Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Прежний SCEP использует Руководство Конфигурации интерфейса командой строки

10 февраля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (9 апреля 2013) | Отзыв


Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Порядок действий для настройки
     Шаг 1. Зарегистрируйте ASA
     Шаг 2. Настройте туннель для использования для регистрации
     Шаг 3. Настройте туннель, который будет фактически использоваться клиентом для сертификатов пользователя соединения для аутентификации
Проверка
Сообщество Cisco Support - Избранные темы
Дополнительные сведения

Введение

Простой протокол регистрации сертификата (SCEP) является протоколом, разработанным для создания издания и аннулирования цифровых сертификатов максимально масштабируемыми. Идея состоит в том, что любой пользователь стандартной сети должен быть в состоянии запросить их цифровой сертификат электронно с таким же небольшим вмешательством от сетевых администраторов. Для развертываний VPN, которые требуют, проверка подлинности сертификата использует предприятие Центр сертификации (CA) или любая третья сторона CA, которая поддерживает SCEP, это означает, что пользователи могут теперь запросить подписанные сертификаты от своих клиентских компьютеров, не имея необходимость включать их сетевые администраторы. Если вы хотите настроить Устройство адаптивной защиты (ASA) как CA сервер непосредственно, то SCEP не то, чего вы требуете. Обратитесь к этому документу вместо этого:

Локальное CA

С ASA v8.3, существует два поддерживаемых метода SCEP:

  • Более старый метод под названием Прежний SCEP обсужден в этом документе.

  • Прокси SCEP является более новым методом, где прокси ASA хранилище сертификатов запрашивают от имени клиента. Этот процесс более опрятен, поскольку он не требует дополнительной туннельной группы, и также более безопасен. Однако недостаток - то, что прокси SCEP только работает с v3 x AC. Это означает, что текущая версия AC-клиента для мобильных устройств не поддерживает прокси SCEP. Вы найдете дополнительные сведения отнесенными к характеристике проверки четности между мобильными клиентами и последней версией AC-клиента задокументированный в идентификатор ошибки Cisco CSCtj95743 (только зарегистрированные клиенты).

Примечание. При требовании хранилища сертификатов для чего-нибудь кроме мобильных устройств всегда используйте прокси SCEP по Прежнему SCEP. Только в случаях, где это не поддерживается или вследствие ASA или вследствие версий клиентской части, должен вы настраивать Прежний SCEP. Даже тогда, в случае прежнего, обновление кода ASA является лучшей опцией.

Этот документ только настраивает конфигурацию для Прежнего SCEP.

Примечание. Содержание в этом документе было создано Atri Basu, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует ознакомиться со следующими темами:

  • Прежний SCEP

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условное обозначение технических терминов Cisco.

Порядок действий для настройки

При использовании Прежнего SCEP существует несколько вещей помнить:

  • После того, как клиент получил подписанный сертификат для ASA, чтобы быть в состоянии подтвердить подлинность клиента, который это должно распознать CA, который подписал сертификат. Поэтому, необходимо гарантировать, что ASA также зарегистрировался с CA сервер. Процесс регистрации ASA должен быть первым шагом, поскольку это устанавливает две вещи:

    • CA настроен правильно и способный к свидетельствам о выпуске через SCEP (если вы используете URL для метода регистрации).

    • ASA в состоянии связаться с CA. Поэтому, если ваш клиент не может, то это - проблема между клиентом и ASA.

  • Когда клиент будет делать попытку его первого соединения, это не будет иметь подписанного сертификата. Должен быть некоторый другой способ подтвердить подлинность клиента.

  • Во время процесса хранилища сертификатов ASA не играет роли. Это только служит агрегатором VPN так, чтобы клиент мог сборка туннель для безопасного получения подписанного сертификата. Как только туннель установил, клиент должен быть в состоянии достигнуть CA сервер. В противном случае это не будет в состоянии зарегистрироваться.

Шаг 1. Зарегистрируйте ASA

Этот шаг относительно прост и не требует ничего нового. Обратитесь к Регистрации ASA Cisco к CA Использование SCEP для получения дополнительной информации о том, как зарегистрировать ASA третьей стороне CA.

