Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Herencia SCEP con el uso de la guía de configuración CLI

6 Agosto 2013 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (9 Abril 2013) | Comentarios

Introducción

 Precaución: A partir del 3.0 de la versión de AnyConnect, este método no debe ser utilizado. Era previamente necesario porque los dispositivos móviles no tenían el cliente 3.x, pero ahora el androide y los iPhones tienen soporte para el proxy SCEP y eso debe ser utilizada. Solamente en caso de que no se soporta debido al dispositivo de seguridad adaptante (ASA), debe usted configurar la herencia SCEP. Sin embargo, incluso en esos casos ASA la actualización es la opción recomendada.

El protocolo simple certificate enrollment (SCEP) es un protocolo diseñado para hacer la distribución y la revocación de los Certificados digitales tan scalable como sea posible. La idea es de que cualquier usuario de la red estándar pueda pedir su certificado digital electrónicamente con la intervención muy pequeña de los administradores de la red. Para los despliegues de VPN que requieren la autenticación certificada con el Certificate Authority (CA) de la empresa o cualquier CA de tercera persona que soporta el SCEP, los usuarios pueden ahora petición los certificados firmados de sus máquinas del cliente sin la implicación de sus administradores de la red. Si el usuario quiere configurar el ASA como el servidor de CA, después el SCEP no es método del protocolo adecuado. Refiera a la sección local de CA del documento los “que configura Certificados digitales” en lugar de otro.

A partir de la versión 8,3 ASA, hay dos métodos aceptados de SCEP:

  1. El más viejo método llamado Legacy SCEP se discute en este documento.
  2. Está el más nuevo método el proxy SCEP donde los proxys ASA la petición de la inscripción del certificado en nombre del cliente. Este proceso es más limpio porque no requiere a un grupo de túnel adicional, y es también más seguro. Sin embargo, la desventaja es que los trabajos del proxy SCEP solamente con el AC liberan 3.x. Esto significa que la versión de cliente actual AC para los dispositivos móviles no soporta el proxy SCEP. Usted puede encontrar más relacionado con la información a la paridad de función entre los clientes móviles y última la versión de cliente AC documentada en el Id. de bug Cisco CSCtj95743 y marcar los j-comentarios.

Prerrequisitos

Requisitos

Cisco recomienda que usted tiene conocimiento de este tema:

  • Herencia SCEP

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Pasos de configuración

Cuando se utiliza la herencia SCEP, hay algunas cosas a recordar:

  1. Después de que el cliente haya recibido el certificado firmado, porque el ASA para poder autenticar al cliente debe reconocer CA que firmó el certificado. Por lo tanto, usted necesita asegurarse de que el ASA también haya alistado con el servidor de CA. El proceso de la inscripción del ASA debe ser el primer paso porque establece dos cosas:
    1. CA se configura correctamente y capaz de publicar los Certificados vía el SCEP, si usted utiliza el URL para el método de la inscripción.
    2. El ASA puede comunicar con CA. Por lo tanto, si no puede su cliente, después es un problema entre el cliente y el ASA.
  2. Cuando el cliente intenta su primera conexión no tendrá un certificado firmado. Debe haber otra opción para autenticar al cliente.
  3. En el proceso de la inscripción del certificado, el ASA no sirve ningún papel. Sirve solamente como el aggregator VPN de modo que el cliente pueda construir un túnel para obtener con seguridad el certificado firmado. Cuando se establece el túnel, después el cliente debe poder alcanzar el servidor de CA. Si no, no es poder alistar. 

Paso 1: Aliste el ASA

Este paso es relativamente fácil y no requiere cualquier cosa nuevo. Refiera a alistar Cisco ASA a CA usando el SCEP para más información sobre cómo alistar el ASA a CA de tercera persona.

Paso 2: Configure el túnel para utilizar para la inscripción

Según lo mencionado previamente, para que el cliente pueda obtenga un certificado, él debe poder construir un túnel seguro con el ASA con un cierto otro método de autenticación. Para hacer esto, usted debe configurar a un grupo de túnel que se utilice solamente para el primer intento de conexión cuando el cliente hace un pedido de certificado. Aquí está una foto de la configuración usada que define a este grupo de túnel. Las líneas importantes se marcan en las negrita cursivas.

rtpvpnoutbound6(config)# show run user
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 0

rtpvpnoutbound6# show run group-policy gp_certenroll
group-policy gp_certenroll internal
group-policy gp_certenroll attributes
wins-server none
dns-server value <dns-server-ip-address>

vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
group-lock value certenroll
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl_certenroll
default-domain value cisco.com
webvpn
anyconnect profiles value pro-sceplegacy type user

rtpvpnoutbound6# show run access-l acl_certenroll
access-list acl_certenroll remark to allow access to the CA server
access-list acl_certenroll standard permit host <ca-server-ipaddress>

rtpvpnoutbound6# show run all tun certenroll
tunnel-group certenroll type remote-access
tunnel-group certenroll general-attributes
address-pool ap_fw-policy
authentication-server-group LOCAL
secondary-authentication-server-group none
default-group-policy gp_certenroll
tunnel-group certenroll webvpn-attributes
authentication aaa
group-alias certenroll enable

