|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
ASA и identity certificate SHA-2
Автор |
Сообщение |
zoperz
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 127
|
в связи с этим: http://habrahabr.ru/post/236373/как на ASA сделать identity certificate SHA-2 ? ssl на асе даже не знает про такое (9.1 и 9.2): configure mode commands/options: 3des-sha1 Indicate use of 3des-sha1 for ssl encryption aes128-sha1 Indicate use of aes128-sha1 for ssl encryption aes256-sha1 Indicate use of aes256-sha1 for ssl encryption des-sha1 Indicate use of des-sha1 for ssl encryption dhe-aes128-sha1 Indicate use of dhe-aes128-sha1 for ssl encryption dhe-aes256-sha1 Indicate use of dhe-aes256-sha1 for ssl encryption null-sha1 Indicate use of null-sha1 for ssl encryption (NOTE: Data is NOT encrypted if this cipher is chosen) rc4-md5 Indicate use of rc4-md5 for ssl encryption rc4-sha1 Indicate use of rc4-sha1 for ssl encryption
|
11 сен 2014, 12:44 |
|
|
zoperz
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 127
|
Коллеги, неужели никто не знает как получить SHA2 ? Мне сейчас генерировать запрос в УД на сертификат для AnyConnect и прям не знаю как быть....
|
04 мар 2015, 11:56 |
|
|
netten
Зарегистрирован: 31 мар 2014, 09:49 Сообщения: 265
|
Вот, что говорит саппорт циски. "Начиная с ASA 9.3.2, вместо команды ssl encryption введена команда ssl cipher, и появилась поддержка алгоритма SHA-256: http://www.cisco.com/c/en/us/td/docs/se ... Id-1724385При этом, SSL cipher-ы, использующие SHA-256, являются частью протокола TLS v1.2. TLS 1.2 поддерживается клиентом AnyConnect, начиная с версии 4.0: http://www.cisco.com/c/en/us/td/docs/se ... FECE8A1846Таким образом, для включения SHA-256 вам понадобится ASA 9.3.2 или выше, и AnyCOnnect 4.0 или выше. Обращаю внимание, что версия ASA 9.3 доступна только для семейства ASA 5500-X. Для предыдущего семейства ASA 5500 (без Х), доступный софт заканчивается на версии ASA 9.2. Также обращаю мнимание, что маршрутизаторы Cisco IOS на данный момент поддерживают только TLS 1.0. Поддержка TLS 1.2 в IOS планируется в IOS 15.5."
|
04 мар 2015, 13:07 |
|
|
zoperz
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 127
|
спасибо за ответ оказалось всё плохо, придётся сидеть на SHA1 и писать инструкции пользователям (чтоб не пугались) netten писал(а): Вот, что говорит саппорт циски. "Начиная с ASA 9.3.2, вместо команды ssl encryption введена команда ssl cipher, и появилась поддержка алгоритма SHA-256: http://www.cisco.com/c/en/us/td/docs/se ... Id-1724385При этом, SSL cipher-ы, использующие SHA-256, являются частью протокола TLS v1.2. TLS 1.2 поддерживается клиентом AnyConnect, начиная с версии 4.0: http://www.cisco.com/c/en/us/td/docs/se ... FECE8A1846Таким образом, для включения SHA-256 вам понадобится ASA 9.3.2 или выше, и AnyCOnnect 4.0 или выше. Обращаю внимание, что версия ASA 9.3 доступна только для семейства ASA 5500-X. Для предыдущего семейства ASA 5500 (без Х), доступный софт заканчивается на версии ASA 9.2. Также обращаю мнимание, что маршрутизаторы Cisco IOS на данный момент поддерживают только TLS 1.0. Поддержка TLS 1.2 в IOS планируется в IOS 15.5."
