Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

VPN для удаленного доступа ASA с проверкой OCSP под Microsoft Windows 2012 и OpenSSL

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как использовать проверку Онлайнового протокола статуса сертификата (OCSP) на устройстве адаптивной защиты Cisco (ASA) для сертификатов, представленных пользователями VPN. Примеры конфигурации для двух серверов OCSP (Центр сертификации [CA] Microsoft Windows и OpenSSL) представлены. Сверять раздел описывает детализированные потоки на пакетном уровне и внимание раздела Устранения неполадок на типичные ошибки и проблемы.

Внесенный Михалом Гаркарзом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Конфигурация интерфейса командной строки (CLI) Устройства адаптивной защиты Cisco и конфигурация VPN Протокола SSL
  • X . 509 сертификатов
  • Microsoft Windows server
  • Linux/OpenSSL

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Программное обеспечение Устройства адаптивной защиты Cisco, версия 8.4 и позже
  • Microsoft Windows 7 с защищенным мобильным клиентом Cisco AnyConnect Secure Mobility, выпуском 3.1
  • Сервер Microsoft 2012 R2
  • Linux с OpenSSL 1.0.0j или позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

Клиент использует VPN для удаленного доступа. Этот доступ может быть Cisco VPN Client (IPSec), AnyConnect Cisco Безопасная Мобильность (Версия 2 [IKEv2] SSL/Обмена ключами между сетями), или WebVPN (портал). Для регистрации клиент предоставляет корректный сертификат, а также имя пользователя/пароль, которые были настроены локально на ASA. Сертификат клиента проверен через сервер OCSP.

116720-config-asa-ocsp-01.jpg

Удаленный доступ ASA с OCSP

ASA настроен для доступа SSL. Клиент использует AnyConnect для входа в систему. ASA использует Протокол SCEP (SCEP) для запроса сертификата:

crypto ca trustpoint WIN2012
 revocation-check ocsp
 enrollment url http://10.147.25.80:80/certsrv/mscep/mscep.dll

crypto ca certificate map MAP 10
 subject-name co administrator

Карта сертификата создана для определения всех пользователей, subject-name которых содержит (нечувствительного к регистру) администратора слова. Те пользователи связаны с туннельной группой, названной RA:

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 certificate-group-map MAP 10 RA

Конфигурация VPN требует успешной авторизации (т.е. проверенный сертификат). Это также требует корректных учетных данных для локально определенного имени пользователя (опознавательный aaa):

username cisco password xxxxxxx
ip local pool POOL 192.168.11.100-192.168.11.105 mask 255.255.255.0

aaa authentication LOCAL
aaa authorization LOCAL

group-policy MY internal
group-policy MY attributes
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless

tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 default-group-policy MY
 authorization-required
tunnel-group RA webvpn-attributes
 authentication aaa certificate
 group-alias RA enable

Microsoft Windows 2012 CA

Примечание: Посмотрите, что руководство по настройке Cisco ASA 5500 использует CLI, 8.4 и 8.6: Настройка Внешний сервер для Авторизации пользователя на устройстве безопасности для подробных данных о конфигурации ASA через CLI. 

Установка сервисов

Эта процедура описывает, как настроить сервисы роли для сервера Microsoft:

    1. Перейдите к Диспетчеру серверов>, Управляют>, Добавляют Роли и Функции. Сервер Microsoft требует этих сервисов роли:

        • Центр сертификации
        • Веб-Регистрация Центра сертификации, которая используется клиентом
        • Онлайновый Респондент, который необходим для OCSP
        • Сервис Регистрации Сетевого устройства, который содержит приложение SCEP, используемое ASA

       Веб-сервис с политикой может быть добавлен в случае необходимости.

      116720-config-asa-ocsp-02.png

    2. Не возможно добавить все роли в то же время; например, служба Network Device Enrollment Service (NDES) должна быть добавлена позже.

