2011年11月25日 星期五

 2011-11-25更換CSS11506憑證
Suspend service
01.   CLI:service backend-server 171
02.   CLI:suspend
03.   CLI:service backend-server 172
04.   CLI:suspend
05.   CLI:service backend-server 175
06.   CLI:suspend
07.   CLI:service SSL_Front_1
08.   CLI:suspend
09.   CLI:service SSL_Front_2
10.   CLI:suspend

Suspend ssl-proxy-list
01.   CLI:ssl-proxy-list TCBank_PDC_Branch_ssl-accel
02.   CLI:suspend

Upload cert_fcrbrn.2011.cer,cert_fcrbrn_2011.pem
01.   CLI:Create ftp-record leslie-ftp
(由SP從伺服器端產出)
02.   CLI:copy ssl ftp leslie-ftp import cert_fcrbrn_2011.cer PEM "password"
(使用線上SSL Convert將pfx轉成PEM)
03.   CLI:copy ssl ftp leslie-ftp import cert_fcrbrn_2011.pem PEM "password"

Imported RSA certificate and key pair
CLI:ssl associate cert cert_fcrbrn_cert cert_fcrbrn_2011.cer
出現"%% Duplicate association name"
CLI:no ssl associate cert cert_fcrbrn_cert
出現"%% Association in use by a ssl-proxy-list"

查看ssl-proxy-list TCBank_PDC_Branch_ssl-accel下設定
===============================================
CSS11506-2# show run | grep ssl-server
  ssl-server 21
  ssl-server 21 vip address 172.23.2.21
  ssl-server 21 cipher rsa-with-rc4-128-sha 172.23.4.170 81
  ssl-server 21 session-cache 65
  ssl-server 21 ssl-queue-delay 0
  ssl-server 21 tcp server window 40960
  ssl-server 21 tcp virtual window 40960
  ssl-server 21 tcp server ack-delay 0
  ssl-server 21 tcp virtual ack-delay 0
  ssl-server 21 rsakey cert_fcrbrn_withrsa
  ssl-server 21 rsacert cert_fcrbrn_cert
===============================================
需先執行下列rsakey與rsacert刪除的動件
01.   CLI:no ssl-server 21 rsakey cert_fcrbrn_withrsa
02.   CLI:no ssl-server 21 rsacert cert_fcrbrn_cert
再import RSA certificate and key pair
03.   CLI:ssl associate cert cert_fcrbrn_cert cert_fcrbrn_2011.cer
04.   CLI:ssl associate rsakey cert_fcrbrn_withrsa cert_fcrbrn_2011.pem
再於ssl-proxy-list TCBank_PDC_Branch_ssl-accel下設定
05.   CLI:ssl-server 21 rsakey cert_fcrbrn_withrsa
06.   CLI:ssl-server 21 rsacert cert_fcrbrn_cert
Active ssl-proxy-list
01.   CLI:ssl-proxy-list TCBank_PDC_Branch_ssl-accel
02.   CLI:active

Active service
01.   CLI:service backend-server 171
02.   CLI:active
03.   CLI:service backend-server 172
04.   CLI:active
05.   CLI:service backend-server 175
06.   CLI:active
07.   CLI:service SSL_Front_1
08.   CLI:active
09.   CLI:service SSL_Front_2
10.   CLI:active
張貼者: 沒有留言:

2011年11月11日 星期五

Cisco ASA5550無法使用ASDM連線

Cisco ASA5550無法ASDM連線,錯誤訊息為沒有憑證。
檢查start-config發現有一筆設定
ssl certificate-authentication interface INT port 443
將此設定移除後,即可透過ASDM連線。

no ssl certificate-authentication interface INT port 443
張貼者: 沒有留言:
訂閱: 文章 (Atom)