以下是一个笔记,用来更新Cisco 28xx系列路由器上的Anyconnect 证书
1. 生成Let’s encrypt 证书。我习惯用getssl
2. 加密private key 这台设备较老,只接受des加密的格式 openssl rsa -des -in privkey.pem -out privkey-enc.pem 这时候会要求输入一个密码,在下文会用到
3. 从private key中提取public key openssl pkey -in privkey.pem -pubout -out pubkey.pem
4. 登陆到路由器并切换到配置模式 enable configure terminal
5. 创建ISRG Root certificate trustpoint crypto pki trustpoint ISRG_Root_X1 chain-validation stop revocation-check none enrollment terminal pem exit
6. 导入ISRG Root certificate (从 https://letsencrypt.org/certs/ 下载) crypto pki authenticate ISRG_Root_X1 粘帖复制证书后回车在新的一行键入quit
7. 创建中间证书 Let’s Encrypt Authority X3 (Signed by ISRG Root X1) 的trustpoint crypto pki trustpoint Lets_Encrypt_Authority_X3_signed_by_ISRG_Root_X1 chain-validation continue ISRG_Root_X1 revocation-check none enrollment terminal pem exit
8. 同样粘帖复制中间证书 (从 https://letsencrypt.org/certs/ 下载) crypto pki authenticate Lets_Encrypt_Authority_X3_signed_by_ISRG_Root_X1 粘帖复制证书后回车在新的一行键入quit
9. 导入路由器证书 crypto pki import host.domain.com-cert pem terminal @Password@ 这里的@Password@ 替换为 #2 中自定义的密码 粘帖复制 Let’s Encrypt Authority X3 的中级证书,也就是在#8 中用过的。在换行后输入quit 粘帖复制 privkey-enc.pem 中的内容,注意不要有空行。在换行后输入quit 最后粘帖复制 #1 中创建的证书。在换行后输入quit 如果一切正常的话应该能看到 "% PEM files import succeeded."
10. 替换原有的证书 这里用到的gateway名字是我本机的,请根据实际情况输入 webvpn gateway gateway_1 ssl trustpoint host.domain.com-cert
90天过期前需要重新更新服务器证书并且重复 #10 步