Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 11:30



Ответить на тему  [ Сообщений: 13 ] 
ASA и identity certificate SHA-2 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 127
в связи с этим:
http://habrahabr.ru/post/236373/

как на ASA сделать identity certificate SHA-2 ?
ssl на асе даже не знает про такое (9.1 и 9.2):

configure mode commands/options:
3des-sha1 Indicate use of 3des-sha1 for ssl encryption
aes128-sha1 Indicate use of aes128-sha1 for ssl encryption
aes256-sha1 Indicate use of aes256-sha1 for ssl encryption
des-sha1 Indicate use of des-sha1 for ssl encryption
dhe-aes128-sha1 Indicate use of dhe-aes128-sha1 for ssl encryption
dhe-aes256-sha1 Indicate use of dhe-aes256-sha1 for ssl encryption
null-sha1 Indicate use of null-sha1 for ssl encryption (NOTE: Data is
NOT encrypted if this cipher is chosen)
rc4-md5 Indicate use of rc4-md5 for ssl encryption
rc4-sha1 Indicate use of rc4-sha1 for ssl encryption


11 сен 2014, 12:44
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 127
Коллеги, неужели никто не знает как получить SHA2 ?
Мне сейчас генерировать запрос в УД на сертификат для AnyConnect и прям не знаю как быть....


04 мар 2015, 11:56
Профиль

Зарегистрирован: 31 мар 2014, 09:49
Сообщения: 265
Вот, что говорит саппорт циски.

"Начиная с ASA 9.3.2, вместо команды ssl encryption введена команда ssl cipher, и появилась поддержка алгоритма SHA-256:
http://www.cisco.com/c/en/us/td/docs/se ... Id-1724385
При этом, SSL cipher-ы, использующие SHA-256, являются частью протокола TLS v1.2. TLS 1.2 поддерживается клиентом AnyConnect, начиная с версии 4.0:
http://www.cisco.com/c/en/us/td/docs/se ... FECE8A1846
Таким образом, для включения SHA-256 вам понадобится ASA 9.3.2 или выше, и AnyCOnnect 4.0 или выше.
Обращаю внимание, что версия ASA 9.3 доступна только для семейства ASA 5500-X. Для предыдущего семейства ASA 5500 (без Х), доступный софт заканчивается на версии ASA 9.2.
Также обращаю мнимание, что маршрутизаторы Cisco IOS на данный момент поддерживают только TLS 1.0. Поддержка TLS 1.2 в IOS планируется в IOS 15.5."


04 мар 2015, 13:07
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 127
спасибо за ответ
оказалось всё плохо, придётся сидеть на SHA1 и писать инструкции пользователям (чтоб не пугались)


netten писал(а):
Вот, что говорит саппорт циски.

"Начиная с ASA 9.3.2, вместо команды ssl encryption введена команда ssl cipher, и появилась поддержка алгоритма SHA-256:
http://www.cisco.com/c/en/us/td/docs/se ... Id-1724385
При этом, SSL cipher-ы, использующие SHA-256, являются частью протокола TLS v1.2. TLS 1.2 поддерживается клиентом AnyConnect, начиная с версии 4.0:
http://www.cisco.com/c/en/us/td/docs/se ... FECE8A1846
Таким образом, для включения SHA-256 вам понадобится ASA 9.3.2 или выше, и AnyCOnnect 4.0 или выше.
Обращаю внимание, что версия ASA 9.3 доступна только для семейства ASA 5500-X. Для предыдущего семейства ASA 5500 (без Х), доступный софт заканчивается на версии ASA 9.2.
Также обращаю мнимание, что маршрутизаторы Cisco IOS на данный момент поддерживают только TLS 1.0. Поддержка TLS 1.2 в IOS планируется в IOS 15.5."


