Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Прежний SCEP с использованием Руководства Конфигурации интерфейса командой строки

30 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (9 апреля 2013) | Отзыв

ID документа: 113608

Обновлено 09 апреля 2013

Внесенный Atri Basu, специалистом службы технической поддержки Cisco.

Введение

 !--- Внимание. С Выпуска 3.0 AnyConnect не должен использоваться этот метод. Это было ранее необходимо, потому что мобильные устройства не имели 3.x клиент, но теперь и Android и iPhone имеют поддержку Прокси SCEP, и это должно использоваться. Только в случаях, где это не поддерживается из-за Устройства адаптивной защиты (ASA), должен вы настраивать Прежний SCEP. Однако даже в тех случаях обновление ASA является рекомендуемой опцией.

Простой протокол регистрации сертификата (SCEP) является протоколом, разработанным для создания распределения и аннулирования цифровых сертификатов максимально масштабируемыми. Идея состоит в том, что любой пользователь стандартной сети должен быть в состоянии запросить их цифровой сертификат электронно с очень небольшим вмешательством от администраторов сети. Для развертываний VPN, которые требуют проверки подлинности сертификата с предприятием Центр сертификации (CA) или любой независимый поставщик CA, который поддерживает SCEP, пользователи могут теперь запросить на подписанные сертификаты от их клиентских компьютеров без участия их администраторов сети. Если пользователь хочет настроить ASA как CA сервер, то SCEP не является методом соответствующего протокола. Обратитесь к Локальному CA раздел документа "Цифровые сертификаты Настройки" вместо этого.

С Выпуска 8.3 ASA существует два поддерживаемых метода SCEP:

  1. Более старый метод под названием Прежний SCEP обсужден в этом документе.
  2. Прокси SCEP является более новым методом, где прокси ASA хранилище сертификатов запрашивают от имени клиента. Этот процесс более чист, потому что он не требует дополнительной туннельной группы, и также более безопасен. Однако недостаток - то, что прокси SCEP только работает с Выпуском 3 AC. x : Это означает, что текущая версия AC-клиента для мобильных устройств не поддерживает прокси SCEP. Можно найти дополнительные сведения отнесенными к характеристике проверки четности между мобильными клиентами и последней версией AC-клиента задокументированный в Идентификатор ошибки Cisco CSCtj95743 и проверить j-комментарии.

Предварительные условия

Требования

Cisco рекомендует иметь знание этой темы:

  • Прежний SCEP

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. в Условные обозначения технических терминов Cisco.

Порядок действий для настройки

Когда Прежний SCEP используется, существует несколько вещей помнить:

  1. После того, как клиент получил подписанный сертификат для ASA, чтобы быть в состоянии подтвердить подлинность клиента, который это должно распознать CA, который подписал сертификат. Поэтому, необходимо гарантировать, что ASA также зарегистрировался с CA сервер. Процесс регистрации ASA должен быть первым шагом, потому что это устанавливает две вещи:
    1. Если вы используете URL для метода регистрации, CA настроен правильно и способный к свидетельствам о выпуске через SCEP.
    2. ASA в состоянии связаться с CA. Поэтому, если ваш клиент не может, то это - проблема между клиентом и ASA.
  2. Когда клиент будет делать попытку его первого соединения, это не будет иметь подписанного сертификата. Должна быть другая опция для аутентификации клиента.
  3. В процессе хранилища сертификатов ASA не служит никакой роли. Это только служит агрегатором VPN так, чтобы клиент мог сборка туннель для безопасного получения подписанного сертификата. Когда туннель установлен, тогда клиент должен быть в состоянии достигнуть CA сервер. В противном случае это не быть в состоянии зарегистрироваться. 

Шаг 1. Зарегистрируйте ASA

Этот шаг относительно прост и не требует ничего нового. Обратитесь к Регистрации ASA Cisco к CA Использование SCEP  для получения дополнительной информации о том, как зарегистрировать ASA к независимому поставщику CA.

Шаг 2. Настройте туннель для Использования для регистрации

Как упомянуто ранее, для клиента, чтобы быть в состоянии получить сертификат, это должно быть способный к сборке безопасный туннель с ASA через некоторый другой метод проверки подлинности. Чтобы сделать это, необходимо настроить одну туннельную группу, которая только  используется для самой первой попытки подключения, когда клиент делает запрос сертификата. Вот снимок конфигурации, используемой, который определяет эту туннельную группу. Важные линии отмечены в жирных курсивных шрифтах.

rtpvpnoutbound6(config)# show run user
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 0

rtpvpnoutbound6# show run group-policy gp_certenroll
group-policy gp_certenroll internal
group-policy gp_certenroll attributes
wins-server none
dns-server value <dns-server-ip-address>

vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
group-lock value certenroll
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl_certenroll
default-domain value cisco.com
webvpn
anyconnect profiles value pro-sceplegacy type user

rtpvpnoutbound6# show run access-l acl_certenroll
access-list acl_certenroll remark to allow access to the CA server
access-list acl_certenroll standard permit host <ca-server-ipaddress>

rtpvpnoutbound6# show run all tun certenroll
tunnel-group certenroll type remote-access
tunnel-group certenroll general-attributes
address-pool ap_fw-policy
authentication-server-group LOCAL
secondary-authentication-server-group none
default-group-policy gp_certenroll
tunnel-group certenroll webvpn-attributes
authentication aaa
group-alias certenroll enable

