本帖最后由 xilu2 于 2015-6-24 17:31 编辑 简介
本文以问答的形式简要地描述了对于ASA55xx VPN/防火墙等设备在处理数字证书时的故障切换需求。
Q. 关于ASA 55xx 设备的常规故障切换功能和需求是什么?
Q. 数字证书复制到主备配置?
A.可以。第三方数字证书(如:信托、威瑞信、微软等)被安装在ASA上,之后复制到备用ASA上,进行主备配置。然而, ASA的本地/内置CA生成的证书(用于SSL VPN远程访问)没有复制的到备用ASA。
Q.有没有特定步骤为了执行第三方数字证书复制到主备配置里?
A.ASA的一对主备故障转移的数字证书复制,只发生在大批量复制过程中。
批量复制过程定义如下:
1.ASA设备的电力循环
2. 在主ASA上进行 “write standby”操作
有一个增强请求被认为能够复制证书当时证书导入到ASA(没有特定的时间表定义)。从已导入pkcs12的CSCsr71150-certificates没有复制到备用
Q. 有一个证书被安装在主ASA上,当需要使用SSL VPN远程访问时,是否需要将证书安装在每个ASA?
A.仅需要在主ASA上面安装证书,故障迁移功能会复制相同的证书和秘钥到备用ASA。
原作者:Nelson Rodrigues