セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

CLI コンフィギュレーション・ ガイドを使用するレガシー SCEP

2013 年 2 月 10 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2012 年 8 月 16 日) | フィードバック


目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定手順
      ステップ 1: ASA を登録して下さい
      ステップ 2: 登録のために使用するためにトンネルを設定して下さい
      手順 3: 認証のために接続ユーザー認証のためにクライアントによって実際に使用するトンネルを設定して下さい
確認
Cisco サポート コミュニティ - 特集対話
関連情報

概要

Simple Certificate Enrollment Protocol (SCEP)はスケーラブル な デジタル認証の発行および失効をできるだけするように設計されているプロトコルです。 概念はどの標準ネットワーク ユーザでもネットワーク adminstrators からの少し介入としてとデジタル認証を電子的に要求できるはずであることです。 企業 認証局 (CA)か SCEP をサポートするサード・ パーティ CA を使用して証明書認証を必要とする VPN 配置に関しては、これはユーザがネットワーク adminstrators をことを含まないでクライアントマシンからの Now 要求 署名入り認証できることを意味します。 自体を CA サーバで適応性があるセキュリティ アプライアンス モデル(ASA)設定したいと思う場合、SCEP は必要とするものではないです。 この資料を代りに参照して下さい:

ローカル CA

ASA v8.3 現在で、SCEP の 2 つのサポートされた方法があります:

  • Legacy SCEP と呼ばれるより古い方式はこの資料で説明されています。

  • SCEP プロキシがクライアントに代わってより新しい方式 ASA プロキシ証明書登録 要求である。 このプロセスは余分トンネル グループを必要としないで、またセキュアですのでより端正。 ただし、マイナス面は SCEP プロキシが AC v3.x をだけ使用することです。 これはモバイルデバイスのための電流 AC クライアントバージョンが SCEP プロキシをサポートしないことを意味します。 モービル クライアントと最新の Cisco バグ ID CSCtj95743登録 ユーザだけ)で文書化されています AC クライアントバージョン間の機能パリティにより多くの関連情報を見つけます。

注: モバイルデバイス以外何でものために証明書登録を必要とする場合、レガシー SCEP 上の SCEP プロキシを常に使用して下さい。 それがサポートされなかった原因でなければだけもしレガシー SCEP を設定すれば ASA かクライアントバージョン。 そして、前の場合には、ASA コードのアップグレードはよりよいオプションです。

この資料はレガシー SCEP のための設定だけを設定したものです。

注: この資料のコンテンツは Atri Basu によって、Cisco TAC エンジニア作成されました。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • レガシー SCEP

使用するコンポーネント

このドキュメントは、ソフトウェアやハードウェアの特定のバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定手順

レガシー SCEP を使用するとき、覚えるべきいくつかの事があります:

  • クライアントがクライアントを認証できるために署名入り認証、なぜなら ASA を受け取った後認証に署名した CA を認識する必要があります。 従って、ASA がまた CA サーバと登録したようにする必要があります。 ASA の登録のプロセスは 2 つの事柄を確立すると同時に第一歩であるはずです:

    • CA は(登録方式のために URL を使用すれば) SCEP によって認証を発行することできる正しく設定され。

    • ASA は CA と通信できます。 従ってクライアントができなければ、そしてそれはクライアントと ASA 間の問題です。

  • クライアントが最初接続を試みる場合署名入り認証がありません。 そこにクライアントを認証する他の方法でなければなりません。

  • 証明書登録 プロセスの間に、ASA はロールを担いません。 それは VPN 集約機能として安全に 署名入り認証を得るためにクライアントがトンネルを構築できるようにだけ動作します。 トンネルが確立したら、クライアントは CA サーバに達できますなりません。 さもなければ、それは登録ことはできません。

ステップ 1: ASA を登録して下さい

このステップは比較的容易で、新しい何も必要としません。 Cisco ASA をサード・ パーティ CA に ASA を登録する方法に関する詳細については SCEP を使用して CA に登録することを参照して下さい。

