Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Legs SCEP avec l'utilisation du guide de configuration CLI

5 août 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (9 avril 2013) | Commentaires

Introduction

 Attention : En date de la version 3.0 d'AnyConnect, cette méthode ne devrait pas être utilisée. Il était précédemment nécessaire parce que les périphériques mobiles n'ont pas eu le client 3.x, mais maintenant l'androïde et les iPhones ont le soutien du proxy SCEP et cela devrait être utilisé. Seulement dans les cas où il n'est pas pris en charge en raison de l'appliance de sécurité adaptable (ASA), devriez vous configurer le legs SCEP. Cependant, même dans des ces cas ASA la mise à jour est l'option recommandée.

L'inscription de certificat simple Protocol (SCEP) est un protocole conçu pour faire la distribution et la révocation des Certificats numériques aussi extensibles comme possible. L'idée est que n'importe quel utilisateur du réseau standard devrait pouvoir demander leur certificat numérique électroniquement avec l'intervention très petite des administrateurs réseau. Pour les déploiements VPN qui exigent l'authentification de certificat avec l'Autorité de certification (CA) ou n'importe quelle tierce partie CA d'entreprise qui prend en charge SCEP, les utilisateurs peuvent maintenant demander pour les Certificats signés de leurs machines cliente sans implication de leurs administrateurs réseau. Si l'utilisateur veut configurer l'ASA en tant que serveur CA, alors SCEP n'est pas méthode appropriée de protocole. Référez-vous à la section des gens du pays CA du document « configurant des Certificats numériques » à la place.

En date de la version 8.3 ASA, il y a deux méthodes prises en charge de SCEP :

  1. La méthode plus ancienne appelée Legacy SCEP est discutée dans ce document.
  2. Le proxy SCEP est la méthode plus nouvelle où les proxys ASA la demande d'inscription de certificat au nom du client. Ce processus est plus propre parce qu'il n'exige pas un groupe supplémentaire de tunnel, et est également plus sécurisé. Cependant, l'inconvénient est que les travaux de proxy SCEP seulement avec le courant alternatif libèrent 3.x. Ceci signifie que la version du client à C.A. de courant pour des périphériques mobiles ne prend en charge pas le proxy SCEP. Vous pouvez trouver plus relatif à l'information à la parité de caractéristique entre les clients mobiles et dernière la version du client à C.A. documentée dans l'ID de bogue Cisco CSCtj95743 et vérifier les j-commentaires.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez la connaissance de ce thème :

  • Legs SCEP

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Étapes de configuration

Quand le legs SCEP est utilisé, il y a quelques choses à se souvenir :

  1. Après que le client ait reçu le certificat signé, parce que l'ASA pour pouvoir authentifier le client elle devrait identifier le CA qui a signé le certificat. Par conséquent, vous devez s'assurer que l'ASA s'est également inscrite avec le serveur CA. Le procédé d'inscription de l'ASA devrait être la première étape parce qu'il établit deux choses :
    1. Le CA est configuré correctement et capable délivrer des Certificats par l'intermédiaire de SCEP, si vous utilisez l'URL pour la méthode d'inscription.
    2. L'ASA peut communiquer avec le CA. Par conséquent, si votre client ne peut pas, puis c'est une question entre le client et l'ASA.
  2. Quand le client tente sa première connexion elle n'aura pas un certificat signé. Il doit y avoir une autre option d'authentifier le client.
  3. Dans le procédé d'inscription de certificat, l'ASA ne sert aucun rôle. Il sert seulement d'agrégateur VPN de sorte que le client puisse construire un tunnel pour obtenir sécurisé le certificat signé. Quand le tunnel est établi, alors le client doit pouvoir atteindre le serveur CA. Autrement, il n'est pas de pouvoir s'inscrire. 

Étape 1 : Inscrivez-vous l'ASA

Cette étape est relativement facile et n'exige rien nouveau. Référez-vous à s'inscrire Cisco ASA à un CA utilisant SCEP pour plus d'informations sur la façon s'inscrire l'ASA à une tierce partie CA.

Étape 2 : Configurez le tunnel pour l'utiliser pour l'inscription

Comme mentionné précédemment, pour que le client puissiez obtienne un certificat, il doit pouvoir construire un tunnel sécurisé avec l'ASA par une autre méthode d'authentification. Afin de faire ceci, vous devez configurer un groupe de tunnels qui est seulement utilisé pour la toute première tentative de connexion quand le client fait une demande de certificat. Voici un instantané de la configuration utilisée qui définit ce groupe de tunnels. Les importantes lignes sont marquées en italique.

rtpvpnoutbound6(config)# show run user
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 0

rtpvpnoutbound6# show run group-policy gp_certenroll
group-policy gp_certenroll internal
group-policy gp_certenroll attributes
wins-server none
dns-server value <dns-server-ip-address>

vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
group-lock value certenroll
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl_certenroll
default-domain value cisco.com
webvpn
anyconnect profiles value pro-sceplegacy type user

rtpvpnoutbound6# show run access-l acl_certenroll
access-list acl_certenroll remark to allow access to the CA server
access-list acl_certenroll standard permit host <ca-server-ipaddress>

rtpvpnoutbound6# show run all tun certenroll
tunnel-group certenroll type remote-access
tunnel-group certenroll general-attributes
address-pool ap_fw-policy
authentication-server-group LOCAL
secondary-authentication-server-group none
default-group-policy gp_certenroll
tunnel-group certenroll webvpn-attributes
authentication aaa
group-alias certenroll enable

