HƯỚNG DẪN CÀI ĐẶT SSL CHO CISCO ACE
Để cài đặt chứng thư số SSL vào thiết bị Cisco ACE, các bạn thực hiện như sau:
1. Import chứng thư số SSL
– Mở terminal đến thiết bị Cisco ACE.
– Từ dấu nhắc lệnh, chạy:
crypto import terminal myrsacert.pem
Sau đó dùng Notepad, copy và paste nội dung trong file certificate.cer (mà chúng tôi đã gửi cho bạn) vào màn hình. Sau đó nhấn Enter xuống dòng và gõ lệnh quit
– Sau khi import thành công, bạn chạy lệnh sau để kiểm tra private key và certificate có khớp nhau hay không:
crypto verify myrsakey.pem myrsacert.pem
Kết quả trả về phải có dạng sau:
keypair in myrsakey.pem matches certificate in myrsacert.pem
2. Import Root CA và Intermediate CA
– Từ dấu nhắc lệnh, chạy lệnh sau:
crypto import terminal root2016.pem
Sau đó dùng Notepad, copy và paste nội dung trong file rootca.cer (mà chúng tôi đã gửi cho bạn) vào màn hình. Sau đó nhấn Enter xuống dòng và gõ lệnh quit
– Từ dấu nhắc lệnh, chạy lệnh sau:
crypto import terminal inter2016.pem
Sau đó dùng Notepad, copy và paste nội dung trong file intermediate.cer (mà chúng tôi đã gửi cho bạn) vào màn hình. Sau đó nhấn Enter xuống dòng và gõ lệnh quit
3. Tạo Certificate Chain Group
– Từ dấu nhắc lệnh, chạy lệnh sau:
crypto chaingroup chaingroup2016
Màn hình sẽ chuyển sang chaingroup configuration mode với dấu nhắc lệnh như sau:
host1/Admin(config-chaingroup)#
– Chạy tiếp lệnh:
cert inter2016.pem
cert root2016.pem
4. Cấu hình SSL Proxy
– Chạy lệnh:
ssl-proxy service proxy-2016
host1/Admin(config-ssl-proxy)#cert myrsacert.pem
host1/Admin(config-ssl-proxy)#key myrsakey.pem
host1/Admin(config-ssl-proxy)#chaingroup chaingroup2016
– Tạo class map:
host1/Admin(config)# class-map match-all 102-vip
host1/Admin(config-cmap)# match virtual-address 172.16.1.102 tcp eq 443
Ví dụ lệnh trên tạo ra class map có tên 102-vip.
– Chạy lệnh:
host1/Admin(config)# policy-map multi-match client-vips
host1/Admin(config-pmap)# class 102-vip
host1/Admin(config-pmap-c)# ssl-proxy server proxy-2016
Tham khảo thêm:
http://docwiki.cisco.com/wiki/SSL_Termination_on_the_Cisco_Application_Control_Engine_Using_an_Existing_Chained_Certificate_and_Key_in_Routed_Mode_Configuration_Example
http://www.cisco.com/c/en/us/td/docs/app_ntwk_services/data_center_app_services/ace_appliances/vA3_1_0/configuration/ssl/guide/sslgd/terminat.html#wp1153082
http://www.cisco.com/c/en/us/td/docs/interfaces_modules/services_modules/ace/vA5_1_0/configuration/ssl/guide/sslgd.pdf