تكوين مصادقة شهادة العميل الآمنة على FTD المدارة من قبل FMC

خيارات التنزيل

  • PDF     (2.3 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.3 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (2.8 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٦ مارس ٢٠٢٥
معرّف المستند:221839

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكوين شبكة VPN للوصول عن بعد على الدفاع عن تهديد FirePOWER (FTD) المدار من قبل مركز إدارة FirePOWER (FMC) بمصادقة الشهادة.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • تسجيل الشهادة اليدوي وأساسيات طبقة مآخذ التوصيل الآمنة (SSL)
    • FMC
    • معرفة المصادقة الأساسية لشبكة VPN للوصول عن بعد
    • المرجع المصدق التابع لجهة خارجية (CA) مثل Entrust و Geotrust و GoDaddy و Thawte و VeriSign

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

    • الدفاع الآمن ضد تهديد FirePOWER، الإصدار 7.4.1
    • FMC، الإصدار 7.4.1
    • Secure Client الإصدار 5.0.05040
    • Microsoft Windows Server 2019 كخادم CA

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    الرسم التخطيطي للشبكة

    Network Diagramالرسم التخطيطي للشبكة

    التكوينات

     إنشاء/إستيراد شهادة تستخدم لمصادقة الخادم

    note-icon

    ملاحظة: في FMC، هناك حاجة إلى شهادة المرجع المصدق (CA) قبل أن تتمكن من إنشاء CSR. إذا تم إنشاء CSR من مصدر خارجي (OpenSSL أو جهة خارجية)، فإن الأسلوب اليدوي يفشل ويجب إستخدام تنسيق شهادة PKCS12.


    الخطوة 1. انتقل إلىDevices > CertificatesوانقرAdd. أختر الجهاز وانقر فوق علامة الجمع (+) ضمن تسجيل الاقتران.

    Add Cert Enrollmentإضافة تسجيل الشهادة

    الخطوة 2. تحتCA Information، أختر نوع التسجيل كManualوالصق شهادة CA المستخدمة لتوقيع CSR.

    Add CA Informationإضافة معلومات المرجع المصدق

    الخطوة 3. أختر Skip Check for CA flag in basic constraints of the CA Certificate as shown in the earlier image.

    الخطوة 4. تحتCertificate Parameters، املأ تفاصيل اسم الموضوع.

    Add Certificate Parametersإضافة معلمات شهادة

    الخطوة 5. تحتKeyأختر نوع المفتاح ك RSA مع اسم وحجم مفتاح. انقر فوقSave.

    note-icon

    ملاحظة: بالنسبة لنوع مفتاح RSA، يكون الحد الأدنى لحجم المفتاح 2048 بت.

    Add RSA keyإضافة مفتاح RSA


    الخطوة 6. تحتCert Enrollment، أختر نقطة الثقة من القائمة المنسدلة التي تم إنشاؤها للتو وانقر فوقAdd.

    Add New Certificateإضافة شهادة جديدة

    الخطوة 7. انقر فوق معرف، ثم انقر فوقYesمطالبة أخرى لإنشاء CSR.

    Generate CSRإنشاء CSR

    الخطوة 8. انسخ CSR واحصل على توقيعه من قبل المرجع المصدق. بمجرد إصدار شهادة الهوية من قبل CA، قم باستيرادها بالنقرBrowse Identity Certificateوالنقر فوقImport.

    Import ID Certificateإستيراد شهادة المعرف

    note-icon

    ملاحظة: إذا استغرق إصدار شهادة المعرف وقتا، يمكنك تكرار الخطوة 7. فيما بعد. سيؤدي ذلك إلى إنشاء CSR نفسه ويمكنك إستيراد شهادة المعرف.

    إضافة شهادة مرجع مصدق ثقة/داخلية

    الخطوة 1. انتقل إلىDevices > Certificatesوانقر فوقAdd.

    أختر الجهاز وانقر فوق علامة الجمع (+) ضمن تسجيل الاقتران.

    هنا، تستخدم Auth-risaggar-ca من أجل إصدار شهادات الهوية/المستخدم.

    auth-risaggar-caنادي أوث ريساغار-كا

    الخطوة 2. أدخل اسم TrustPoint واخترManualكنوع تسجيل أسفلCA information.

    الخطوة 3. تحققCA Onlyمن شهادة المرجع المصدق (CA) الموثوق بها/الداخلية ولصقها بتنسيق PEM.

    الخطوة 4. تحقق  Skip Check for CA flag in basic constraints of the CA CertificateوانقرSave.

    Add Trustpointإضافة TrustPoint

    الخطوة 5. تحتCert Enrollment، أختر نقطة الثقة من القائمة المنسدلة التي تم إنشاؤها للتو وانقر فوقAdd.