    3. То, когда вы добавляете опции, убедиться включать Онлайновые Программные средства Респондента, потому что это включает моментальный снимок OCSP - в это, используется позже:

      116720-config-asa-ocsp-03.png

CA конфигурация для шаблона OCSP

Сервис OCSP использует сертификат для подписания ответа OCSP. Специальный сертификат на сервере Microsoft должен генерироваться и должен включать:

  • Расширенное ключевое использование = подписание OCSP
  • OCSP никакая проверка аннулирования

Этот сертификат необходим для предотвращения петель проверки OCSP. ASA не использует сервис OCSP, чтобы попытаться проверить сертификат, представленный сервисом OCSP.

  1. Добавьте, что шаблон для сертификата на Приблизительно Перешел к CA>, Шаблон сертификата> Управляет, выбирает OCSP Response Signing и копирует шаблон. Просмотрите свойства для недавно созданного шаблона и нажмите Вкладку Безопасность. Разрешения описывают, какому объекту позволяют запросить сертификат, который использует тот шаблон, таким образом, требуются соответствующие разрешения. В данном примере объект является сервисом OCSP, который работает на том же хосте (ТЕСТ-CISCO\DC), и сервис OCSP должен Автозарегистрировать привилегии:

    116720-config-asa-ocsp-04.png

    Все другие параметры настройки для шаблона могут собираться не выполнить своих обязательств.

  2. Активируйте шаблон. Перейдите к CA> Шаблон сертификата> Новый> Шаблон сертификата, чтобы Выполнить, и выбрать двойной шаблон:

    116720-config-asa-ocsp-05.png

Трудовая книжка OCSP

Эта процедура описывает, как использовать Онлайновое Управление конфигурацией для настройки OCSP:

  1. Перейдите к Диспетчеру серверов> Программные средства.

  2. Перейдите к Конфигурации Аннулирования>, Добавляет Конфигурация Аннулирования для добавления новой конфигурации:

    116720-config-asa-ocsp-06.png

    OCSP может использовать то же Предприятие Приблизительно, сертификат для сервиса OCSP генерируется.

  3. Используйте выбранное Предприятие CA и выберите шаблон, созданный ранее. Сертификат зарегистрирован автоматически:

    116720-config-asa-ocsp-07.png

  4. Подтвердите, что сертификат зарегистрирован, и его статусом является Работа/OK:

    116720-config-asa-ocsp-08.png

    116720-config-asa-ocsp-09.png

  5. Перейдите к CA> Выполненные Сертификаты для подтверждения сведений о сертификате:

    116720-config-asa-ocsp-10.png

Параметры сервиса OCSP

Реализация Microsoft OCSP совместима с RFC 5019 Легковесный Профиль Онлайнового протокола статуса сертификата (OCSP) для Сред Большого объема , который является упрощенной версией интернет-инфраструктуры открытых ключей RFC 2560 X.509 Онлайновый Протокол Статуса Сертификата - OCSP .

ASA использует RFC 2560 для OCSP. Одно из различий в этих двух RFC - то, что RFC 5019 не принимает подписанные запросы, отправленные ASA.

Возможно вынудить сервис Microsoft OCSP принять те запросы со знаком и ответ с корректным ответом со знаком. Перейдите к Конфигурации Аннулирования>, RevocationConfiguration1> Edit Properties и выбирают опцию для Включения поддержки расширения ПАРАМЕТРА.

116720-config-asa-ocsp-11.png

Сервис OCSP теперь готов использовать.

Несмотря на то, что Cisco не рекомендует это, параметры могут быть отключены на ASA:

BSNS-ASA5510-3(config-ca-trustpoint)# ocsp disable-nonce

CA конфигурация для расширений OCSP

Необходимо теперь реконфигурировать CA для включения расширения сервера OCSP во все выполненные сертификаты. Когда сертификат проверен, URL от того расширения используется ASA для соединения с сервером OCSP.