|
04 мар 2015, 13:18 |
|
|
navion
Зарегистрирован: 21 май 2009, 12:43 Сообщения: 207 Откуда: Москва
|
AnyConnect 3.1 уже сняли с продажи и скоро наступит EOL: http://www.cisco.com/c/en/us/products/c ... 34084.html
|
12 мар 2015, 12:43 |
|
|
zoperz
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 127
|
Дело не в AnyConnect 3.1 (4-ый на старых ASA работает), а в "Для предыдущего семейства ASA 5500 (без Х), доступный софт заканчивается на версии ASA 9.2."
|
12 мар 2015, 12:48 |
|
|
navion
Зарегистрирован: 21 май 2009, 12:43 Сообщения: 207 Откуда: Москва
|
zoperz писал(а): Дело не в AnyConnect 3.1 (4-ый на старых ASA работает), а в "Для предыдущего семейства ASA 5500 (без Х), доступный софт заканчивается на версии ASA 9.2." А у них ещё EOL не наступил?
|
12 мар 2015, 13:15 |
|
|
navion
Зарегистрирован: 21 май 2009, 12:43 Сообщения: 207 Откуда: Москва
|
Я тут подумал, ведь запрос на сертификат никак не связан с используемым шифрованием SSL-туннеля, а про отказ от TLS 1.0 пока речи не идёт. Так что сейчас можно обновлять сертификаты, а потом включать TLS v1.2. У меня после замены сертификата вообще ничего не изменилось, даже соединения не порвались
|
10 апр 2015, 17:26 |
|
|
zoperz
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 127
|
Цитата: Я тут подумал, ведь запрос на сертификат никак не связан с используемым шифрованием SSL-туннеля, а про отказ от TLS 1.0 пока речи не идёт. Так что сейчас можно обновлять сертификаты, а потом включать TLS v1.2. Тема сабжа, собственно из за чего и вопрос был: http://habrahabr.ru/post/236373/На версиях ASA 9.1 и 9.2 нельзя сделать запрос на получение сертификата SHA2, причём тут вообще «последующее включение TLS v1.2» ? Если заказать SHA1 он и будет, хотите потом SHA2 – нужно выпускать заново.
|
10 апр 2015, 22:56 |
|
|
navion
Зарегистрирован: 21 май 2009, 12:43 Сообщения: 207 Откуда: Москва
|
zoperz писал(а): На версиях ASA 9.1 и 9.2 нельзя сделать запрос на получение сертификата SHA2, причём тут вообще «последующее включение TLS v1.2» ?
Если заказать SHA1 он и будет, хотите потом SHA2 – нужно выпускать заново. В запросе хэши не участвуют, их делает CA. А все проверки сертификат подписанный SHA-256 прекрасно проходит на 9.1(5). Не говоря о том, что некоторые СА бесплатно меняют сертификаты с SHA-1.
|
12 апр 2015, 01:16 |
|
|
zoperz
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 127
|
Да вы правы, хэши не участвуют, но для того чтобы сделать CSR и отправить запрос на получение сертификата, мы генерируем на ASA открытый ключ, я смотрел на ASA 5505 (9.2(2)4 ), а там максимальная длина ключа 2048 - вот я и подумал что нельзя генерировать запрос Проверил на ASA 5512 с тойже версией софта 9.2(2)4 там можно сделать public key RSA 4096 и соответственно получить Signature Algorithm SHA256 with RSA Encryption. Сертификат у меня Thawte, бесплатно дают перевыпуск sha1/2.
|
13 апр 2015, 11:14 |
|
|
navion
Зарегистрирован: 21 май 2009, 12:43 Сообщения: 207 Откуда: Москва
|
Не хочу занудствовать, но длина ключа RSA не связана с алгоритмом хэширования в сертификате. А слишком длинный ключ (больше рекомендованного в 2048 бит) может плохо сказаться на производительности, не давая особых преимуществ в защите. Ключи длинной 4096 бит применяют для CA со сроком действия в 20 лет.
|
13 апр 2015, 11:42 |
|
|
ivldenis
Зарегистрирован: 18 ноя 2020, 14:02 Сообщения: 30
|
По поводу не правильного логина в ASDM видимо не только у меня https://www.reddit.com/r/Cisco/comments ... m_upgrade/
|
27 окт 2022, 09:10 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 33 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|