    Add Internal CAإضافة مرجع مصدق داخلي

    الخطوة 6. يتم عرض الشهادة التي تمت إضافتها مسبقا على النحو التالي:

    Added Certificateالشهادة المضافة

    تكوين تجمع العناوين لمستخدمي VPN

    الخطوة 1. انتقل إلىObjects > Object Management > Address Pools > IPv4 Pools.


    يدخل خطوة 2. الإسم وعنوان IPv4 مدى مع قناع.

    Add IPv4 Poolإضافة تجمع IPv4

    تحميل صور العميل الآمنة

    الخطوة 1. تنزيل WebDeployment صور العميل الآمنة وفقا لنظام التشغيل من موقع برامج Cisco.


    الخطوة 2. انتقل إلىObjects > Object Management > VPN > Secure Client File > Add Secure Client File.


    يدخل خطوة 3. الإسم واختار Secure Client مبرد من القرص.


    الخطوة 4. أختر نوع الملف باسمSecure Client Imageوانقر فوقSave.

    Add Secure Client Imageإضافة صورة عميل آمنة

    إنشاء ملف تعريف XML وتحميله

    الخطوة 1. تنزيل العميلProfile Editorالآمن وتثبيته من موقع برامج Cisco.

    الخطوة 2. قم بإنشاء ملف تعريف جديد واخترAllمن القائمة المنسدلة لتحديد شهادة العميل. وهو يتحكم بشكل رئيسي في مخزن (مخازن) الشهادات التي يمكن ل "العميل الآمن" إستخدامها لتخزين الشهادات وقراءتها.

    خياران آخران متاحان هما:

    1. الجهاز - تم تقييد Secure Client للبحث عن الشهادة في مخزن شهادات الجهاز المحلي ل Windows.
    2. المستخدم - تم تقييد العميل الآمن للبحث عن الشهادة في مخزن شهادات مستخدم Windows المحلي.

    تعيين تجاوز مخزن الشهاداتTrue.

    وهذا يسمح للمسؤول بتوجيه "العميل الآمن" لاستخدام الشهادات الموجودة في مخزن الشهادات الخاص بجهاز Windows (النظام المحلي) لمصادقة شهادة العميل. ينطبق "تجاوز مخزن الشهادات" على SSL فقط، حيث يتم بدء الاتصال، بشكل افتراضي، بواسطة عملية واجهة المستخدم. عند إستخدام IPSec/IKEv2، لا تنطبق هذه الميزة الموجودة في ملف تعريف العميل الآمن.

    Add Preferences (Part 1)إضافة تفضيلات (الجزء 1)

    الخطوة 3. (إختياري) قمDisable Automatic Certificate Selectionبإلغاء تحديد الأمر لأنه يجنب الإيعاز للمستخدم باختيار شهادة المصادقة.

    Add Preferences (Part 2)إضافة تفضيلات (الجزء 2)

    الخطوة 4. قم بإنشاءServer List Entryملف تعريف لإعداد ملف تعريف في شبكة VPN الخاصة بالعميل الآمن من خلال توفير اسم مستعار للمجموعة وعنوان URL للمجموعة ضمن قائمة الخوادم وحفظ ملف تعريف XML.

    Add Server Listإضافة قائمة الخوادم

    الخطوة 5. أخيرا، ملف تعريف XML جاهز للاستخدام.

    XML Profileملف تعريف XML

    موقع ملفات تعريف XML لأنظمة التشغيل المختلفة:

    • Windows - C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile
    • نظام التشغيل MacOS - /opt/cisco/anyconnect/profile
    • Linux - /opt/cisco/anyconnect/profile

    الخطوة 6. انتقل إلىObjects > Object Management > VPN > Secure Client File > Add Secure Client Profile.

    أدخل اسم الملف وانقرBrowseلاختيار ملف تخصيص XML. انقر.Save

    Add Secure Client VPN Profileإضافة ملف تعريف Secure Client VPN

    تكوين VPN للوصول عن بعد

    الخطوة 1. قم بإنشاء قائمة تحكم في الوصول (ACL) وفقا للمتطلبات للسماح بالوصول إلى الموارد الداخلية.

    انتقل إلىObjects > Object Management > Access List > Standardوانقر فوقAdd Standard Access List.

    Add Standard ACLإضافة قائمة تحكم في الوصول (ACL) قياسية

    note-icon

    ملاحظة: يتم إستخدام قائمة التحكم في الوصول (ACL) هذه من قبل "العميل الآمن" لإضافة مسارات آمنة إلى الموارد الداخلية.

    الخطوة 2. انتقل إلىDevices > VPN > Remote Accessوانقر فوقAdd.


    يدخل خطوة 3. الاسم من التوصيف، بعد ذلك يختار ال FTD أداة وطقطقة بعد ذلك.

    Add Profile Nameإضافة اسم ملف التعريف

    الخطوة 4. أدخلConnection Profile Nameواختر طريقة المصادقة كماClient Certificate Onlyهي ضمن المصادقة والتفويض والمحاسبة (AAA).