  1. Откройте Диалоговое окно со свойствами для сервера на Приблизительно

  2. Нажмите вкладку Extensions. Расширение Доступа информации о полномочиях (AIA), которое указывает к сервису OCSP, необходимо; в данном примере это - http://10.61.208.243/ocsp. Включите обе из этих опций для расширения AIA:

    • Включайте в расширение AIA выполненных сертификатов
    • Включайте в расширение онлайнового протокола статуса сертификата (OCSP)

    116720-config-asa-ocsp-12.png

    Это гарантирует, что все выполненные сертификаты имеют правильный номер, который указывает к сервису OCSP.

OpenSSL

Примечание: Посмотрите, что руководство по настройке Cisco ASA 5500 использует CLI, 8.4 и 8.6: Настройка Внешний сервер для Авторизации пользователя на устройстве безопасности для подробных данных о конфигурации ASA через CLI. 

Данный пример предполагает, что уже настроен сервер OpenSSL. В этом разделе описываются только конфигурацию OCSP и изменения, которые необходимы для конфигурации CA.

Эта процедура описывает, как генерировать сертификат OCSP:

  1. Эти параметры необходимы для респондента OCSP:

    [ OCSPresponder ]
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment
    extendedKeyUsage = OCSPSigning
  2. Эти параметры необходимы для сертификатов пользователя:

    [ UserCerts ]
    authorityInfoAccess = OCSP;URI:http://10.61.208.243
  3. Сертификаты должны генерироваться и подписываться Приблизительно

  4. Запустите сервер OCSP:

    openssl ocsp -index ourCAwebPage/index.txt -port 80 -rsigner
    ocspresponder.crt -rkey ocspresponder.key -CA cacert.crt -text -out
    log.txt
  5. Протестируйте сертификат в качестве примера:

    openssl ocsp -CAfile cacert.crt -issuer cacert.crt -cert example-cert.crt
    -url http://10.61.208.243 -resp_text

Больше примеров доступно на вебе - узлы/URL OpenSSL .

OpenSSL, как ASA, поддерживает параметры OCSP; параметры могут управляться с использованием - коммутаторы-no_nonce и параметр.

ASA со множественными источниками OCSP

ASA может отвергнуть OCSP URL. Даже если сертификат клиента содержит OCSP URL, он перезаписан конфигурацией на ASA:

crypto ca trustpoint WIN2012
 revocation-check ocsp
 enrollment url http://10.61.209.83:80/certsrv/mscep/mscep.dll
 ocsp url http://10.10.10.10/ocsp

Адрес сервера OCSP может быть определен явно. Этот пример команды совпадает со всеми сертификатами с администратором в имени субъекта, использует точку доверия OPENSSL, чтобы проверить подпись OCSP и использует URL http://11.11.11.11/ocsp для отправления запроса:

crypto ca trustpoint WIN2012
 revocation-check ocsp
 enrollment url http://10.61.209.83:80/certsrv/mscep/mscep.dll
 match certificate MAP override ocsp trustpoint OPENSSL 10 url
http://11.11.11.11/ocsp

crypto ca certificate map MAP 10
 subject-name co administrator

Заказ, используемый для обнаружения OCSP URL:

  1. Сервер OCSP вы устанавливаете с командой сертификата соответствия
  2. Сервер OCSP вы устанавливаете с командой ocsp url
  3. Сервер OCSP в поле AIA сертификата клиента

ASA с OCSP, со знаком другим CA

Ответ OCSP может быть подписан другим Приблизительно В таком случае, необходимо использовать команду сертификата соответствия для использования другой точки доверия на ASA для проверки достоверности сертификата OCSP.

crypto ca trustpoint WIN2012
 revocation-check ocsp
 enrollment url http://10.61.209.83:80/certsrv/mscep/mscep.dll
 match certificate MAP override ocsp trustpoint OPENSSL 10 url
http://11.11.11.11/ocsp

crypto ca certificate map MAP 10
 subject-name co administrator

crypto ca trustpoint OPENSSL
enrollment terminal
revocation-check none

В данном примере ASA использует перезапись OCSP URL для всех сертификатов с subject-name, который содержит администратора. ASA вынужден проверить Сертификат OCSP Responder против другой точки доверия, OPENSSL. Сертификаты пользователя все еще проверены в точке доверия WIN2012.

