asa正确生成自签名证书可以让vpn用户，asdm管理者更安全的连接；如果遇到以前没有报错的asa页面，就说明该页面可能是伪造的页面，需要注意。
1. 没有配置证书以前，每次登陆asa管理页面或者webvpn页面，都会出现证书报错；证书报错有以下几种情况：
（1） 不是授信认的根证书服务器所颁发的
（2） 时间有效性，只要当前使用证书的时间，在证书的有效时间内，这个证书就是有效的
（3） 主机名匹配，我所访问的是 10.1.1.10， 而该证书也是颁发给 10.1.1.10；或者使用域名也可以
2. CLI 配置自签名证书过程：
（1）产生秘钥
* crypto key generate rsa label self modulus 1024
（2）产生自签名证书
* crypto ca trustpoint self
* enrollment self
* subject-name cn=10.1.1.1
* keypari self
* fqdn 10.1.1.1
（3）时区，时间一定要正确
* clock timezone GMT+8
* clock set 14:20:00 21 Oct 2014
（4）申请自签名证书
* crypto ca enroll self
（5）在特定接口上使用自签名证书
* ssl trust-point self outside
3. 配置完成在asa上： sh crypto ca certificate self 查看证书配置。
4. 证书配置完成后，需要下次登录asa相关页面时，在ie上保存该证书，从而让以后的访问过程不再出现证书错误提醒；如果某次出现了证书错误，说明该站点是伪造站点，需要注意。