Шаг 2. Настройте туннель для использования для регистрации

Как упомянуто прежде, для клиента, чтобы быть в состоянии получить сертификат это должно быть способный к сборке, безопасный туннель с ASA использует некоторый другой метод проверки подлинности. Чтобы сделать это, необходимо настроить одну туннельную группу, которая будет только использоваться для самой первой попытки подключения, когда клиент сделает запрос сертификата. Вот снимок конфигурации, используемой для определения этой туннельной группы. Важные линии отмечены в жирных курсивных шрифтах:

rtpvpnoutbound6(config)# sh run user
username cisco password ffIRPGpDSOJh9YLq encrypted privilege 0 

rtpvpnoutbound6# sh run group-policy gp_certenroll
group-policy gp_certenroll internal
group-policy gp_certenroll attributes
 wins-server none
 dns-server value <dns-server-ip-address>
 vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
 group-lock value certenroll
 
split-tunnel-policy tunnelspecified

 
split-tunnel-network-list value acl_certenroll

 default-domain value cisco.com
 webvpn
 
anyconnect profiles value pro-sceplegacy type user


rtpvpnoutbound6# sh run access-l acl_certenroll
access-list acl_certenroll remark to allow access to the CA server

access-list acl_certenroll standard permit host <ca-server-ipaddress>


rtpvpnoutbound6# sh run all tun certenroll
tunnel-group certenroll type remote-access
tunnel-group certenroll general-attributes
 address-pool ap_fw-policy
 
authentication-server-group LOCAL

 secondary-authentication-server-group none
 default-group-policy gp_certenroll
tunnel-group certenroll webvpn-attributes
 authentication aaa
 
group-alias certenroll enable

Вот клиентский профиль, который можно или вставить к файлу блокнота и импортировать к ASA, или можно настроить его, используют Менеджер устройств адаптивной защиты (ASDM) (ASDM) непосредственно:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
 <ClientInitialization>
 <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
 <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
 <ShowPreConnectMessage>false</ShowPreConnectMessage>
 <CertificateStore>All</CertificateStore>
 <CertificateStoreOverride>false</CertificateStoreOverride>
 <ProxySettings>Native</ProxySettings>
 <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
 <AuthenticationTimeout>12</AuthenticationTimeout>
 <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
 <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
 <LocalLanAccess UserControllable="true">false</LocalLanAccess>
 <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
 <AutoReconnect UserControllable="false">true
 <AutoReconnectBehavior UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior>
 </AutoReconnect>
 <AutoUpdate UserControllable="false">true</AutoUpdate>
 <RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
 <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
 <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
 <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
 <PPPExclusion UserControllable="false">Disable
 <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
 </PPPExclusion>
 <EnableScripting UserControllable="false">false</EnableScripting>
 
<CertificateEnrollment>
 <AutomaticSCEPHost>rtpvpnoutbound6.cisco.com/certenroll</AutomaticSCEPHost>
 <CAURL PromptForChallengePW="false" >scep_url</CAURL>
 <CertificateImportStore>All</CertificateImportStore>
 <CertificateSCEP>
 <Name_CN>%USER%</Name_CN>
 <KeySize>2048</KeySize>
 <DisplayGetCertButton>true</DisplayGetCertButton>
 </CertificateSCEP>
 </CertificateEnrollment>

 <EnableAutomaticServerSelection UserControllable="false">false
 <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
 <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
 </EnableAutomaticServerSelection>
 <RetainVpnOnLogoff>false</RetainVpnOnLogoff>
 </ClientInitialization>
 
<ServerList>
 <HostEntry>
 <HostName>rtpvpnoutbound6.cisco.com</HostName>
 <HostAddress>rtpvpnoutbound6.cisco.com</HostAddress>
 </HostEntry>
 </ServerList>

</AnyConnectProfile>

Примечание. Вы заметите, что URL группы не настроен для этой туннельной группы. Это важно, потому что Прежний SCEP не будет работать URL. Необходимо выбрать туннельную группу используя ее псевдоним.

