Мне нужно импортировать новый сертификат в Cisco ASA, как это уже делалось в прошлые годы. У меня есть новый сертификат от Actalis, запрос CSR был создан с помощью команды
openssl req -new -newkey rsa:2048 -nodes -keyout star.domain.it.key -out star.domain.it.csr
(не из ASA). Полученный сертификат
star.domain.it.cer
также содержит промежуточный сертификат.
Это звездный сертификат (*.domain.it), который успешно используется в других приложениях.
Сертификат cer был преобразован в pkc12 с помощью команды
openssl pkcs12 -export -out star.domanin.it.pfx -inkey star.domain.it.key -in star.domain.it.cer
, конечно, с паролем.
Как обычно, я установил новый сертификат с помощью интерфейса ASDM, но получил следующую ошибку:
ОШИБКА: операция импорта PKC12 не удалась. Мне нужна помощь в решении этой проблемы. Спасибо. Фабрицио www.rfc.it

]]>https://sla247.ru/forum/topic/2442/установите-сертификат-идентификации-на-asaRSS for NodeThu, 14 May 2026 19:45:34 GMTMon, 02 Mar 2026 12:44:10 GMT60Привет, У меня была такая же проблема, и вот что я обнаружил. Возможно, это не та же проблема, что и у вас, но похоже, что это она. Проблема связана с MAC (кодом аутентификации сообщения) в сертификате. SHA256 вызывает проблему, а SHA1 — нет. Эта проблема решена в новой версии ASA. Вы можете увидеть это с помощью OPENSSL с опцией -info. Например: в этом сертификате вы можете видеть, что MAC — sha256, и этот сертификат выдает ошибку: [root@redhat tmp]# openssl pkcs12 -in example.crt.pfx -info -noout
MAC: sha256
, Итерация 2048 Длина
MAC: 32, длина соли: 8
PKCS7 Зашифрованные данные: pbeWithSHA1And3-KeyTripleDES-CBC, Итерация 2048 Сумка
сертификатов
Сумка
сертификатов PKCS7 Данные
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Итерация 2048 тот же сертификат, который импортирован в Windows, а затем экспортирован, MAC — sha1: [root@redhat tmp]# openssl pkcs12 -in win_export.pfx -info -noout -passin pass:<password> -passout pass:<password>
MAC: sha1
, итерация 2000 Длина
MAC: 20, длина соли: 20
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, итерация 2000
PKCS7 Encrypted data: pbeWithSHA1And3-KeyTripleDES-CBC, итерация 2000 Вы можете решить эту проблему тремя способами. 1. В Windows выполните импорт и экспорт. По умолчанию Windows установит SHA1, но вы можете выбрать SHA256, и, как я уже сказал, SHA256 не будет работать. 2. С помощью openssl преобразуйте сертификат в .pem, а затем обратно в .pfx или .p12, но с опцией
-legacy 3. С помощью openssl преобразуйте сертификат в .pem, а затем обратно в .pfx или .p12, но определите MAC как SHA1 с опцией
-macalg SHA1.

]]>https://sla247.ru/forum/post/17130https://sla247.ru/forum/post/17130Mon, 02 Mar 2026 12:44:13 GMTВ общем случае ASDM должен уметь устанавливать файлы DER... Можно попробовать преобразовать его в PEM и установить из CLI: openssl base64 -in star.domain.it.pfx -out star.domain.it.p12
crypto ca import <new-trustpoint> pkcs12 <password> Если это не сработает, syslog или «debug crypto ca 14» могут объяснить, что именно не нравится.

]]>https://sla247.ru/forum/post/17129https://sla247.ru/forum/post/17129Mon, 02 Mar 2026 12:44:12 GMTПроблема решена с помощью службы поддержки Cisco. Мне
не совсем ясно, что произошло. Я отправил сертификат pkcs12 в службу поддержки, и они вернули мне рабочий сертификат. Они сказали только, что сертификат был загружен в их тестовую среду, а затем экспортирован для создания нового.
Хотелось бы получить больше подробностей, но это все, что мне сказали. Фабрицио www.rfc.it

]]>https://sla247.ru/forum/post/17128https://sla247.ru/forum/post/17128Mon, 02 Mar 2026 12:44:11 GMT