    Select Authentication Methodتحديد أسلوب المصادقة

    الخطوة 5. انقر فوقUse IP Address Pools ضمن "تعيين عنوان العميل" واختر تجمع عناوين IPv4 الذي تم إنشاؤه مسبقا.

    Select Client Address Assignmentتحديد تعيين عنوان العميل

    الخطوة 6. تحرير نهج المجموعة.

    Edit Group Policyتحرير نهج المجموعة

    الخطوة 7. انتقل إلىGeneral > Split Tunneling، واخترTunnel networks specified belowثمStandard Access Listضمن نوع قائمة شبكات النفق المقسم.

    أختر قائمة التحكم في الوصول (ACL) التي تم إنشاؤها سابقا.

    Add Split Tunnelingإضافة تقسيم الاتصال النفقي

    الخطوة 8. انتقل إلىSecure Client > Profile، أخترClient Profile وانقرSave.

    Add Secure Client Profileإضافة ملف تعريف عميل آمن

    الخطوة 9. انقرNext، ثم أخترSecure Client ImageوانقرNext.

    Add Secure Client Imageإضافة صورة عميل آمنة

    الخطوة 10. أختر واجهة الشبكة للوصول إلى VPN، واخترDevice Certificatesالشبكة وفحص sysopt allowed-vpn وانقرNext.

    Add Access Control for VPN Trafficإضافة التحكم في الوصول لحركة مرور VPN

    الخطوة 11. وأخيرا، راجع جميع التكوينات وانقرFinish.

    Remote Access VPN Policy Configurationتكوين سياسة VPN للوصول عن بعد

    الخطوة 12. بمجرد اكتمال الإعداد الأولي لشبكة VPN الخاصة بالوصول عن بعد، قم بتحرير ملف تعريف الاتصال الذي تم إنشاؤه وانتقل إليهAliases.

    الخطوة 13. قمgroup-aliasبالتهيئة بالنقر على أيقونة زائد (+).

    Edit Group Aliasتحرير الاسم المستعار للمجموعة

    الخطوة 14. قمgroup-urlبالتهيئة بالنقر على أيقونة زائد (+). أستخدم نفس عنوان URL للمجموعة الذي تم تكوينه مسبقا في ملف تعريف العميل.

    Edit Group URLتحرير عنوان URL للمجموعة

    الخطوة 15. انتقل إلى واجهات الوصول. أخترInterface TruspointوSSL Global Identity Certificateضمن إعدادات SSL.

    Edit Access Interfacesتحرير واجهات الوصول

    الخطوة 16. انقرSaveفوق هذه التغييرات وقم بنشرها.

    التحقق من الصحة

    استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

    1. يجب تثبيت الشهادة على كمبيوتر العميل الآمن بتاريخ صحيح وموضوع إستخدام مفتاح محسن (EKU) على الكمبيوتر الشخصي للمستخدم. يجب أن تكون هذه الشهادة صادرة عن المرجع المصدق الذي تم تثبيت شهادته على FTD كما هو موضح مسبقا. هنا، الهوية أو شهادة المستخدم صادرة عن Auth-risaggar-ca.

    Certificate Highlightsميزات الشهادة

    note-icon

    ملاحظة: يجب أن تحتوي شهادة العميل على EKU لمصادقة العميل.

    2. يجب على "العميل الآمن" إنشاء الاتصال.

    Successful Secure Client Connectionاتصال عميل آمن ناجح

    3. تشغيلshow vpn-sessiondb anyconnectلتأكيد تفاصيل الاتصال للمستخدم النشط ضمن مجموعة النفق المستخدمة.

    firepower# show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username     : dolljain.cisco.com     Index        : 8
Assigned IP  : 10.20.20.1             Public IP    : 72.163.X.X
Protocol     : AnyConnect-Parent SSL-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA256
Bytes Tx     : 14402                  Bytes Rx     : 9652
Group Policy : DfltGrpPolicy          Tunnel Group : RAVPN-CertAuth
Login Time   : 08:32:22 UTC Mon Mar 18 2024
Duration     : 0h:03m:59s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0ac5de050000800065f7fc16
Security Grp : none                   Tunnel Zone  : 0

    استكشاف الأخطاء وإصلاحها

    يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

    1. يمكن تشغيل تصحيح الأخطاء من واجهة سطر الأوامر التشخيصية ل FTD:

    debug crypto ca 14
    debug webvpn anyconnect 255
    debug crypto ike-common 255

    2. راجع هذا الدليل للتعرف على المشاكل المشتركة.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    3.0
    26-Mar-2025
    تم تحديث الصورة ل ID
    2.0
    24-Jun-2024
    خطوات التكوين المحدثة لضمان الوضوح.
    1.0
    01-Apr-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Dolly Jain
      Cisco TAC Engineer
    • Rishabh Aggarwal
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات