Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Legado SCEP com o uso do guia de configuração de CLI

1 Agosto 2013 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (9 Abril 2013) | Feedback

ID do Documento: 113608

Atualizado em: abril 09, 2013

Contribuído por Atri Basu, engenheiro de TAC da Cisco.

Introdução

 Cuidado: Até à data do 3.0 da liberação de AnyConnect, este método não deve ser usado. Era previamente necessário porque os dispositivos móvéis não tiveram o cliente 3.x, mas agora o androide e os iPhones têm o apoio para o proxy SCEP e aquele deve ser usado. Somente nos casos onde não é apoiado devido à ferramenta de segurança adaptável (ASA), se você configurar o legado SCEP. Contudo, mesmo nos casos a elevação ASA é a opção recomendada.

O protocolo simple certificate enrollment (SCEP) é um protocolo projetado fazer a distribuição e a revogação dos Certificados digitais tão escaláveis como possível. A ideia é que todo o usuário da rede padrão deve poder pedir eletronicamente seu certificado digital com intervenção muito pequena dos administradores de rede. Para as distribuições VPN que exigem o certificado de autenticação com o Certificate Authority (CA) da empresa ou todo o CA da terceira que apoia o SCEP, os usuários podem agora pedir para certificados assinados de suas máquinas cliente sem a participação de seus administradores de rede. Se o usuário quer configurar o ASA como o server de CA, a seguir o SCEP não é método do protocolo apropriado. Refira a seção local de CA do documento “que configura Certificados digitais” pelo contrário.

Até à data do ASA libere 8,3, lá são dois métodos suportados do SCEP:

  1. O método mais velho chamado Legado SCEP é discutido neste documento.
  2. O proxy SCEP é o método mais novo onde os proxys ASA o pedido do certificado de registro em nome do cliente. Este processo está mais limpo porque não exige um grupo de túneis extra, e é igualmente mais seguro. Contudo, o inconveniente é que os trabalhos do proxy SCEP somente com AC liberam 3.x. Isto significa que a versão de cliente atual AC para dispositivos móvéis não apoia o proxy SCEP. Você pode encontrar mais relativo à informação à paridade de recurso entre clientes móveis e a versão de cliente a mais atrasada AC documentada na identificação de bug Cisco CSCtj95743 e verificar os j-comentários.

Pré-requisitos

Requisitos

A Cisco recomenda ter conhecimento deste tópico:

  • Legado SCEP

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Passos de configuração

Quando o legado SCEP é usado, há algumas coisas a recordar:

  1. Depois que o cliente recebeu o certificado assinado, porque o ASA para poder autenticar o cliente deve reconhecer CA que assinou o certificado. Conseqüentemente, você precisa de assegurar-se de que o ASA igualmente se registre com o server de CA. O processo do registro do ASA deve ser a primeira etapa porque estabelece duas coisas:
    1. CA está configurado corretamente e capaz de emitir Certificados através do SCEP, se você usa a URL para o método do registro.
    2. O ASA pode comunicar-se com CA. Conseqüentemente, se seu cliente não pode, a seguir é uma edição entre o cliente e o ASA.
  2. Quando o cliente tenta sua primeira conexão não terá um certificado assinado. Deve haver uma outra opção para autenticar o cliente.
  3. No processo do certificado de registro, o ASA não serve nenhum papel. Serve somente como o agregador VPN de modo que o cliente possa construir um túnel para obter firmemente o certificado assinado. Quando o túnel é estabelecido, a seguir o cliente deve poder alcançar o server de CA. Se não, não é poder registrar-se. 

Passo 1: Registre o ASA

Esta etapa é relativamente fácil e não exige qualquer coisa novo. Refira registrar Cisco ASA a CA usando o SCEP para obter mais informações sobre de como registrar o ASA a CA da terceira.

Passo 2: Configurar o túnel para usar-se para o registro

Como mencionado previamente, para que o cliente possa obtenha um certificado, ele deve poder construir um túnel seguro com o ASA com algum outro método de autenticação. A fim fazer isto, você deve configurar um grupo de túneis que está usado somente para muito a primeira tentativa de conexão quando o cliente faz um pedido do certificado. Está aqui um instantâneo da configuração usada que define este grupo de túneis. As linhas importantes são marcadas nos itálicos e negrito.

rtpvpnoutbound6(config)# show run user
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 0

rtpvpnoutbound6# show run group-policy gp_certenroll
group-policy gp_certenroll internal
group-policy gp_certenroll attributes
wins-server none
dns-server value <dns-server-ip-address>

vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
group-lock value certenroll
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl_certenroll
default-domain value cisco.com
webvpn
anyconnect profiles value pro-sceplegacy type user

rtpvpnoutbound6# show run access-l acl_certenroll
access-list acl_certenroll remark to allow access to the CA server
access-list acl_certenroll standard permit host <ca-server-ipaddress>

rtpvpnoutbound6# show run all tun certenroll
tunnel-group certenroll type remote-access
tunnel-group certenroll general-attributes
address-pool ap_fw-policy
authentication-server-group LOCAL
secondary-authentication-server-group none
default-group-policy gp_certenroll
tunnel-group certenroll webvpn-attributes
authentication aaa
group-alias certenroll enable