Aquí está el perfil del cliente que usted puede o pegar a un archivo y a una importación de la libreta al ASA, o usted puede configurarlo con el Administrador de dispositivos de seguridad adaptante (ASDM) directamente:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">false</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">ReconnectAfterResume
    </AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<CertificateEnrollment>
<AutomaticSCEPHost>rtpvpnoutbound6.cisco.com/certenroll</AutomaticSCEPHost>
<CAURL PromptForChallengePW="false" >scep_url</CAURL>
<CertificateImportStore>All</CertificateImportStore>
<CertificateSCEP>
<Name_CN>%USER%</Name_CN>
<KeySize>2048</KeySize>
<DisplayGetCertButton>true</DisplayGetCertButton>
</CertificateSCEP>
</CertificateEnrollment>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false</RetainVpnOnLogoff>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>rtpvpnoutbound6.cisco.com</HostName>
<HostAddress>rtpvpnoutbound6.cisco.com</HostAddress>
</HostEntry>
</ServerList>
</AnyConnectProfile>

Nota: Note que un grupo-URL no está configurado para este grupo de túnel. Esto es importante porque la herencia SCEP no trabaja el URL. Usted debe seleccionar al grupo de túnel con su alias. Esto está debido al Id. de bug Cisco CSCtq74054Si usted experimenta los problemas debido al grupo-URL usted puede ser que necesite seguir en este bug. 

Paso 3: Configure el túnel que debe ser utilizado por el cliente para la conexión de los Certificados de usuario para la autenticación

Cuando el cliente ha recibido el certificado firmado ID, puede ahora conectar con la autenticación certificada. Sin embargo, no han configurado al grupo de túnel real que el cliente utiliza al connnect todavía. Esta configuración es similar a cómo usted configura cualquier otro perfil de la conexión. Este término es sinónimo con el grupo de túnel y no ser confundido con el perfil del cliente, que utiliza la autenticación certificada. Ésta es una foto de la configuración usada para este túnel:
 

rtpvpnoutbound6(config)# show run access-l acl_fw-policy

access-list acl_fw-policy standard permit 192.168.1.0 255.255.255.0

rtpvpnoutbound6(config)# show run group-p gp_legacyscep
group-policy gp_legacyscep internal
group-policy gp_legacyscep attributes
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl_fw-policy
default-domain value cisco.com
webvpn
anyconnect modules value dart

rtpvpnoutbound6(config)# show run tunnel tg_legacyscep
tunnel-group tg_legacyscep type remote-access
tunnel-group tg_legacyscep general-attributes
address-pool ap_fw-policy
default-group-policy gp_legacyscep
tunnel-group tg_legacyscep webvpn-attributes
authentication certificate
group-alias legacyscep enable
group-url https://rtpvpnoutbound6.cisco.com/legacyscep enable

Renueve el Certificado de usuario

Cuando el Certificado de usuario expira o se revoca, el AnyConnect falla la autenticación certificada. La única opción es volver a conectar al grupo de túnel de la inscripción del certificado para accionar la inscripción SCEP otra vez. 

Verificación

Actualmente, la única situación una debe utilizar la herencia SCEP está con la utilización de los dispositivos móviles. Por lo tanto, esta sección trata solamente de los clientes móviles. Cuando usted intenta conectar la primera vez, ingrese el nombre de host o el IP Address ASA. Entonces, certenroll selecto, o cualquier grupo alias usted configuró en el paso 2. Le entonces indican para un nombre de usuario y contraseña, y se visualiza el botón del certificado del conseguir. Haga clic el botón del certificado del conseguir. Si usted marca sus registros del cliente, esta salida debe visualizar:

[06-22-12 11:23:45:121] <Information> - Contacting https://rtpvpnoutbound6.cisco.com.
[06-22-12 11:23:45:324] <Warning> - No valid certificates available for authentication.
[06-22-12 11:23:51:767] <Information> - Establishing VPN session...
[06-22-12 11:23:51:879] <Information> - Establishing VPN session...
[06-22-12 11:23:51:884] <Information> - Establishing VPN - Initiating connection...
[06-22-12 11:23:52:066] <Information> - Establishing VPN - Examining system...
[06-22-12 11:23:52:069] <Information> - Establishing VPN - Activating VPN adapter...
[06-22-12 11:23:52:594] <Information> - Establishing VPN - Configuring system...
[06-22-12 11:23:52:627] <Information> - Establishing VPN...
[06-22-12 11:23:52:734] <Information> - VPN session established to
   https://rtpvpnoutbound6.cisco.com.

[06-22-12 11:23:52:764] <Information> - Certificate Enrollment - Initiating, Please Wait.
[06-22-12 11:23:52:771] <Information> - Certificate Enrollment - Request forwarded.
[06-22-12 11:23:55:642] <Information> - Certificate Enrollment - Storing Certificate
[06-22-12 11:24:02:756] <Error> - Certificate Enrollment - Certificate successfully
imported. Please manually associate the certificate with your profile and reconnect.

Aunque el mensaje más reciente muestra el error, es informar solamente al usuario que este paso es necesario para que ese cliente sea utilizado para el intento de conexión siguiente, que está en el segundo perfil de la conexión configurado en el paso 3.

Información Relacionada

Actualizado: De abril el 09 de 2013
ID del Documento: 113608

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 113608