Generar CSR en Cisco ASA 5000

Este documento proporciona instrucciones para la generación de la Solicitud de Firma de Certificado (CSR). Si usted no puede utilizar estas instrucciones para su servidor, le recomendamos ponerse en contacto con su proveedor de software.

Para generar un CSR en Cisco ASA 5000, por favor realice los siguientes pasos:

1. Verifique la fecha, la hora y la zona horaria mediante la ejecución del siguiente comando:

ciscoasa#show clock

Por ejemplo: 11:02:20.244 UTC Thu Jul 19 2012

2. Antes de generar una solicitud CSR, debe crear una llave privada. Usted puede hacer esto mediante el siguiente comando:

ciscoasa#conf t

ciscoasa(config)#crypto key generate rsa label <key_file_name>.key modulus 2048

Keypair generation process begin. Please wait…

3. Una vez creada la llave privada, tendrá que crear un trustpoint para su llave. Esto le permitirá generar la información DN para su nuevo CSR. Escriba el siguiente comando para crear su trustpoint.

ciscoasa(config)#crypto ca trustpoint <key_file_name>.trustpoint

4. Proporcione los atributos del CSR a su trustpoint.

ciscoasa(config-ca-trustpoint)#subject-name CN=www.perusecurity.pe,OU=Soporte,O=Peru Media Security S.A.C.,C=PE,St=Lima,L=Lima

CSR

5. Especifique la llave privada creada en el paso 2.

ciscoasa(config-ca-trustpoint)#keypair <key_file_name>.key

6. Especifique el Common Name ingresado en el paso 4.

ciscoasa(config-ca-trustpoint)#fqdn www.perumedia.com.pe

7. Especifique el enrolamiento manual.

ciscoasa(config-ca-trustpoint)#enrollment terminal

8. Salga de la inscripción manual. Para salir de la inscripción manual e iniciar su certificado, ingrese los siguientes comandos:

ciscoasa(config-ca-trustpoint)#exit

ciscoasa(config)#crypto ca enroll <key_file_name>.trustpoint

NOTA: En este paso se inicia la solicitud de firma de certificado.

Start certificate enrollment ..

The subject name in the certificate will be: CN=www.perusecurity.pe,OU=IT,O=Peru Media Security S.A.C.,C=PE,St=Lima,L=Lima

9. Ahora se le pedirá que valide la información que ha enviado. La información se verá como el siguiente ejemplo:

The fully-qualified domain name in the certificate will be: www.perusecurity.pe

NOTA: No incluya el número de serie del dispositivo, en el nombre del sujeto.

Include the device serial number in the subject name? [yes/no]: no

10. Visualice el archivo CSR. Este paso mostrará su CSR en su sesión de terminal. Usted tendrá que copiar y pegar todo el archivo CSR.

Asegúrese de incluir “BEGIN CERTIFICATE REQUEST” y “END CERTIFICATE REQUEST”. Una vez copiado, pegar esta información en un editor de texto que no añada caracteres adicionales (se recomienda utilizar Notepad o Vi).

Display Certificate Request to terminal? [yes/no]: yes

Certificate Request follows:

−−−−−BEGIN CERTIFICATE REQUEST−−−−−

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

−−−−−END CERTIFICATE REQUEST−−−−−

Redisplay enrollment request? [yes/no]: no

ciscoasa(config)#

11. Verifique su CSR.