Está aqui o perfil do cliente que você pode ou colar a um arquivo e a uma importação do bloco de notas ao ASA, ou você pode o configurar com o Security Device Manager adaptável (ASDM) diretamente:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">false</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">ReconnectAfterResume
    </AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<CertificateEnrollment>
<AutomaticSCEPHost>rtpvpnoutbound6.cisco.com/certenroll</AutomaticSCEPHost>
<CAURL PromptForChallengePW="false" >scep_url</CAURL>
<CertificateImportStore>All</CertificateImportStore>
<CertificateSCEP>
<Name_CN>%USER%</Name_CN>
<KeySize>2048</KeySize>
<DisplayGetCertButton>true</DisplayGetCertButton>
</CertificateSCEP>
</CertificateEnrollment>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false</RetainVpnOnLogoff>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>rtpvpnoutbound6.cisco.com</HostName>
<HostAddress>rtpvpnoutbound6.cisco.com</HostAddress>
</HostEntry>
</ServerList>
</AnyConnectProfile>

Nota: Observe que uma grupo-URL não está configurada para este grupo de túneis. Isto é importante porque o legado SCEP não trabalha a URL. Você deve selecionar o grupo de túneis com seu aliás. Isto é devido à identificação de bug Cisco CSCtq74054Se você experimenta edições devido à grupo-URL você pôde precisar de continuar neste erro. 

Passo 3: Configurar o túnel que deve ser usada pelo cliente para a conexão dos certificados de usuário para a autenticação

Quando o cliente recebeu o certificado assinado ID, pode agora conectar com o certificado de autenticação. Contudo, o grupo de túneis real que o cliente usa ao connnect não foi configurado ainda. Esta configuração é similar a como você configura todo o outro perfil de conexão. Este termo é sinónimo com grupo de túneis e para não ser confundido com o perfil do cliente, que usa o certificado de autenticação. Este é um instantâneo da configuração usada para este túnel:
 

rtpvpnoutbound6(config)# show run access-l acl_fw-policy

access-list acl_fw-policy standard permit 192.168.1.0 255.255.255.0

rtpvpnoutbound6(config)# show run group-p gp_legacyscep
group-policy gp_legacyscep internal
group-policy gp_legacyscep attributes
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl_fw-policy
default-domain value cisco.com
webvpn
anyconnect modules value dart

rtpvpnoutbound6(config)# show run tunnel tg_legacyscep
tunnel-group tg_legacyscep type remote-access
tunnel-group tg_legacyscep general-attributes
address-pool ap_fw-policy
default-group-policy gp_legacyscep
tunnel-group tg_legacyscep webvpn-attributes
authentication certificate
group-alias legacyscep enable
group-url https://rtpvpnoutbound6.cisco.com/legacyscep enable

Renove o certificado de usuário

Quando o certificado de usuário expira ou é revogado, o AnyConnect falha o certificado de autenticação. A única opção é reconectar ao grupo de túneis do certificado de registro a fim provocar outra vez o registro SCEP. 

Verificação

Atualmente, a única situação uma deve usar o legado SCEP é com a utilização dos dispositivos móvéis. Conseqüentemente, esta seção trata somente os clientes móveis. Quando você tenta conectar a primeira vez, incorpore o hostname ou o endereço IP de Um ou Mais Servidores Cisco ICM NT do ASA. Então, certenroll seleto, ou o que grupo aliás você configurou em etapa 2. Você é alertado então para um nome de usuário e senha, e o botão do certificado da obtenção é indicado. Clique o botão do certificado da obtenção. Se você verifica seus registros do cliente, esta saída deve indicar:

[06-22-12 11:23:45:121] <Information> - Contacting https://rtpvpnoutbound6.cisco.com.
[06-22-12 11:23:45:324] <Warning> - No valid certificates available for authentication.
[06-22-12 11:23:51:767] <Information> - Establishing VPN session...
[06-22-12 11:23:51:879] <Information> - Establishing VPN session...
[06-22-12 11:23:51:884] <Information> - Establishing VPN - Initiating connection...
[06-22-12 11:23:52:066] <Information> - Establishing VPN - Examining system...
[06-22-12 11:23:52:069] <Information> - Establishing VPN - Activating VPN adapter...
[06-22-12 11:23:52:594] <Information> - Establishing VPN - Configuring system...
[06-22-12 11:23:52:627] <Information> - Establishing VPN...
[06-22-12 11:23:52:734] <Information> - VPN session established to
   https://rtpvpnoutbound6.cisco.com.

[06-22-12 11:23:52:764] <Information> - Certificate Enrollment - Initiating, Please Wait.
[06-22-12 11:23:52:771] <Information> - Certificate Enrollment - Request forwarded.
[06-22-12 11:23:55:642] <Information> - Certificate Enrollment - Storing Certificate
[06-22-12 11:24:02:756] <Error> - Certificate Enrollment - Certificate successfully
imported. Please manually associate the certificate with your profile and reconnect.

Mesmo que a última mensagem mostre o erro, é informar somente o usuário que esta etapa é necessária para que esse cliente esteja usado para a tentativa de conexão seguinte, que está no segundo perfil de conexão configurado em etapa 3.

Informações Relacionadas

Atualizado em: abril 09, 2013
ID do Documento: 113608

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 113608