解決済み: LOCAL-CA-SERVERの証明書のインポートついて（ASA to FPR）

turbo · ‎2020-06-02

ASA5516X から、FRP2110-ASAにマイグレーションを行っています。
LOCAL-CA-SERVERを立てて証明書を使用していますので、ドキュメントの
「ASA LOCAL CA サーバのバックアップ方法＆レストア方法」を参考に、
ASAでLOCAL-CA-SERVERの証明書をバックアップし、FPRにリストアを
行いましたが失敗します。

手順、確認すべきポイントなどをご教示いただければ幸いです。

■ バックアップ
■ ASA5516X ( Version 9.12(2)4 )

ciscoasa# show run crypto ca server
crypto ca server
lifetime ca-certificate 3650
lifetime certificate 1460
lifetime crl 10
OTP expiration 720
enrollment-retrieval 720
keysize 2048
keysize server 2048
subject-name-default cn=ciscoasa.xxxx.co.jp
issuer-name cn=ciscoasa.xxxx.co.jp
smtp from-address support-system@xxxx.co.jp
smtp subject cisco Certificate Enrollment Invitation

ciscoasa(config)# crypto ca export LOCAL-CA-SERVER pkcs12 cisco

Exported pkcs12 follows:
-----BEGIN PKCS12-----
MIIJZwIBAzCCCSEGCSqGSIb3DQEHAaCCCRIEggkOMIIJCjCCCQYGCSqGSIb3DQEH
= 省略 =
MAkGBSsOAwIaBQAEFE814TLLFAh044tl2biIjyJOxrTEBBSoSBrwQUalK+98vtC0
UbKJDvHNowICBAA=
-----END PKCS12-----"

■ リストア
■ FPR-2110 ( Version 9.12(3)12 )

ciscoasa(config)#
crypto ca server
lifetime ca-certificate 3650
lifetime certificate 1460
lifetime crl 10
OTP expiration 720
enrollment-retrieval 720
keysize 2048
keysize server 2048
subject-name-default cn=ciscoasa.xxxx.co.jp
issuer-name cn=ciscoasa.xxxx.co.jp
smtp from-address support-system@xxxx.co.jp
smtp subject cisco Certificate Enrollment Invitation

ciscoasa(config)# crypto ca import LOCAL-CA-SERVER pkcs12 cisco

Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
-----BEGIN PKCS12-----
MIIJZwIBAzCCCSEGCSqGSIb3DQEHAaCCCRIEggkOMIIJCjCCCQYGCSqGSIb3DQEH
= 省略 =
MAkGBSsOAwIaBQAEFLd86vY+9IErzZ4vcTYfBqjxo1tkBBT7FNYwBd2TQiWFwMoJ
ep1QQIllKwICBAA=
-----END PKCS12-----
quit
ERROR: Import PKCS12 operation failed

■ 同様の手順でASA5520にリストアを行うと成功します。
■ ASA5520 ( Version 9.12(3)12 )

ciscoasa(config)#
crypto ca server
lifetime ca-certificate 3650
lifetime certificate 1460
lifetime crl 10
OTP expiration 720
enrollment-retrieval 720
keysize 2048
keysize server 2048
subject-name-default cn=ciscoasa.xxxx.co.jp
issuer-name cn=ciscoasa.xxxx.co.jp
smtp from-address support-system@xxxx.co.jp
smtp subject cisco Certificate Enrollment Invitation

ciscoasa(config)# crypto ca import LOCAL-CA-SERVER pkcs12 cisco

Enter the base 64 encoded pkcs12.
End with the word "quit" on a line by itself:
-----BEGIN PKCS12-----
MIIJZwIBAzCCCSEGCSqGSIb3DQEHAaCCCRIEggkOMIIJCjCCCQYGCSqGSIb3DQEH
= 省略 =
MAkGBSsOAwIaBQAEFLd86vY+9IErzZ4vcTYfBqjxo1tkBBT7FNYwBd2TQiWFwMoJ
ep1QQIllKwICBAA=
-----END PKCS12-----
quit
INFO: Import PKCS12 operation completed successfully

■ リストア前の作業として、
configの初期化を行い、全ての証明書を削除して
show crypto key mypubkey rsa
show crypto ca trustpoints
コマンドにて、何も表示されない状態から手順を実行しています。

どうぞよろしくお願いいたします。

Akira Muranaka · ‎2020-06-04

簡単にですが実機でも確認してみました。

以下はASA 9.12系利用時の実機の操作例ですが、利用非推奨(deprecated )と警告表示がでます。

ASA5555# conf t
ASA5555(config)# crypto ca server ?

configure mode commands/options:
  <cr>

exec mode commands/options:
  crl       (DEPRECATED) CRL commands for Local Certificate Server
  revoke    (DEPRECATED) Revoke a certificate issued by the Local Certificate Server
  unrevoke  (DEPRECATED) Un-revoke a revoked certificate issued by the Local Certificate Server
  user-db   (DEPRECATED) Manage Local Certificate Server end users
ASA5555(config)# crypto ca server
WARNING: The crypto ca server command is being deprecated and will be removed in a future release.
ASA5555(config-ca-server)# sh ver | in Ver
Cisco Adaptive Security Appliance Software Version 9.12(3)9
SSP Operating System Version 2.6(1.192)
Device Manager Version 7.12(2)
Baseboard Management Controller (revision 0x1) Firmware Version: 2.1