Так как Сертификат OCSP Responder имеет 'OCSP никакое аннулирование, проверяющее' расширение, сертификат не проверен, даже когда OCSP вынужден проверить против точки доверия OPENSSL.

По умолчанию, когда ASA пытается проверить сертификат пользователя, все точки доверия ищутся. Проверка для Сертификата OCSP Responder является другой. ASA ищет только точку доверия, которая была уже найдена для сертификата пользователя (WIN2012 в данном примере).

Таким образом необходимо использовать команду сертификата соответствия, чтобы вынудить ASA использовать другую точку доверия для проверки достоверности сертификата OCSP (OPENSSL в данном примере).

Сертификаты пользователя проверены против первой точки доверия, с которой совпадают (WIN2012 в данном примере), который тогда определяет точку доверия по умолчанию для проверки респондента OCSP.

Если никакая определенная точка доверия не предоставлена в команде сертификата соответствия, сертификат OCSP проверен против той же точки доверия как сертификаты пользователя (WIN2012 в данном примере).:

crypto ca trustpoint WIN2012
 revocation-check ocsp
 enrollment url http://10.61.209.83:80/certsrv/mscep/mscep.dll
 match certificate MAP override ocsp 10 url http://11.11.11.11/ocsp

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Примечание: Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

ASA - Получает Сертификат через SCEP

Эта процедура описывает, как получить сертификат посредством использования SCEP:

  1. Это - процесс проверки подлинности точки доверия для получения сертификата CA:

    debug crypto ca
    debug crypto ca messages
    debug crypto ca transaction

    BSNS-ASA5510-3(config-ca-crl)# crypto ca authenticate WIN2012
    Crypto CA thread wakes up!

    CRYPTO_PKI: Sending CA Certificate Request:
    GET /certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACert&message=
    WIN2012 HTTP/1.0
    Host: 10.61.209.83

    CRYPTO_PKI: http connection opened

    INFO: Certificate has the following attributes:
    Fingerprint:    27dda0e5 e1ed3f4c e3a2c3da 6d1689c2
    Do you accept this certificate? [yes/no]:

    % Please answer 'yes' or 'no'.
    Do you accept this certificate? [yes/no]:
    yes

    Trustpoint CA certificate accepted.
  2. Для запроса сертификата ASA должен иметь одноразовый пароль SCEP, который может быть получен из консоли администрирования в http://IP/certsrv/mscep_admin:

    116720-config-asa-ocsp-13.png

  3. Используйте тот пароль для запроса сертификата на ASA:

    BSNS-ASA5510-3(config)# crypto ca enroll WIN2012
    %
    % Start certificate enrollment ..
    % Create a challenge password. You will need to verbally provide this
      password to the CA Administrator in order to revoke your certificate.
      For security reasons your password will not be saved in the
    configuration.
      Please make a note of it.
    Password: ****************
    Re-enter password: ****************


    % The fully-qualified domain name in the certificate will be:
    BSNS-ASA5510-3.test-cisco.com
    % Include the device serial number in the subject name? [yes/no]: yes
    % The serial number in the certificate will be: JMX1014K16Y

    Request certificate from CA? [yes/no]: yes
    % Certificate request sent to Certificate Authority
    BSNS-ASA5510-3(config)#

    CRYPTO_PKI: Sending CA Certificate Request:
    GET /certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACert&message=
    WIN2012 HTTP/1.0
    Host: 10.61.209.83

    CRYPTO_PKI: http connection opened

    CRYPTO_PKI: Found a subject match - inserting the following cert record
    into certList
    Некоторые выходные данные были опущены для ясности.