Voici le profil de client que vous pouvez ou coller à un fichier et à une importation de Notepad à l'ASA, ou vous pouvez la configurer avec Adaptive Security Device Manager (ASDM) directement :

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">false</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">ReconnectAfterResume
    </AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<CertificateEnrollment>
<AutomaticSCEPHost>rtpvpnoutbound6.cisco.com/certenroll</AutomaticSCEPHost>
<CAURL PromptForChallengePW="false" >scep_url</CAURL>
<CertificateImportStore>All</CertificateImportStore>
<CertificateSCEP>
<Name_CN>%USER%</Name_CN>
<KeySize>2048</KeySize>
<DisplayGetCertButton>true</DisplayGetCertButton>
</CertificateSCEP>
</CertificateEnrollment>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false</RetainVpnOnLogoff>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>rtpvpnoutbound6.cisco.com</HostName>
<HostAddress>rtpvpnoutbound6.cisco.com</HostAddress>
</HostEntry>
</ServerList>
</AnyConnectProfile>

Remarque: Notez qu'un groupe-URL n'est pas configuré pour ce groupe de tunnel. C'est important parce que le legs SCEP ne fonctionne pas l'URL. Vous devez sélectionner le groupe de tunnel avec le son alias. C'est en raison de l'ID de bogue Cisco CSCtq74054Si vous éprouvez des questions en raison du groupe-URL vous pourriez avoir besoin de la revue sur cette bogue. 

Étape 3 : Configurez le tunnel qui doit être utilisé par le client pour la connexion des certificats utilisateurs pour l'authentification

Quand le client a reçu le certificat signé d'ID, il peut maintenant se connecter à l'authentification de certificat. Cependant, le groupe de tunnels réel que le client utilise au connnect n'a pas été encore configuré. Cette configuration est semblable à la façon dont vous configurez n'importe quel autre connexion-profil. Ce terme est synonyme de groupe de tunnels et ne pas être confondu avec le profil de client, qui utilise l'authentification de certificat. C'est un instantané de la configuration utilisée pour ce tunnel :
 

rtpvpnoutbound6(config)# show run access-l acl_fw-policy

access-list acl_fw-policy standard permit 192.168.1.0 255.255.255.0

rtpvpnoutbound6(config)# show run group-p gp_legacyscep
group-policy gp_legacyscep internal
group-policy gp_legacyscep attributes
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl_fw-policy
default-domain value cisco.com
webvpn
anyconnect modules value dart

rtpvpnoutbound6(config)# show run tunnel tg_legacyscep
tunnel-group tg_legacyscep type remote-access
tunnel-group tg_legacyscep general-attributes
address-pool ap_fw-policy
default-group-policy gp_legacyscep
tunnel-group tg_legacyscep webvpn-attributes
authentication certificate
group-alias legacyscep enable
group-url https://rtpvpnoutbound6.cisco.com/legacyscep enable

Renouvelez le certificat utilisateur

Quand le certificat utilisateur expire ou est retiré, l'AnyConnect échoue l'authentification de certificat. La seule option est de rebrancher au groupe de tunnels d'inscription de certificat afin de déclencher l'inscription SCEP de nouveau. 

Vérification

Actuellement, la seule situation une devrait utiliser le legs SCEP est avec l'utilisation des périphériques mobiles. Par conséquent, cette section a affaire seulement avec les clients mobiles. Quand vous tentez de se connecter la première fois, écrivez la hostname ou l'adresse IP de l'ASA. Puis, certenroll choisi, ou Qu'est ce que groupe alias vous avez configuré dans l'étape 2. Vous êtes alors incité pour un nom d'utilisateur et mot de passe, et le bouton de certificat d'obtenir est affiché. Cliquez sur le bouton de certificat d'obtenir. Si vous vérifiez vos logs de client, cette sortie devrait afficher :

[06-22-12 11:23:45:121] <Information> - Contacting https://rtpvpnoutbound6.cisco.com.
[06-22-12 11:23:45:324] <Warning> - No valid certificates available for authentication.
[06-22-12 11:23:51:767] <Information> - Establishing VPN session...
[06-22-12 11:23:51:879] <Information> - Establishing VPN session...
[06-22-12 11:23:51:884] <Information> - Establishing VPN - Initiating connection...
[06-22-12 11:23:52:066] <Information> - Establishing VPN - Examining system...
[06-22-12 11:23:52:069] <Information> - Establishing VPN - Activating VPN adapter...
[06-22-12 11:23:52:594] <Information> - Establishing VPN - Configuring system...
[06-22-12 11:23:52:627] <Information> - Establishing VPN...
[06-22-12 11:23:52:734] <Information> - VPN session established to
   https://rtpvpnoutbound6.cisco.com.

[06-22-12 11:23:52:764] <Information> - Certificate Enrollment - Initiating, Please Wait.
[06-22-12 11:23:52:771] <Information> - Certificate Enrollment - Request forwarded.
[06-22-12 11:23:55:642] <Information> - Certificate Enrollment - Storing Certificate
[06-22-12 11:24:02:756] <Error> - Certificate Enrollment - Certificate successfully
imported. Please manually associate the certificate with your profile and reconnect.

Quoique le dernier message affiche l'erreur, il est d'informer seulement l'utilisateur que cette étape est nécessaire pour que ce client soit utilisé pour la prochaine tentative de connexion, qui est dans le deuxième profil de connexion configuré dans l'étape 3.

Informations connexes

Mis à jour : Avr. 09, 2013
ID de document : 113608

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 113608