Вот клиентский профиль, который можно или вставить к файлу блокнота и импортировать к ASA, или можно настроить его с Менеджером устройств адаптивной защиты (ASDM) (ASDM) непосредственно:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">false</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">ReconnectAfterResume
    </AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<CertificateEnrollment>
<AutomaticSCEPHost>rtpvpnoutbound6.cisco.com/certenroll</AutomaticSCEPHost>
<CAURL PromptForChallengePW="false" >scep_url</CAURL>
<CertificateImportStore>All</CertificateImportStore>
<CertificateSCEP>
<Name_CN>%USER%</Name_CN>
<KeySize>2048</KeySize>
<DisplayGetCertButton>true</DisplayGetCertButton>
</CertificateSCEP>
</CertificateEnrollment>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false</RetainVpnOnLogoff>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>rtpvpnoutbound6.cisco.com</HostName>
<HostAddress>rtpvpnoutbound6.cisco.com</HostAddress>
</HostEntry>
</ServerList>
</AnyConnectProfile>

Примечание. Заметьте, что URL группы не настроен для этой туннельной группы. Это важно, потому что Прежний SCEP не работает URL. Необходимо выбрать туннельную группу ее псевдонимом. Это вызвано тем, что ID ошибки Cisco CSCtq74054При испытании проблем из-за URL группы, вам, возможно, понадобилось бы к последующей обработке и анализу на этом дефекте. 

Шаг 3. Настройте Туннель, который должен Использоваться Клиентом для Соединения Сертификатов пользователя для Аутентификации

Когда клиент получил сертификат ID со знаком, он может теперь соединиться с проверкой подлинности сертификата. Однако фактическая туннельная группа, которую клиент использует для connnect, еще не была настроена. Эта конфигурация подобна тому, как вы настраиваете любой другой профиль подключения. Это условие синонимично с туннельной группой а не быть перепутанным с клиентским профилем, который использует проверку подлинности сертификата. Это - снимок конфигурации, используемой для этого туннеля:
 

rtpvpnoutbound6(config)# show run access-l acl_fw-policy

access-list acl_fw-policy standard permit 192.168.1.0 255.255.255.0

rtpvpnoutbound6(config)# show run group-p gp_legacyscep
group-policy gp_legacyscep internal
group-policy gp_legacyscep attributes
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl_fw-policy
default-domain value cisco.com
webvpn
anyconnect modules value dart

rtpvpnoutbound6(config)# show run tunnel tg_legacyscep
tunnel-group tg_legacyscep type remote-access
tunnel-group tg_legacyscep general-attributes
address-pool ap_fw-policy
default-group-policy gp_legacyscep
tunnel-group tg_legacyscep webvpn-attributes
authentication certificate
group-alias legacyscep enable
group-url https://rtpvpnoutbound6.cisco.com/legacyscep enable

Возобновите сертификат пользователя

Когда сертификат пользователя истекает или отозван, AnyConnect отказывает проверку подлинности сертификата. Единственная опция должна повторно соединиться с туннельной группой хранилища сертификатов, чтобы вызвать регистрацию SCEP снова. 

Проверка

В настоящее время единственная ситуация, нужно использовать Прежний SCEP, с использованием мобильных устройств. Поэтому, этот раздел только имеет дело с мобильными клиентами. Когда вы пытаетесь соединиться первоначально, введите имя хоста ASA или IP-адрес. Затем, выберите certenroll, или безотносительно псевдонима группы, который вы настроили в Шаге 2. Вы тогда побуждены для имени пользователя и пароля, и получить кнопка сертификата отображена. Нажмите получить кнопку сертификата. При проверке клиентских журналов эти выходные данные должны отобразить:

[06-22-12 11:23:45:121] <Information> - Contacting https://rtpvpnoutbound6.cisco.com.
[06-22-12 11:23:45:324] <Warning> - No valid certificates available for authentication.
[06-22-12 11:23:51:767] <Information> - Establishing VPN session...
[06-22-12 11:23:51:879] <Information> - Establishing VPN session...
[06-22-12 11:23:51:884] <Information> - Establishing VPN - Initiating connection...
[06-22-12 11:23:52:066] <Information> - Establishing VPN - Examining system...
[06-22-12 11:23:52:069] <Information> - Establishing VPN - Activating VPN adapter...
[06-22-12 11:23:52:594] <Information> - Establishing VPN - Configuring system...
[06-22-12 11:23:52:627] <Information> - Establishing VPN...
[06-22-12 11:23:52:734] <Information> - VPN session established to
   https://rtpvpnoutbound6.cisco.com.

[06-22-12 11:23:52:764] <Information> - Certificate Enrollment - Initiating, Please Wait.
[06-22-12 11:23:52:771] <Information> - Certificate Enrollment - Request forwarded.
[06-22-12 11:23:55:642] <Information> - Certificate Enrollment - Storing Certificate
[06-22-12 11:24:02:756] <Error> - Certificate Enrollment - Certificate successfully
imported. Please manually associate the certificate with your profile and reconnect.

Даже при том, что последнее сообщение показывает ошибку, это только, чтобы сообщить пользователю, что этот шаг необходим для того клиента использоваться для следующей попытки подключения, которая находится во втором профиле подключения, настроенном в Шаге 3.

Дополнительные сведения

Обновлено 09 апреля 2013
ID документа: 113608

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 113608