  4. Проверьте и CA и сертификаты ASA:

    BSNS-ASA5510-3(config)# show crypto ca certificates 
    Certificate
     Status: Available
     Certificate Serial Number: 240000001cbf2fc89f44fe819700000000001c
     Certificate Usage: General Purpose
     Public Key Type: RSA (1024 bits)
     Signature Algorithm: SHA1 with RSA Encryption
     Issuer Name:
       cn=test-cisco-DC-CA
       dc=test-cisco
       dc=com
     Subject Name:
       hostname=BSNS-ASA5510-3.test-cisco.com
       serialNumber=JMX1014K16Y
     CRL Distribution Points:
       [1] ldap:///CN=test-cisco-DC-CA,CN=DC,CN=CDP,
    CN=Public%20Key%20Services,CN=Services,CN=Configuration,
    DC=test-cisco,DC=com?certificateRevocationList?base?objectClass=
    cRLDistributionPoint
     Validity Date:
       start date: 11:02:36 CEST Oct 13 2013
       end  date: 11:02:36 CEST Oct 13 2015
     Associated Trustpoints: WIN2012

    CA Certificate
     Status: Available
     Certificate Serial Number: 3d4c0881b04c799f483f4bbe91dc98ae
     Certificate Usage: Signature
     Public Key Type: RSA (2048 bits)
     Signature Algorithm: SHA1 with RSA Encryption
     Issuer Name:
       cn=test-cisco-DC-CA
       dc=test-cisco
       dc=com
     Subject Name:
       cn=test-cisco-DC-CA
       dc=test-cisco
       dc=com
     Validity Date:
       start date: 07:23:03 CEST Oct 10 2013
       end  date: 07:33:03 CEST Oct 10 2018
     Associated Trustpoints: WIN2012
    ASA не отображает большинство расширений сертификата. Даже при том, что сертификат ASA содержит 'OCSP URL в AIA' расширение, CLI ASA не представляет его. CSCui44335 Идентификатора ошибки Cisco, "Сертификат Enh ASA x509 расширения отобразился", запрашивает это усовершенствование.

AnyConnect - Получает Сертификат через Веб-страницу

Эта процедура описывает, как получить сертификат посредством использования web-браузера у клиента:

  1. Сертификат пользователя AnyConnect можно запросить через веб-страницу. На клиентском компьютере используйте web-браузер, чтобы перейти к CA в http://IP/certsrv:

    116720-config-asa-ocsp-14.png

  2. Сертификат пользователя может быть сохранен в хранилище web-браузера, затем экспортировал в хранилище Microsoft, которое ищется AnyConnect. Используйте certmgr.msc для подтверждения полученного сертификата:

    116720-config-asa-ocsp-15.png

    AnyConnect может также запросить сертификат, пока существует корректный профиль AnyConnect.

Удаленный доступ VPN ASA с проверкой OCSP

Эта процедура описывает, как проверить проверку OCSP:

  1. Поскольку это пытается соединиться, ASA сообщает, что сертификат проверяется для OCSP. Здесь, OCSP подписание сертификата имеет расширение без проверок и не было проверено через OCSP:

    debug crypto ca
    debug crypto ca messages
    debug crypto ca transaction

    %ASA-6-725001: Starting SSL handshake with client outside:
    10.61.209.83/51262 for TLSv1 session.
    %ASA-7-717025: Validating certificate chain containing 1 certificate(s).
    %ASA-7-717029: Identified client certificate within certificate chain.
    serial number: 240000001B2AD208B12811687400000000001B, subject name:
    cn=Administrator,cn=Users,dc=test-cisco,dc=com.
    Found a suitable trustpoint WIN2012 to validate certificate.
    %ASA-7-717035: OCSP status is being checked for certificate. serial
    number: 240000001B2AD208B12811687400000000001B, subject name: 
    cn=Administrator,cn=Users,dc=test-cisco,dc=com.
    %ASA-6-302013: Built outbound TCP connection 1283 for outside:
    10.61.209.83/80 (10.61.209.83/80) to identity:10.48.67.229/35751
    (10.48.67.229/35751)
    %ASA-6-717033: CSP response received.
    %ASA-7-717034: No-check extension found in certificate. OCSP check
    bypassed
    .
    %ASA-6-717028: Certificate chain was successfully validated with
    revocation status check.
    Некоторые выходные данные были опущены для ясности.

