什么是通配符SSL证书？

通配符SSL证书（Wildcard SSL Certificate）就像是一把"万能钥匙"，它可以保护一个主域名及其所有子域名。比如你有一个`*.example.com`的通配符证书，那么`mail.example.com`、`shop.example.com`、`blog.example.com`等所有子域名都可以使用这个证书进行加密通信。

为什么ASA防火墙需要通配符证书？

想象一下，你的企业有几十个对外服务都需要HTTPS加密：

- 员工VPN接入（vpn.company.com）

- 外部邮箱访问（mail.company.com）

- 客户门户（portal.company.com）

- 各种API接口（api.company.com）

如果每个子域名都单独申请证书，不仅费用高昂，管理起来也非常麻烦。而通配符证书一次解决所有问题！

准备工作：获取通配符证书

在开始配置ASA之前，你需要准备好以下材料：

1. CSR文件：这是向CA机构申请证书时生成的请求文件

2. 私钥文件：通常以`.key`结尾，务必妥善保管

3. 证书文件：从CA获得的`.crt`或`.cer`文件

4. 中间证书链：确保包含完整的信任链

*小技巧*：使用OpenSSL检查你的私钥和证书是否匹配：

```bash

openssl x509 -noout -modulus -in certificate.crt | openssl md5

openssl rsa -noout -modulus -in private.key | openssl md5

```

如果两个MD5值相同，说明匹配成功。

ASA导入通配符SSL证书详细步骤

第一步：上传证书文件到ASA

通过ASDM图形界面操作最简单：

1. 登录ASDM管理界面

2. 导航到 `Configuration > Remote Access VPN > Certificate Management > Identity Certificates`

3. 点击"Add"按钮添加新证书

4. 选择"Import a certificate from a file"

5. 上传你的`.crt`文件和对应的`.key`私钥文件

*注意点*：如果私钥有密码保护，需要先解密后再导入。可以使用OpenSSL解密：

openssl rsa -in encrypted.key -out decrypted.key

第二步：安装中间CA证书

大多数情况下，仅安装终端实体证书是不够的。你还需要安装中间CA的信任链：

1. 在ASDM中导航到 `Configuration > Remote Access VPN > Certificate Management > CA Certificates`

2. 点击"Add"添加中间CA证书

3. 通常需要按照从下至上的顺序安装整个信任链

第三步：绑定SSL服务到新证书

现在告诉ASA哪些服务要使用这个新导入的通配符证书：

1. AnyConnect VPN配置：

```

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles

选择你的连接配置文件，在"Certificate"下拉菜单中选择刚导入的证书记录。

2. WebVPN/门户网站配置：

Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal

在"Certificate"部分选择新证书记录。

CLI命令行方法（高级用户）

如果你习惯使用命令行，可以这样操作：

```cisco

! 进入特权模式

enable

configure terminal

! 创建PKI信任点（假设名为WILDCARD-TRUSTPOINT）

crypto ca trustpoint WILDCARD-TRUSTPOINT

enrollment terminal

crl configure

exit

! 粘贴PEM格式的私钥和证书记录（注意包含BEGIN/END标记）

crypto ca import WILDCARD-TRUSTPOINT certificate

[粘贴PEM格式的私钥]

[粘贴PEM格式的终端实体证书记录]

[粘贴PEM格式的中间CA证书记录]

! WebVPN应用配置示例

ssl trust-point WILDCARD-TRUSTPOINT outside

! AnyConnect应用配置示例

webvpn

enable outside

anyconnect image disk0:/anyconnect-win-4.x.x.pkg

anyconnect enable

tunnel-group-list enable

exit

ASA通配符SSL常见问题排查

Q1: ASA不识别我的通配符CN名称？

这是最常见的问题之一。ASA对CN名称的处理有些特殊要求：

? 正确格式：

CN=*.example.com, O=My Company, C=US

? 错误格式：

CN=*example.com (缺少点号)

CN=.example.com (星号位置错误)

Q2: Chrome/Firefox提示不安全连接？

这通常意味着信任链不完整。检查是否安装了所有中间CA：

1. ASDM中查看 `Monitoring > Properties > Certificate Management`

2. CLI下使用 `show crypto ca certificates`

确保终端实体和所有中间CA的状态都是"Available"

Q3: ASA重启后服务不可用？

可能是没有正确保存配置：

CLI下执行：

write memory

copy running-config startup-config

SSL性能优化建议

当你在ASA上部署了多个服务共享同一个通配符SSL时，可以考虑这些优化技巧：

1. 启用会话恢复(Session Resumption)：

```cisco

ssl server-session-timeout [seconds]

ssl server-session-lifetime [seconds]

2. 选择合适的加密套件：

避免使用过时的RC4或DES算法：

ssl cipher tlsv1 high !仅允许高强度算法

3. 监控SSL性能指标：

定期检查连接数和CPU负载关系：

```cisco

show cpu usage | include SSL

show vpn-sessiondb summary

TLS最佳实践与安全加固

除了基本配置外，我强烈建议实施这些安全措施：

1?? 禁用老旧协议版本

```cisco

ssl server-version tlsv1-only !仅允许TLSv1.x

no ssl server-version sslv3 !禁用不安全的SSLV3

2?? 启用OCSP吊销检查

crypto ca trustpoint WILDCARD-TRUSTPOINT

ocsp url http://ocsp.example.com

revocation-check ocsp none

exit

3?? 设置严格的HSTS策略

通过自定义门户页面添加HTTP头：

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

通过这些步骤和优化措施，你的ASA防火墙将能够高效、安全地支持基于通配符SSL的多域名HTTPS服务部署。记得定期更新即将过期的证书记录！

TAG:asa导入通配符ssl证书,ascii2fts导入的数据步骤