Hướng dẫn cài đặt SSL cho Cisco ACE

Ngày đăng: 2016-11-08 12:07:17 | Cập nhật: 2017-11-03 17:46:09

Để cài đặt chứng thư số SSL vào thiết bị Cisco ACE, các bạn thực hiện như sau:

Bước 1: Import chứng thư số SSL

- Mở terminal đến thiết bị Cisco ACE.

- Từ dấu nhắc lệnh, chạy:

crypto import terminal myrsacert.pem

Sau đó dùng Notepad, copy và paste nội dung trong file certificate.cer (mà Derasoft đã gửi cho bạn) vào màn hình. Sau đó nhấn Enter xuống dòng và gõ lệnh quit

- Sau khi import thành công, bạn chạy lệnh sau để kiểm tra private key và certificate có khớp nhau hay không:

crypto verify myrsakey.pem myrsacert.pem

Kết quả trả về phải có dạng sau:

keypair in myrsakey.pem matches certificate in myrsacert.pem

Bước 2: Import Root CA và Intermediate CA

- Từ dấu nhắc lệnh, chạy lệnh sau:

crypto import terminal root2016.pem

Sau đó dùng Notepad, copy và paste nội dung trong file rootca.cer (mà Derasoft đã gửi cho bạn) vào màn hình. Sau đó nhấn Enter xuống dòng và gõ lệnh quit

- Từ dấu nhắc lệnh, chạy lệnh sau:

crypto import terminal inter2016.pem

Sau đó dùng Notepad, copy và paste nội dung trong file intermediate.cer (mà Derasoft đã gửi cho bạn) vào màn hình. Sau đó nhấn Enter xuống dòng và gõ lệnh quit

Bước 3: Tạo Certificate Chain Group

- Từ dấu nhắc lệnh, chạy lệnh sau:

config terminal
crypto chaingroup chaingroup2016

Màn hình sẽ chuyển sang chaingroup configuration mode với dấu nhắc lệnh như sau:

host1/Admin(config-chaingroup)#

- Chạy tiếp lệnh:

cert inter2016.pem
cert root2016.pem

Chạy tiếp lệnh sau để trở về config:

host1/Admin(config-chaingroup)# exit
host1/Admin(config)#

 

Bước 4: Cấu hình SSL Proxy

- Từ dấu nhắc host1/Admin(config)#, chạy lệnh:

ssl-proxy service proxy-2016
host1/Admin(config-ssl-proxy)#cert myrsacert.pem
host1/Admin(config-ssl-proxy)#key myrsakey.pem
host1/Admin(config-ssl-proxy)#chaingroup chaingroup2016
host1/Admin(config-ssl-proxy)#exit
host1/Admin(config)#

- Tạo class map:

host1/Admin(config)#class-map match-all 102-vip 
host1/Admin(config-cmap)#match virtual-address 172.16.1.102 tcp eq 443
host1/Admin(config-cmap)#exit
host1/Admin(config)#

Ví dụ lệnh trên tạo ra class map có tên 102-vip.

- Chạy lệnh:

host1/Admin(config)#policy-map multi-match client-vips 
host1/Admin(config-pmap)#class 102-vip 
host1/Admin(config-pmap-c)#ssl-proxy server proxy-2016
host1/Admin(config-pmap-c)#exit
host1/Admin(config-pmap)#exit
host1/Admin(config)#

Cisco ACE đã tự động cập nhật chứng thư số mới thành công.

Tham khảo thêm:

http://docwiki.cisco.com/wiki/SSL_Termination_on_the_Cisco_Application_Control_Engine_Using_an_Existing_Chained_Certificate_and_Key_in_Routed_Mode_Configuration_Example

http://www.cisco.com/c/en/us/td/docs/app_ntwk_services/data_center_app_services/ace_appliances/vA3_1_0/configuration/ssl/guide/sslgd/terminat.html#wp1153082

http://www.cisco.com/c/en/us/td/docs/interfaces_modules/services_modules/ace/vA5_1_0/configuration/ssl/guide/sslgd.pdf