  2. Конечный пользователь предоставляет учетные данные пользователя:

    116720-config-asa-ocsp-16.png

  3. Сеанс VPN закончен правильно:

    %ASA-7-717036: Looking for a tunnel group match based on certificate maps
    for peer certificate with serial number:
    240000001B2AD208B12811687400000000001B, subject name: cn=Administrator,
    cn=Users,dc=test-cisco,dc=com, issuer_name: cn=test-cisco-DC-CA,
    dc=test-cisco,dc=com.
    %ASA-7-717038: Tunnel group match found. Tunnel Group: RA, Peer
    certificate: serial number: 240000001B2AD208B12811687400000000001B,
    subject name: cn=Administrator,cn=Users,dc=test-cisco,dc=com,
    issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,dc=com.

    %ASA-6-113012: AAA user authentication Successful : local database :
    user = cisco

    %ASA-6-113009: AAA retrieved default group policy (MY) for user = cisco
    %ASA-6-113039: Group <MY> User <cisco> IP <10.61.209.83> AnyConnect parent
    session started
    .
  4. Сеанс создан:

    BSNS-ASA5510-3(config)# show vpn-sessiondb detail anyconnect 

    Session Type: AnyConnect Detailed

    Username    : cisco                 Index       : 4
    Assigned IP : 192.168.11.100        Public IP   : 10.61.209.83
    Protocol    : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License     : AnyConnect Premium
    Encryption  : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 
    DTLS-Tunnel: (1)AES128
    Hashing     : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 
    DTLS-Tunnel: (1)SHA1
    Bytes Tx    : 10540                 Bytes Rx    : 32236
    Pkts Tx     : 8                     Pkts Rx     : 209
    Pkts Tx Drop : 0                     Pkts Rx Drop : 0
    Group Policy : MY                    Tunnel Group : RA
    Login Time  : 11:30:31 CEST Sun Oct 13 2013
    Duration    : 0h:01m:05s
    Inactivity  : 0h:00m:00s
    NAC Result  : Unknown
    VLAN Mapping : N/A                   VLAN        : none

    AnyConnect-Parent Tunnels: 1
    SSL-Tunnel Tunnels: 1
    DTLS-Tunnel Tunnels: 1

    AnyConnect-Parent:
     Tunnel ID   : 4.1
     Public IP   : 10.61.209.83
     Encryption  : none                  Hashing     : none
     TCP Src Port : 51401                 TCP Dst Port : 443
     Auth Mode   : Certificate and userPassword
     Idle Time Out: 30 Minutes            Idle TO Left : 29 Minutes
     Client OS   : Windows
     Client Type : AnyConnect
     Client Ver  : Cisco AnyConnect VPN Agent for Windows 3.1.02040
     Bytes Tx    : 5270                  Bytes Rx    : 788
     Pkts Tx     : 4                     Pkts Rx     : 1
     Pkts Tx Drop : 0                     Pkts Rx Drop : 0
     
    SSL-Tunnel:
     Tunnel ID   : 4.2
     Assigned IP : 192.168.11.100        Public IP   : 10.61.209.83
     Encryption  : RC4                   Hashing     : SHA1
     Encapsulation: TLSv1.0               TCP Src Port : 51406
     TCP Dst Port : 443                   Auth Mode   : Certificate and
    userPassword

     Idle Time Out: 30 Minutes            Idle TO Left : 29 Minutes
     Client OS   : Windows
     Client Type : SSL VPN Client
     Client Ver  : Cisco AnyConnect VPN Agent for Windows 3.1.02040
     Bytes Tx    : 5270                  Bytes Rx    : 1995
     Pkts Tx     : 4                     Pkts Rx     : 10
     Pkts Tx Drop : 0                     Pkts Rx Drop : 0
     
    DTLS-Tunnel:
     Tunnel ID   : 4.3
     Assigned IP : 192.168.11.100        Public IP   : 10.61.209.83
     Encryption  : AES128                Hashing     : SHA1
     Encapsulation: DTLSv1.0              UDP Src Port : 58053
     UDP Dst Port : 443                   Auth Mode   : Certificate and
    userPassword