ステップ 2: 登録のために使用するためにトンネルを設定して下さい

前述のように、なぜならクライアント 認証にそれを得られます他の認証方式を使用して ASA が付いているセキュアトンネルを構築できる必要があります。 これをするために、クライアントが Certificate 要求をするときだけ一番最初の接続の試みのために使用する 1 つのトンネル グループを設定する必要があります。 このトンネル グループを定義するのに使用される設定のスナップショットはここにあります。 重要な行は太イタリック体でマークされます:

rtpvpnoutbound6(config)# sh run user
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 0 

rtpvpnoutbound6# sh run group-policy gp_certenroll
group-policy gp_certenroll internal
group-policy gp_certenroll attributes
 wins-server none
 dns-server value <dns-server-ip-address>
 vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
 group-lock value certenroll
 
split-tunnel-policy tunnelspecified

 
split-tunnel-network-list value acl_certenroll

 default-domain value cisco.com
 webvpn
 
anyconnect profiles value pro-sceplegacy type user


rtpvpnoutbound6# sh run access-l acl_certenroll
access-list acl_certenroll remark to allow access to the CA server

access-list acl_certenroll standard permit host <ca-server-ipaddress>


rtpvpnoutbound6# sh run all tun certenroll
tunnel-group certenroll type remote-access
tunnel-group certenroll general-attributes
 address-pool ap_fw-policy
 
authentication-server-group LOCAL

 secondary-authentication-server-group none
 default-group-policy gp_certenroll
tunnel-group certenroll webvpn-attributes
 authentication aaa
 
group-alias certenroll enable

ASA にテキストエディタ ファイルおよびインポートに貼り付けることができるか、または適応性がある安全 装置デバイス マネージャ(ASDM)を使用してそれを直接設定できるクライアント プロファイルはここにあります:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
 <ClientInitialization>
 <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
 <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
 <ShowPreConnectMessage>false</ShowPreConnectMessage>
 <CertificateStore>All</CertificateStore>
 <CertificateStoreOverride>false</CertificateStoreOverride>
 <ProxySettings>Native</ProxySettings>
 <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
 <AuthenticationTimeout>12</AuthenticationTimeout>
 <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
 <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
 <LocalLanAccess UserControllable="true">false</LocalLanAccess>
 <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
 <AutoReconnect UserControllable="false">true
 <AutoReconnectBehavior UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior>
 </AutoReconnect>
 <AutoUpdate UserControllable="false">true</AutoUpdate>
 <RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
 <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
 <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
 <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
 <PPPExclusion UserControllable="false">Disable
 <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
 </PPPExclusion>
 <EnableScripting UserControllable="false">false</EnableScripting>
 
<CertificateEnrollment>
 <AutomaticSCEPHost>rtpvpnoutbound6.cisco.com/certenroll</AutomaticSCEPHost>
 <CAURL PromptForChallengePW="false" >scep_url</CAURL>
 <CertificateImportStore>All</CertificateImportStore>
 <CertificateSCEP>
 <Name_CN>%USER%</Name_CN>
 <KeySize>2048</KeySize>
 <DisplayGetCertButton>true</DisplayGetCertButton>
 </CertificateSCEP>
 </CertificateEnrollment>

 <EnableAutomaticServerSelection UserControllable="false">false
 <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
 <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
 </EnableAutomaticServerSelection>
 <RetainVpnOnLogoff>false</RetainVpnOnLogoff>
 </ClientInitialization>
 
<ServerList>
 <HostEntry>
 <HostName>rtpvpnoutbound6.cisco.com</HostName>
 <HostAddress>rtpvpnoutbound6.cisco.com</HostAddress>
 </HostEntry>
 </ServerList>

</AnyConnectProfile>

注: グループ URL がこのトンネル グループのために設定されないことに注意します。 これはレガシー SCEP が URL をはたらかせないので重要です。 エイリアスを使用しているトンネル グループを選択しなければなりません。