Шаг 3. Настройте туннель, который будет фактически использоваться клиентом для сертификатов пользователя соединения для аутентификации

Как только клиент получил сертификат ID со знаком, он может теперь подключить используя проверку подлинности сертификата. Однако фактическая туннельная группа, которую клиент будет использовать для соединения, все еще не была настроена. Эта конфигурация подобна тому, как вы настраиваете любой другой профиль подключения (это условие синонимично с туннельной группой а не быть перепутанным с клиентским профилем), который использует проверку подлинности сертификата. Это - снимок конфигурации, используемой для этого туннеля:

rtpvpnoutbound6(config)# show run access-l acl_fw-policy
access-list acl_fw-policy standard permit 192.168.1.0 255.255.255.0

rtpvpnoutbound6(config)# show run group-p gp_legacyscep
group-policy gp_legacyscep internal
group-policy gp_legacyscep attributes
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value acl_fw-policy
 default-domain value cisco.com
 webvpn
 anyconnect modules value dart

rtpvpnoutbound6(config)# show run tunnel tg_legacyscep
tunnel-group tg_legacyscep type remote-access
tunnel-group tg_legacyscep general-attributes
 address-pool ap_fw-policy
 
default-group-policy gp_legacyscep

tunnel-group tg_legacyscep webvpn-attributes
 
authentication certificate
 group-alias legacyscep enable
 group-url https://rtpvpnoutbound6.cisco.com/legacyscep enable

Проверка

В настоящее время единственная ситуация, нужно использовать Прежний SCEP, при использовании мобильных устройств. Поэтому, этот раздел только имеет дело с мобильными клиентами. Когда вы пытаетесь соединиться первоначально, введите имя хоста ASA или IP-адрес. Затем, выберите certenroll или безотносительно псевдонима группы, который вы настроили в шаге 2. Вы будете побуждены для имени пользователя и пароля, и вы будете видеть получить кнопку сертификата. Как только вы нажимаете эту кнопку при проверке клиентских журналов необходимо видеть придерживающееся:

[06-22-12 11:23:45:121] <Information> - Contacting https://rtpvpnoutbound6.cisco.com.
[06-22-12 11:23:45:324] <Warning> - No valid certificates available for authentication.
[06-22-12 11:23:51:767] <Information> - Establishing VPN session...
[06-22-12 11:23:51:879] <Information> - Establishing VPN session...
[06-22-12 11:23:51:884] <Information> - Establishing VPN - Initiating connection...
[06-22-12 11:23:52:066] <Information> - Establishing VPN - Examining system...
[06-22-12 11:23:52:069] <Information> - Establishing VPN - Activating VPN adapter...
[06-22-12 11:23:52:594] <Information> - Establishing VPN - Configuring system...
[06-22-12 11:23:52:627] <Information> - Establishing VPN...

[06-22-12 11:23:52:734] <Information> - VPN session established to https://rtpvpnoutbound6.cisco.com.
[06-22-12 11:23:52:764] <Information> - Certificate Enrollment - Initiating, Please Wait.
[06-22-12 11:23:52:771] <Information> - Certificate Enrollment - Request forwarded.
[06-22-12 11:23:55:642] <Information> - Certificate Enrollment - Storing Certificate.
[06-22-12 11:24:02:756] <Error> - Certificate Enrollment - Certificate successfully imported. 
Please manually associate the certificate with your profile and reconnect.

Даже при том, что последнее сообщение показывает "ошибку", это только, чтобы сообщить пользователю, что этот шаг необходим для того клиента использоваться для следующей попытки подключения, которая будет к второму профилю подключения, настроенному в шаге 3.

Сообщество Cisco Support - Избранные темы

Сообщество Cisco Support - это форум, на котором вы можете задавать свои вопросы и отвечать на вопросы других, предлагать решения и сотрудничать с коллегами. Вот несколько последних и важных тем, представленных на нашем форуме.


Дополнительные сведения


Document ID: 113608