     Idle Time Out: 30 Minutes            Idle TO Left : 29 Minutes
     Client OS   : Windows
     Client Type : DTLS VPN Client
     Client Ver  : Cisco AnyConnect VPN Agent for Windows 3.1.02040
     Bytes Tx    : 0                     Bytes Rx    : 29664
     Pkts Tx     : 0                     Pkts Rx     : 201
     Pkts Tx Drop : 0                     Pkts Rx Drop : 0
  5. Можно использовать детализированные отладки для проверки OCSP:

    CRYPTO_PKI: Starting OCSP revocation
    CRYPTO_PKI: Attempting to find OCSP override for peer cert: serial number:
    2400000019F341BA75BD25E91A000000000019, subject name: cn=Administrator,
    cn=Users,dc=test-cisco,dc=com, issuer_name: cn=test-cisco-DC-CA,
    dc=test-cisco,dc=com.
    CRYPTO_PKI: No OCSP overrides found. <-- no OCSP url in the ASA config

    CRYPTO_PKI: http connection opened
    CRYPTO_PKI: OCSP response received successfully.
    CRYPTO_PKI: OCSP found in-band certificate: serial number:
    240000001221CFA239477CE1C0000000000012, subject name:
    cn=DC.test-cisco.com, issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,
    dc=com
    CRYPTO_PKI: OCSP responderID byKeyHash
    CRYPTO_PKI: OCSP response contains 1 cert singleResponses responseData
    sequence.

    Found response for request certificate!
    CRYPTO_PKI: Verifying OCSP response with 1 certs in the responder chain
    CRYPTO_PKI: Validating OCSP response using trusted CA cert: serial number:
    3D4C0881B04C799F483F4BBE91DC98AE, subject name: cn=test-cisco-DC-CA,
    dc=test-cisco,dc=com, issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,
    dc=com

    CERT-C: W ocsputil.c(538) : Error #708h
    CERT-C: W ocsputil.c(538) : Error #708h

    CRYPTO_PKI: Validating OCSP responder certificate: serial number:
    240000001221CFA239477CE1C0000000000012, subject name:
    cn=DC.test-cisco.com, issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,
    dc=com, signature alg: SHA1/RSA

    CRYPTO_PKI: verifyResponseSig:3191
    CRYPTO_PKI: OCSP responder cert has a NoCheck extension
    CRYPTO_PKI: Responder cert status is not revoked <-- do not verify
    responder cert
    CRYPTO_PKI: response signed by the CA
    CRYPTO_PKI: Storage context released by thread Crypto CA

    CRYPTO_PKI: transaction GetOCSP completed
    CRYPTO_PKI: Process next cert, valid cert. <-- client certificate
    validated correctly
  6. На уровне захвата пакета это - запрос OCSP и корректный ответ OCSP. Ответ включает корректную подпись - расширение параметра включило на Microsoft OCSP:

    116720-config-asa-ocsp-17.png

Удаленный доступ VPN ASA со множественными источниками OCSP

Если сертификат соответствия настроен, как объяснено в ASA со Множественными Источниками OCSP, это имеет приоритет:

CRYPTO_PKI: Processing map MAP sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. Peer cert field: =
cn=Administrator,cn=Users,dc=test-cisco,dc=com, map rule: subject-name
  co administrator.
CRYPTO_PKI: Peer cert has been authorized by map: MAP sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://11.11.11.11/ocsp,
Override trustpoint: OPENSSL

Когда замена OCSP URL используется, отладки:

CRYPTO_PKI: No OCSP override via cert maps found. Override was found in 
trustpoint
: WIN2012, URL found: http://10.10.10.10/ocsp.