ASA 9.13以降では完全にコマンドも入力不可となってるようです。。

FPR2120# conf t
FPR2120(config)# crypto ca server ?
ERROR: % Unrecognized command
FPR2120(config)# crypto ca server
                           ^
ERROR: % Invalid input detected at '^' marker.
FPR2120(config)# sh ver | in Ver
Cisco Adaptive Security Appliance Software Version 9.13(1)7
SSP Operating System Version 2.7(1.122)
Device Manager Version 7.14(1)

元の投稿で解決策を見る

turbo · ‎2020-06-12

サポートありがとうございます。

ASA9.12は、警告は出るもののまだ大丈夫だと思っていましたが、9.12(3)からダメになったようです。

素直に、ASA9.8(4)22 に変更して、無事にimportする事ができました。

外部CA局に置き換える事は継続して検討したいと思います。

元の投稿で解決策を見る

Akira Muranaka · ‎2020-06-03

こんばんは！

ASAのLocal CA サーバー機能は利用はあまり推奨されてない機能(※)だったかと思うので、検証用途でさくっとCAサーバー立てたい場合を除き、新規導入ではあまり使わないほうがいい機能かと思います。CAは、セキュリティ上からもパブリックCAを利用するのが理想です。（※検証やCCNP/CCIE勉強などで使う Cisco IOSルーターの Local CAサーバ機能と同じ類のものだと個人的に思ってます。）

以下はリリースノートの抜粋ですが、Local CA サーバー機能は ASA 9.12(1)で機能廃止と記載もあるため、この縛りでインポートできない可能性はないでしょうか。仮にインポートが成功したとしても、その後のCAサーバーとして正しく動作するか、及びその動作が保証されるかは怪しいかもしれません。
https://www.cisco.com/c/en/us/td/docs/security/asa/asa912/release/notes/asarn912.html

Local CA server is deprecated in 9.12(1), and will be removed in a later release. When ASA is configured as local CA server, it is enabled to issue digital certificates, publish Certificate Revocation Lists (CRLs), and securely revoke issued certificates. This feature has become obsolete and hence the crypto ca server command is deprecated.

すぐにCAを移行できない、など何らかの理由で一時的にでも利用されたい場合は、FPR2100は ASA 9.8系を利用して試してみるのは如何でしょうか。

あと、気になったのは、「ERROR: Import PKCS12 operation failed」のエラーは、パスワードの入力間違いで発生することがあると思うので、念のためパスワードを再確認してインポートしてみるとどうかな、と思います。合わせ、仮にFPR2100でスマートライセンス認証を行ってない場合は、高度暗号機能の利用に制限がかかるので、一旦スマートライセンス認証を行ってみてから再度トライもありかと思います。

ご参考になれば！

Akira Muranaka · ‎2020-06-04

簡単にですが実機でも確認してみました。

以下はASA 9.12系利用時の実機の操作例ですが、利用非推奨(deprecated )と警告表示がでます。

ASA5555# conf t
ASA5555(config)# crypto ca server ?

configure mode commands/options:
  <cr>

exec mode commands/options:
  crl       (DEPRECATED) CRL commands for Local Certificate Server
  revoke    (DEPRECATED) Revoke a certificate issued by the Local Certificate Server
  unrevoke  (DEPRECATED) Un-revoke a revoked certificate issued by the Local Certificate Server
  user-db   (DEPRECATED) Manage Local Certificate Server end users
ASA5555(config)# crypto ca server
WARNING: The crypto ca server command is being deprecated and will be removed in a future release.
ASA5555(config-ca-server)# sh ver | in Ver
Cisco Adaptive Security Appliance Software Version 9.12(3)9
SSP Operating System Version 2.6(1.192)
Device Manager Version 7.12(2)
Baseboard Management Controller (revision 0x1) Firmware Version: 2.1

ASA 9.13以降では完全にコマンドも入力不可となってるようです。。

FPR2120# conf t
FPR2120(config)# crypto ca server ?
ERROR: % Unrecognized command
FPR2120(config)# crypto ca server
                           ^
ERROR: % Invalid input detected at '^' marker.
FPR2120(config)# sh ver | in Ver
Cisco Adaptive Security Appliance Software Version 9.13(1)7
SSP Operating System Version 2.7(1.122)
Device Manager Version 7.14(1)

turbo · ‎2020-06-05

利用非推奨であることは承知していたのですが、今までもそのメッセージは出力されていたので継続利用できると思っていました。

＞ASA 9.13以降では完全にコマンドも入力不可となってるようです。。

そこまでは試していませんでしたが、コマンドが入らないのであれば完全に使用不可ですね。

これを機会に外部CA局を検討せざるを得ないことが分かりました。

turbo · ‎2020-06-12

サポートありがとうございます。

ASA9.12は、警告は出るもののまだ大丈夫だと思っていましたが、9.12(3)からダメになったようです。

素直に、ASA9.8(4)22 に変更して、無事にimportする事ができました。

外部CA局に置き換える事は継続して検討したいと思います。