セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

CLI の使用を含むレガシー SCEP の設定ガイド

2013 年 8 月 21 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2013 年 4 月 9 日) | フィードバック

概要

 注意: AnyConnect リリース 3.0 現在で、この方式は使用するべきではありません。 それはモバイルデバイスが 3.x クライアントを、今 Android におよび iPhone に両方 SCEP プロキシのためのサポートがあり、備えなかったがそれは使用する必要がありますので以前に必要でした。 それが適応性があるセキュリティ アプライアンス モデル(ASA)が理由でサポートされなければだけ、レガシー SCEP を設定する必要があります。 ただし、そのような場合 ASA アップグレードは推奨されるオプションです。

Simple Certificate Enrollment Protocol (SCEP)はスケーラブル な デジタル証明書のディストリビューションおよび失効をできるだけするように設計されているプロトコルです。 概念はどの標準ネットワーク ユーザでもネットワーク管理者からの少しだけ介入とデジタル認証を電子的に要求できるはずであることです。 エンタープライズ 認証局(CA)または SCEP をサポートするサード・ パーティ CA の証明書認証を必要とする VPN 配置に関しては、ユーザはネットワーク管理者の介入なしでクライアントマシンからの署名入り認証のための Now 要求できます。 ユーザが CA サーバで ASA を設定したいと思う場合 SCEP は適切ではないプロトコル メソッドではないです。 デジタル証明書」を設定する資料代りに「のローカル CA セクションを参照して下さい。

ASA リリース 8.3 現在で、SCEP の 2 つのサポートされた方法があります:

  1. Legacy SCEP と呼ばれるより古い方式はこの資料で説明されています。
  2. SCEP プロキシがクライアントに代わってより新しい方式 ASA プロキシ証明書登録 要求である。 このプロセスは余分トンネル グループを必要としないで、またセキュアですのでよりきれい。 ただし、欠点は SCEP プロキシが AC リリース 3.x をだけ使用することです。 これはモバイルデバイスのための電流 AC クライアントバージョンが SCEP プロキシをサポートしないことを意味します。 モービル クライアントと最新の Cisco バグ ID CSCtj95743 で文書化されています AC クライアントバージョン間の機能パリティにより多くの関連情報を見つけ、j コメントをチェックできます。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • レガシー SCEP

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定手順

レガシー SCEP が使用されるとき、覚えるべきいくつかの事があります:

  1. クライアントがクライアントを認証できるために署名入り認証、なぜなら ASA を受け取った後認証に署名した CA を認識する必要があります。 従って、ASA がまた CA サーバと登録したようにする必要があります。 ASA の登録プロセスは 2 つの事柄を確立するので第一歩であるはずです:
    1. CA は登録方式のために URL を使用する場合 SCEP によって証明書を発行することできる正しく設定され。
    2. ASA は CA と通信できます。 従ってクライアントができなければ、そしてそれはクライアントと ASA 間の問題です。
  2. クライアントが最初接続を試みる場合署名入り認証がありません。 クライアントを認証する別のオプションがある必要があります。
  3. 証明書登録 プロセスでは、ASA はロールを動作しません。 それは VPN 集約機能として安全に 署名入り認証を得るためにクライアントがトンネルを構築できるようにだけ動作します。 トンネルが確立されるとき、クライアントは CA サーバに達できます必要があります。 さもなければ、それは登録ことはできることではないです。 

ステップ 1: ASA を登録して下さい

このステップは比較的容易で、新しい何も必要としません。 Cisco ASA をサード・ パーティ CA に ASA を登録する方法に関する詳細については SCEP を使用して CA に登録することを参照して下さい。

ステップ 2: 登録のために使用するためにトンネルを設定して下さい

クライアントが認証を得られるそれ他の認証方式によって ASA が付いているセキュアトンネルを構築できる必要があることができるように、以前に述べられるように。 これをするために、クライアントが Certificate 要求をするときだけ一番最初の接続の試みのために使用する 1 つのトンネル グループを設定して下さい。 このトンネル グループを定義する使用される設定のスナップショットはここにあります。 重要な行は太イタリック体でマークされます。

rtpvpnoutbound6(config)# show run user
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 0

rtpvpnoutbound6# show run group-policy gp_certenroll
group-policy gp_certenroll internal
group-policy gp_certenroll attributes
wins-server none
dns-server value <dns-server-ip-address>

vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
group-lock value certenroll
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl_certenroll
default-domain value cisco.com
webvpn
anyconnect profiles value pro-sceplegacy type user

rtpvpnoutbound6# show run access-l acl_certenroll
access-list acl_certenroll remark to allow access to the CA server
access-list acl_certenroll standard permit host <ca-server-ipaddress>

rtpvpnoutbound6# show run all tun certenroll
tunnel-group certenroll type remote-access
tunnel-group certenroll general-attributes
address-pool ap_fw-policy
authentication-server-group LOCAL
secondary-authentication-server-group none
default-group-policy gp_certenroll
tunnel-group certenroll webvpn-attributes
authentication aaa
group-alias certenroll enable