Удаленный доступ VPN ASA с OCSP и отозванным сертификатом

Эта процедура описывает, как отозвать сертификат и подтвердить отозванный статус:

  1. Отзовите сертификат клиента:

    116720-config-asa-ocsp-18.png

  2. Публикуйте результаты:

    116720-config-asa-ocsp-19.png

  3. [Дополнительные] Шаги 1 и 2 могут также быть сделаны с certutil служебной программой CLI в Питании оболочка:

    c:\certutil -crl
    CertUtil: -CRL command completed succesfully.
  4. Когда клиент пытается соединиться, существует ошибка проверки достоверности сертификата:

    116720-config-asa-ocsp-20.png

  5. Журналы AnyConnect также указывают на ошибку проверки достоверности сертификата:

    [2013-10-13 12:49:53] Contacting 10.48.67.229.
    [2013-10-13 12:49:54] No valid certificates available for authentication.
    [2013-10-13 12:49:55] Certificate Validation Failure
  6. ASA сообщает, что отозван статус сертификата:

    CRYPTO_PKI: Starting OCSP revocation
    CRYPTO_PKI: OCSP response received successfully.
    CRYPTO_PKI: OCSP found in-band certificate: serial number:
    240000001221CFA239477CE1C0000000000012, subject name:
    cn=DC.test-cisco.com, issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,
    dc=com
    CRYPTO_PKI: OCSP responderID byKeyHash
    CRYPTO_PKI: OCSP response contains 1 cert singleResponses responseData
    sequence.

    Found response for request certificate!
    CRYPTO_PKI: Verifying OCSP response with 1 certs in the responder chain
    CRYPTO_PKI: Validating OCSP response using trusted CA cert: serial number:
    3D4C0881B04C799F483F4BBE91DC98AE, subject name: cn=test-cisco-DC-CA,
    dc=test-cisco,dc=com, issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,
    dc=com

    CRYPTO_PKI: verifyResponseSig:3191
    CRYPTO_PKI: OCSP responder cert has a NoCheck extension
    CRYPTO_PKI: Responder cert status is not revoked
    CRYPTO_PKI: response signed by the CA
    CRYPTO_PKI: Storage context released by thread Crypto CA

    CRYPTO_PKI: transaction GetOCSP completed

    CRYPTO_PKI: Received OCSP response:Oct 13 2013 12:48:03: %ASA-3-717027:
    Certificate chain failed validation. Generic error occurred
    , serial
    number: 240000001B2AD208B12811687400000000001B, subject name:
    cn=Administrator,cn=Users,dc=test-cisco,dc=com.

    CRYPTO_PKI: Blocking chain callback called for OCSP response (trustpoint:
    WIN2012, status: 1)
    CRYPTO_PKI: Destroying OCSP data handle 0xae255ac0
    CRYPTO_PKI: OCSP polling for trustpoint WIN2012 succeeded. Certificate
    status is REVOKED
    .
    CRYPTO_PKI: Process next cert in chain entered with status: 13.
    CRYPTO_PKI: Process next cert, Cert revoked: 13
  7. Захваты пакета показывают успешный ответ OCSP со статусом сертификата отозванных:

    116720-config-asa-ocsp-21.png

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Выключенный сервер OCSP

Когда сервер OCSP не работает, ASA сообщает:

CRYPTO_PKI: unable to find a valid OCSP server.
CRYPTO PKI: OCSP revocation check has failed. Status: 1800.

Захваты пакета могут также помочь с устранением проблем.

"Not synchronized" время

Если текущее время на сервере OCSP является более старым, чем на ASA (небольшие различия приемлемы), сервер OCSP передает неавторизованный ответ, и ASA сообщает о нем:

CRYPTO_PKI: OCSP response status - unauthorized

Когда ASA получает ответ OCSP с будущих времен, он также отказывает.

Параметры со знаком, не поддерживаемые

Если параметры на сервере не поддерживаются (который является по умолчанию на Microsoft Windows 2012 R2), неавторизованный ответ возвращен:

116720-config-asa-ocsp-22.png

Проверка подлинности сервера IIS7

Проблемами с запросом SCEP/OCSP часто является результат неправильной аутентификации на Internet Information Services 7 (IIS7). Гарантируйте, что настроен анонимный доступ:

116720-config-asa-ocsp-23.png

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.