手順 3: 認証のために接続ユーザー認証のためにクライアントによって実際に使用するトンネルを設定して下さい

クライアントが署名された ID 認証を受け取ったら、証明書認証を使用して今接続できます。 ただし、接続するのにクライアントが使用する実際のトンネル グループはまだ設定されてしまいませんでした。 この設定は証明書認証を使用する他のどの接続プロファイルもどのようにに設定するか類似したです(この条件はトンネル グループと同義クライアント プロファイルと混同しないためであり、)。 これはこのトンネルに使用する設定のスナップショットです:

rtpvpnoutbound6(config)# show run access-l acl_fw-policy
access-list acl_fw-policy standard permit 192.168.1.0 255.255.255.0

rtpvpnoutbound6(config)# show run group-p gp_legacyscep
group-policy gp_legacyscep internal
group-policy gp_legacyscep attributes
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value acl_fw-policy
 default-domain value cisco.com
 webvpn
 anyconnect modules value dart

rtpvpnoutbound6(config)# show run tunnel tg_legacyscep
tunnel-group tg_legacyscep type remote-access
tunnel-group tg_legacyscep general-attributes
 address-pool ap_fw-policy
 
default-group-policy gp_legacyscep

tunnel-group tg_legacyscep webvpn-attributes
 
authentication certificate
 group-alias legacyscep enable
 group-url https://rtpvpnoutbound6.cisco.com/legacyscep enable

確認

現在モバイルデバイスを使用した場合、唯一の状況 1 はありますレガシー SCEP を使用する必要があります。 従って、このセクションはモービル クライアントにだけ対処します。 最初に接続するように試みるとき ASA のホスト名か IP アドレスを入力して下さい。 それからどんなグループ エイリアスをステップ 2.で設定した、選定された certenroll または。 ユーザ名 および パスワードのためにプロンプト表示され、得 Certificate ボタンが表示されます。 このボタンをクリックすれば、クライアント ログをチェックする場合、次を見るはずです:

[06-22-12 11:23:45:121] <Information> - Contacting https://rtpvpnoutbound6.cisco.com.
[06-22-12 11:23:45:324] <Warning> - No valid certificates available for authentication.
[06-22-12 11:23:51:767] <Information> - Establishing VPN session...
[06-22-12 11:23:51:879] <Information> - Establishing VPN session...
[06-22-12 11:23:51:884] <Information> - Establishing VPN - Initiating connection...
[06-22-12 11:23:52:066] <Information> - Establishing VPN - Examining system...
[06-22-12 11:23:52:069] <Information> - Establishing VPN - Activating VPN adapter...
[06-22-12 11:23:52:594] <Information> - Establishing VPN - Configuring system...
[06-22-12 11:23:52:627] <Information> - Establishing VPN...

[06-22-12 11:23:52:734] <Information> - VPN session established to https://rtpvpnoutbound6.cisco.com.
[06-22-12 11:23:52:764] <Information> - Certificate Enrollment - Initiating, Please Wait.
[06-22-12 11:23:52:771] <Information> - Certificate Enrollment - Request forwarded.
[06-22-12 11:23:55:642] <Information> - Certificate Enrollment - Storing Certificate.
[06-22-12 11:24:02:756] <Error> - Certificate Enrollment - Certificate successfully imported. 
Please manually associate the certificate with your profile and reconnect.

最後のメッセージは" error "を示すのに、あるかどれがステップ 3.で設定された第 2 接続プロファイルにそのクライアントが次の接続の試みに使用することができるようにこのステップが必要であることユーザを知らせることです。

Cisco サポート コミュニティ - 特集対話

Cisco サポート コミュニティでは、フォーラムに参加して情報交換することができます。現在、このドキュメントに関連するトピックについて次のような対話が行われています。


関連情報


Document ID: 113608