04 мар 2015, 13:18
Профиль

Зарегистрирован: 21 май 2009, 12:43
Сообщения: 207
Откуда: Москва
AnyConnect 3.1 уже сняли с продажи и скоро наступит EOL:
http://www.cisco.com/c/en/us/products/c ... 34084.html


12 мар 2015, 12:43
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 127
Цитата:
AnyConnect 3.1 уже сняли с продажи и скоро наступит EOL:
http://www.cisco.com/c/en/us/products/c ... 34084.html


Дело не в AnyConnect 3.1 (4-ый на старых ASA работает), а в "Для предыдущего семейства ASA 5500 (без Х), доступный софт заканчивается на версии ASA 9.2."


12 мар 2015, 12:48
Профиль

Зарегистрирован: 21 май 2009, 12:43
Сообщения: 207
Откуда: Москва
zoperz писал(а):
Дело не в AnyConnect 3.1 (4-ый на старых ASA работает), а в "Для предыдущего семейства ASA 5500 (без Х), доступный софт заканчивается на версии ASA 9.2."

А у них ещё EOL не наступил? :)


12 мар 2015, 13:15
Профиль

Зарегистрирован: 21 май 2009, 12:43
Сообщения: 207
Откуда: Москва
Я тут подумал, ведь запрос на сертификат никак не связан с используемым шифрованием SSL-туннеля, а про отказ от TLS 1.0 пока речи не идёт. Так что сейчас можно обновлять сертификаты, а потом включать TLS v1.2.
У меня после замены сертификата вообще ничего не изменилось, даже соединения не порвались :)


10 апр 2015, 17:26
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 127
Цитата:
Я тут подумал, ведь запрос на сертификат никак не связан с используемым шифрованием SSL-туннеля, а про отказ от TLS 1.0 пока речи не идёт. Так что сейчас можно обновлять сертификаты, а потом включать TLS v1.2.


Тема сабжа, собственно из за чего и вопрос был:
http://habrahabr.ru/post/236373/

На версиях ASA 9.1 и 9.2 нельзя сделать запрос на получение сертификата SHA2, причём тут вообще «последующее включение TLS v1.2» ?

Если заказать SHA1 он и будет, хотите потом SHA2 – нужно выпускать заново.


10 апр 2015, 22:56
Профиль

Зарегистрирован: 21 май 2009, 12:43
Сообщения: 207
Откуда: Москва
zoperz писал(а):
На версиях ASA 9.1 и 9.2 нельзя сделать запрос на получение сертификата SHA2, причём тут вообще «последующее включение TLS v1.2» ?

Если заказать SHA1 он и будет, хотите потом SHA2 – нужно выпускать заново.

В запросе хэши не участвуют, их делает CA. А все проверки сертификат подписанный SHA-256 прекрасно проходит на 9.1(5).

Не говоря о том, что некоторые СА бесплатно меняют сертификаты с SHA-1.


12 апр 2015, 01:16
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 127
Да вы правы, хэши не участвуют, но для того чтобы сделать CSR и отправить запрос на получение сертификата, мы генерируем на ASA открытый ключ, я смотрел на ASA 5505 (9.2(2)4 ), а там максимальная длина ключа 2048 - вот я и подумал что нельзя генерировать запрос :-)
Проверил на ASA 5512 с тойже версией софта 9.2(2)4 там можно сделать public key RSA 4096 и соответственно получить Signature Algorithm SHA256 with RSA Encryption.

Сертификат у меня Thawte, бесплатно дают перевыпуск sha1/2.


13 апр 2015, 11:14
Профиль

Зарегистрирован: 21 май 2009, 12:43
Сообщения: 207
Откуда: Москва
Не хочу занудствовать, но длина ключа RSA не связана с алгоритмом хэширования в сертификате. А слишком длинный ключ (больше рекомендованного в 2048 бит) может плохо сказаться на производительности, не давая особых преимуществ в защите.
Ключи длинной 4096 бит применяют для CA со сроком действия в 20 лет.


13 апр 2015, 11:42
Профиль

Зарегистрирован: 18 ноя 2020, 14:02
Сообщения: 30
По поводу не правильного логина в ASDM видимо не только у меня
https://www.reddit.com/r/Cisco/comments ... m_upgrade/


27 окт 2022, 09:10
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 13 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 33


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB