Cisco + OpenSSL Windows: установка мульти-доменных сертификатов UCC/SAN (Subject Alternative Name)

Для получения сертификата UCC создается запрос Certificate Signing request (CSR) с заданными параметрами SAN, которые должны присутствовать в конечном сертификате. С помощью утилит Cisco и в CLI можно создать CSR только для одного домена. И в параметрах Trustpoint возможно задать только одно значение FQDN ( CSCso70867 Bug Details ). Поэтому CSR будет создаваться внешними средствами, а точнее средствами OpenSSL...

1. Для начала нужно будет скачать и установить OpenSSL for Windows здесь (Win32 OpenSSL v1.0.1c.exe), либо см.прикрепленные файлы (путь установки по умолчанию: C:\OpenSSL-Win32\..).

2. В Cisco генерируем RSA-ключи и создаем Trustpoint с получением сертификатов в ручном режиме (через CLI, 'enrollment terminal'). Ключи в дальнейшем будут экспортированы для создания CSR, но экспорт ключей возможен после того, как они будут привязаны к конкретному Trustpoint:
, здесь в качестве FQDN указано некое общее имя vpn.mydomain.com. В дальнейшем, оно будет не так критично при подключениях, т.к. реальные доменные имена SSL будут указаны в поле SAN.

3. Экспортируем Trustpoint с ключом в формате PKCS12 на терминал (в CLI):
, в Windows создаем для удобства отдельную папку и файл в ней 'C:\OpenSSL-Win32\bin\my_cert\trustpoint.file' и копируем в файл строчки от BEGIN до END, включительно.

4. Через командную строку Windows (cmd) необходимо настроить OpenSSL для указания файла конфигурации (openssl.cfg), поскольку по-умолчанию используется несуществующий файл 'openssl.cnf':
, после, можно изменить максимальную длину пароля, указываемого при запросе сертификата: в openssl.cfg изменяем значение параметра 'challengePassword_max = 40' (необходимо в том случае, если CA используются enrollments challenge password большой длины; если он вообще используется при ручном запросе через Web-интерфейс).

5. Далее в OpenSSL конвертируем base64-формат содержимого файла 'trustpoint.file' в формат PEM:
, последняя команда запросит ввести пароль, которым был защищен экспортированный MY-TRUSTPOINT (PaSsWoRd). После чего будет выведена информация, в том числе закрытый ключ. Его необходимо скопировать в текстовый документ, для удобства переименуем и сохраним его как: ..\my_cert\private.key.

6. Теперь, получив закрытый ключ, создается CSR, все также с помощью OpenSSL. Но в интерактивном режиме командной строки OpenSSL не предложит ввести значения параметра SAN. Этот параметр необходимо вручную создать/изменить в файле конфигурации openssl.cfg. Добавляем/изменяем поля аналогично как в примере:
, здесь в секции 'alt_names' указываются все домены (SANs), которые должны присутствовать в CSR.

7. Генерация файла запроса CSR:
, проверить правильность сформированного запроса можно, выполнив команду:
8. Запрос сертификата в ручном режиме посредством Web-интерфейса CA (к примеру, CA расположен на сервере MYCA.GL, где запущена служба/роль IIS и web-enrollment). В браузере:
, проверяем статус сертификата, скачиваем и сохраняем в '..my_cert\certnew.cer'.

9. Импорт сертификата в Cisco:
, далее копируем все содержимое файла 'certnew.cer' в CLI Cisco. Таким образом получен сертификат Cisco с параметром SAN, с альтернативными доменными именами.

10. Аутентификация самого сервера выдачи сертификата CA:
, далее копируем содержание Self-Signed сертификата сервера CA, т.е. сертификат самого MYCA.GL.

Теперь в папке 'C:\OpenSSL-Win32\bin\my_cert' хранятся все промежуточные итоги: закрытый ключ, сертификаты и пр., которые можно повторно использовать, не выполняя все вышеописанные шаги, либо удалить для безопасности.