ASA にテキストエディタ ファイルおよびインポートに貼り付けることができるか、または直接適応性がある Security Device Manager (ASDM)でそれを設定できるクライアント プロファイルはここにあります:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">false</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">ReconnectAfterResume
    </AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<CertificateEnrollment>
<AutomaticSCEPHost>rtpvpnoutbound6.cisco.com/certenroll</AutomaticSCEPHost>
<CAURL PromptForChallengePW="false" >scep_url</CAURL>
<CertificateImportStore>All</CertificateImportStore>
<CertificateSCEP>
<Name_CN>%USER%</Name_CN>
<KeySize>2048</KeySize>
<DisplayGetCertButton>true</DisplayGetCertButton>
</CertificateSCEP>
</CertificateEnrollment>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false</RetainVpnOnLogoff>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>rtpvpnoutbound6.cisco.com</HostName>
<HostAddress>rtpvpnoutbound6.cisco.com</HostAddress>
</HostEntry>
</ServerList>
</AnyConnectProfile>

注: グループ URL がこのトンネル グループのために設定されないことに注意して下さい。 これはレガシー SCEP が URL をはたらかせないので重要です。 エイリアスのトンネル グループを選択して下さい。 これは Cisco バグ ID CSCtq74054 が理由でそうなったものです。 グループ URL が理由で問題に直面すればこの不具合で追う必要があるかもしれません。 

手順 3: トンネルを設定して下さい認証のためにユーザ許可証の接続のためにクライアントによって使用される

クライアントが署名された ID 認証を受け取ったら、証明書認証と今接続できます。 ただし、クライアントが connnect に使用する実際のトンネル グループはまだ設定されていません。 この設定は他のどの接続プロファイルもどのようにに設定するか類似したです。 この条件は証明書認証を使用するトンネル グループと同義クライアント プロファイルと混同しないためにであり。 これはこのトンネルに使用する設定のスナップショットです:
 

rtpvpnoutbound6(config)# show run access-l acl_fw-policy

access-list acl_fw-policy standard permit 192.168.1.0 255.255.255.0

rtpvpnoutbound6(config)# show run group-p gp_legacyscep
group-policy gp_legacyscep internal
group-policy gp_legacyscep attributes
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl_fw-policy
default-domain value cisco.com
webvpn
anyconnect modules value dart

rtpvpnoutbound6(config)# show run tunnel tg_legacyscep
tunnel-group tg_legacyscep type remote-access
tunnel-group tg_legacyscep general-attributes
address-pool ap_fw-policy
default-group-policy gp_legacyscep
tunnel-group tg_legacyscep webvpn-attributes
authentication certificate
group-alias legacyscep enable
group-url https://rtpvpnoutbound6.cisco.com/legacyscep enable

ユーザ許可証を更新して下さい

ユーザ許可証が切れるか、または取り消されるとき、AnyConnect は証明書認証失敗します。 唯一のオプションは SCEP 登録を再度引き起こすために証明書登録 トンネル グループへ再接続することです。 

確認

現在、唯一の状況 1 はモバイルデバイスの利用とありますレガシー SCEP を使用する必要があります。 従って、このセクションはモービル クライアントにだけ対処します。 最初に接続するように試みるとき ASA のホスト名か IP アドレスを入力して下さい。 それからどんなグループ エイリアスをステップ 2.で設定した、選定された certenroll、または。 ユーザ名 および パスワードのためにそれからプロンプト表示され、得 Certificate ボタンは表示する。 得 Certificate ボタンをクリックして下さい。 クライアント ログをチェックする場合、この出力は下記のものを表示する必要があります:

[06-22-12 11:23:45:121] <Information> - Contacting https://rtpvpnoutbound6.cisco.com.
[06-22-12 11:23:45:324] <Warning> - No valid certificates available for authentication.
[06-22-12 11:23:51:767] <Information> - Establishing VPN session...
[06-22-12 11:23:51:879] <Information> - Establishing VPN session...
[06-22-12 11:23:51:884] <Information> - Establishing VPN - Initiating connection...
[06-22-12 11:23:52:066] <Information> - Establishing VPN - Examining system...
[06-22-12 11:23:52:069] <Information> - Establishing VPN - Activating VPN adapter...
[06-22-12 11:23:52:594] <Information> - Establishing VPN - Configuring system...
[06-22-12 11:23:52:627] <Information> - Establishing VPN...
[06-22-12 11:23:52:734] <Information> - VPN session established to
   https://rtpvpnoutbound6.cisco.com.

[06-22-12 11:23:52:764] <Information> - Certificate Enrollment - Initiating, Please Wait.
[06-22-12 11:23:52:771] <Information> - Certificate Enrollment - Request forwarded.
[06-22-12 11:23:55:642] <Information> - Certificate Enrollment - Storing Certificate
[06-22-12 11:24:02:756] <Error> - Certificate Enrollment - Certificate successfully
imported. Please manually associate the certificate with your profile and reconnect.

最後のメッセージはエラーを示すのに、そのクライアントがステップ 3.で設定される第 2 接続プロファイルにある次の接続の試みに使用することができるようにこのステップが必要であることユーザを知らせることです。

関連情報

Updated: Apr 09, 2013
Document ID: 113608

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 113608