- 最終編集日: 、編集者:
JapanTAC_CSC
はじめに
基本はASDMで証明書(ローカルCA除く)はリストアできますが、何らかの理由で証明書やトラストポイントの復元に失敗するケースがあります。 その場合は 当手順を参考頂ければと存じます。
基本的なバックアップ・リストアの方法は以下の記事を参考にしてください。
本ドキュメントの内容は以下のバージョンで確認しております。
ASA5512-X
ASA9.8(2)
ASDM7.8(2)
1.バックアップ&エクスポート
ASA サーバ証明書はコマンドラインでのインポートが必要な為にエクスポートにおいてもコマンドラインでの方法を記載します。
(1)現在の ASA 設定抜粋
crypto ca trustpoint ACTP
enrollment terminal
subject-name CN=asa5512.cisco.local,OU=tac,O=cisco,C=jp
keypair ACTP
crl configure
crypto ca trustpool policy
crypto ca certificate chain ACTP
certificate ca 6957b7edb0d374be4a0051ac70d4b48c
30820359 30820241 a0030201 02021069 57b7edb0 d374be4a 0051ac70 d4b48c30
-snip-
b846c1d6 fcc68c00 11390f6a 44538c13 ef312df0 f2cfebe7 ddcbf85b c0
quit
certificate 6156406b000000000004
30820544 3082042c a0030201 02020a61 56406b00 00000000 04300d06 092a8648
-snip-
ff9a0eea fc5698ae
quit
ssl trust-point ACTP outside
上記では、ACTP というキーペアをもとに ASA5512.cisco.local という CN をもつ ASA サーバ証明書を(検証環境の)CAサーバに署名したものを使用しています。AnyConnect アクセスの際にサーバ証明書が問題ない事を確認済みです。
(2) サーバ証明書を CA 証明書と共に pkcs12 形式でエクスポートします。
asa5512(config)# crypto ca export ACTP pkcs12 ciscocisco
Exported pkcs12 follows:
-----BEGIN PKCS12-----
MIIPxwIBAzCCD4EGCSqGSIb3DQEHAaCCD3IEgg9uMIIPajCCD2YGCSqGSIb3DQEH
-省略-
n8xH4XOYcgICBAA=
-----END PKCS12-----
コマンド構文は以下の通りとなります。
crypto ca export <TrustPoint名> pkcs12 <パスフレーズ>
crypto ca : crypto ca コマンド
export : Export を宣言
<TrustPoint名> : トラストポイント名です。(1)の出力にあるように ACTP がトラストポイント名になります
pkcs12 : PKCS12 形式で出力します
<パスフレーズ> : Import するときに必要なパスフレーズです
コンソールに出力された内容を漏れなくコピーして、テキストファイルなどに保存しておきます。
(3)ASA の設定を ASDM 経由でバックアップします。
ASDM 上部のメニューから Tools > Backup Configurations を選択します。
ASA コンフィグのバックアップが ZIP ファイルで保存されました。
2.新しい ASA に証明書のインポート、および、コンフィグのリストア
RMA 等により新しい ASA にバックアップしていた設定のリストア(復元)を試みます。作業の順番としては「CLIにてトラストポイントの復元」後、ASDM にてバックアップしていたコンフィグのリストアの順番になります。
(1)トラストポイントのインポート
ciscoasa(config)# crypto ca import ACTP pkcs12 ciscocisco
Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
-----BEGIN PKCS12-----
MIIPxwIBAzCCD4EGCSqGSIb3DQEHAaCCD3IEgg9uMIIPajCCD2YGCSqGSIb3DQEH
-snip-
8jsj0dIMYgICBAA=
-----END PKCS12-----
quit
INFO: Import PKCS12 operation completed successfully
ciscoasa(config)#
※上記では1の(2)でエクスポートした証明書をインポートするという内容になります。パスフレーズは1の(2)で使用したものを入力します。
Import が成功すると、証明書情報が確認できます。
ciscoasa(config)# show running-config
―省略―
ASA Version 9.8(2)
!
hostname ciscoasa
―省略―
!
boot system disk0:/asa982-smp-k8.bin
―省略―
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-782.bin
―省略―
user-identity default-domain LOCAL
aaa authentication login-history
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpoint ACTP
keypair ACTP
crl configure
crypto ca trustpool policy
crypto ca certificate chain ACTP
certificate ca 6957b7edb0d374be4a0051ac70d4b48c
30820359 30820241 a0030201 02021069 57b7edb0 d374be4a 0051ac70 d4b48c30
―省略―
b846c1d6 fcc68c00 11390f6a 44538c13 ef312df0 f2cfebe7 ddcbf85b c0
quit
certificate 6156406b000000000004
30820544 3082042c a0030201 02020a61 56406b00 00000000 04300d06 092a8648
―省略―
ff9a0eea fc5698ae
quit
telnet timeout 5
―省略―
: end
ciscoasa(config)#
※上記の出力では、新しいASAのコンフィグはリストア前なので、デフォルトのホスト名 ciscoasa が表示されていますが、ASA サーバ証明書とCA証明書はリストアできております。
(2)コンフィグを ASDM からリストアします。
ASDM 上部のタブの Tools > Restore Configurations を選択します。
次に、バックアップしたZIPファイルを選択します。
次にリストアするメニューを選択します。このとき、Identity Certificates のチェックは外します。これは手順(1)で既にリストア済みの為です。
Restore ボタンを押してレストアを完了させます。リストア後、コンフィグを show running-config コマンドや、ASDMを使用してバックアップと同じ設定内容か確認してください。
3.参考情報
ASDM7.5: Back Up and Restore Configurations or Other Files
- バックアップとリストア機能について詳細は、当URLを参照してください。
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/asdm75/general/asdm-75-general-config/admin-swconfig.html#ID-2152-000009af
ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
