Обсуждение:Cisco ASA/Site-to-Site VPN

Материал из Xgu.ru

Перейти к: навигация, поиск

В разделе настройки tunnel-group для iPsec на сертификатах написали:

"Trustpoint указанная в tunnel-group, будет использоваться для проверки сертификата удаленной стороны."

Но во встроенной справке ASA для этой настройки написано: "Select the trustpoint that identifies the cert to be sent to the IKE peer", что переводится как "выбрать trustpoint, которая идентифицирует сертификат, посылаемый IKE пиру". То есть это не выбор trustpoint для идентификации удалённой стороны, а фактически выбор каким CA должен быть выпущен сертификат, посылаемый удалённому пиру. Разве не так?

То что Вы говорите, правильно. Хорошо, что внимательно читали. :) Спасибо за замечание!
Но еще немного уточню. То, что написано в статье, написано правильно. Просто не хватает фразы о том, что эта же trustpoint нужна для того, чтобы указать какой сертификат отправлять в ответ. Что в принципе, наверное, важнее было указать (но я забыла).
На всякий случай уточню: в настройках ASA разнесено указание "какой сертификат отправлять при инициации туннеля" и "какой сертификат отправлять в ответ":
  • crypto map set trustpoint -- указывает какой сертификат использовать при инициации туннеля
  • trust-point в настройках tunnel-group -- указывает какой сертификат использовать, когда локальная ASA отвечает на запрос (то что говорите Вы), и, используя какой CA, проверить сертификат, который прислали нам (то что написано в статье).
-- Nata 13:53, 25 сентября 2013 (CEST)

Nata, а если стороны туннеля используют сертификаты от разных CA, и отвечать на запрос нужно сертификатом от например CA2 а проверять подлинность удалённой стороны нужно корневым сертификатом CA1, то какой CA тогда указывать в качестве trustpoint в tunnel-group?