILqM5Hm1JxqT4X+kQXZ93qGae
       aLRFynfRrzHLoBD8uW6iOHMaaOb+krTA2OUd8Z82c9Io+UxIUid7v9q9AgMBAAGg
       ADANBgkqhkiG9w0BAQQFAAOCAQEAAj9A+T/Q+5V/ufiJr+zKf8Xm3wcafCPxMIRr
       2Phoas1P0AgziAwPI+xfit2s9iGoS7hQ9TCIlCIzgc9kcI4iZrRHWgXGPJcbQ01l
       vScldwuua2wPm9TqEJ/YFwmbtzgRohvDq6I3/zfi//HKGkxLtX1ps/AmYlR7pRmd
       jdBCObw8bKn+ytEcug9CoZwyimS9nn3AJpcJnaXgkLGOEMOhXnab5w8qHNmimPvw
       icec/tsC+n4/BYZ/JvttRHlX03dI189KFrka/16OhCXY7eraOJs9eXnPycS1yZDd
       fCpQitebUCCCZ3X7sHXN2L5b+n+s3rfCICTEVa/9NND4FdK8aQ==
       -----END CERTIFICATE REQUEST-----

       ---End --- (CATATAN: baris ini bukan bagian dari permohonan sertifikat)

       Redisplay enrollment request? [yes/no]: no

       ciscoasa(config)#

10.  Verifikasi CSR

11.  Setelah CSR dibuat dan divalidasi lanjutkan ke pendaftaran.

Cisco

Untuk informasi lebih lanjut silahkan lihat Cisco ASA 5000 series

Disclaimer:

WarungSSL has made efforts to ensure the accuracy and completeness of the information in this document. However, WarungSSL makes no warranties of any kind (whether express, implied or statutory) with respect to the information contained herein. WarungSSL assumes no liability to any party for any loss or damage (whether direct or indirect) caused by any errors, omissions, or statements of any kind contained in this document. Further, WarungSSL assumes no liability arising from the application or use of the product or service described herein and specifically disclaims any representation that the products or services described herein do not infringe upon any existing or future intellectual property rights. Nothing herein grants the reader any license to make, use, or sell equipment or products constructed in accordance with this document. Finally, all rights and privileges related to any intellectual property right described herein are vested in the patent, trademark, or service mark owner, and no other person may exercise such rights without express permission, authority, or license secured from the patent, trademark, or service mark owner. Geotrust reserves the right to make changes to any information herein without further notice.