In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt den Prozess der Konfiguration eines Remote Access VPN auf Firepower Threat Defense (FTD), das vom Firepower Management Center (FMC) mit Zertifikatsauthentifizierung verwaltet wird.
Beitrag von Dolly Jain und Rishabh Aggarwal, Cisco TAC Engineer.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
・ Manuelle Zertifikatsregistrierung und Grundlagen von SSL
FMC
・ Grundlegende Authentifizierungskenntnisse für Remote Access VPN
・ Zertifizierungsstelle eines Drittanbieters (Certificate Authority, CA) wie Entrust, Geotrust, GoDaddy, Thawte und VeriSign.
Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:
・ Sichere Firepower Threat Defense Version 7.4.1
・ FirePOWER Management Center (FMC) Version 7.4.1
・ Secure Client Version 5.0.05040
・ Hydrant/IdentTrust als CA-Server
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Um Remote Access VPN mit Zertifikatsauthentifizierung in FMC zu konfigurieren, müssen Sie:
・ Erstellen eines Zertifikats für die Serverauthentifizierung
・ Fügen Sie ein vertrauenswürdiges oder internes Zertifizierungsstellenzertifikat auf FTD über FMC hinzu, um das Benutzerzertifikat zu authentifizieren.
・ Erstellen eines Adresspools für VPN-Benutzer
・ Hochladen von Secure Client-Images für verschiedene Plattformen
・ Erstellen und Hochladen eines XML-Profils
Hinweis: Auf FMC ist ein CA-Zertifikat erforderlich, bevor Sie den CSR generieren können. Wenn der CSR von einer externen Quelle (openssl oder einem Drittanbieter) generiert wird, schlägt die manuelle Methode fehl, und das PKCS12-Zertifikatformat muss verwendet werden.
Schritt 1: Navigieren Sie zu, Devices > Certificatesund klicken Sie auf
Add Cert Enrollment. Wählen Sie Gerät aus, und klicken Sie unter Zertifikatregistrierung auf das Pluszeichen (+).
Schritt 2: Wählen Sie unter
CA Information den Registrierungstyp als aus, und fügen Sie das Zertifikat der Zertifizierungsstelle (Certificate Authority, CA) ein, das zum Signieren des CSR verwendet wird
Manual.
Schritt 3: Wählen Sie für die Validierungsverwendung
IPsec Client, SSL Client und
Skip Check for CA flag in basic constraints of the CA Certificate.
Schritt 4: Geben Sie unter
Certificate Parameters die Details zum Betreff ein.
Schritt 5: Wählen
KeySie unter den Schlüsseltyp RSA mit einem Schlüsselnamen und einer Schlüsselgröße aus. Klicken Sie auf
Save.
Hinweis: Für den RSA-Schlüsseltyp beträgt die minimale Schlüsselgröße 2048 Bit.
Schritt 6: Wählen Sie unter Cert Enrollment den Vertrauenspunkt aus der Dropdown-Liste aus, die gerade erstellt wurde, und klicken Sie auf
Add.
Schritt 7. Klicken Sie auf ID und anschließend auf die
Yes weitere Eingabeaufforderung, um die CSR-Anfrage zu erstellen.
Schritt 8: Kopieren Sie die CSR-Datei, und lassen Sie sie von der Zertifizierungsstelle signieren. Sobald das Identitätszertifikat von der Zertifizierungsstelle ausgestellt wurde, importieren Sie es, indem Sie auf klicken
Browse Identity Certificate und dann auf klicken
Import.
2. Hinzufügen eines vertrauenswürdigen/internen Zertifizierungsstellenzertifikats
Hinweis: Wenn die in Schritt (a) verwendete vertrauenswürdige/interne Zertifizierungsstelle ebenfalls Zertifikate an Benutzer ausstellt, überspringen Sie Schritt (b). Es ist nicht erforderlich, dasselbe Zertifizierungsstellenzertifikat erneut hinzuzufügen, und es muss ebenfalls vermieden werden. Wenn dasselbe CA-Zertifikat erneut hinzugefügt wird, wird "trustpoint" mit "validation-usage none" konfiguriert, was sich auf die Zertifikatsauthentifizierung für RAVPN auswirken kann.
Schritt 1: Navigieren Sie zu
Devices > Certificates, und klicken Sie auf
Add Cert Enrollment .
Wählen Sie Gerät aus, und klicken Sie unter Zertifikatregistrierung auf das Pluszeichen (+).
Hier wird HydrantID Server CA 01 zur Ausstellung von Identitäts-/Benutzerzertifikaten verwendet.
Schritt 2: Geben Sie einen Namen für einen Vertrauenspunkt ein, und wählen Sie
Manual unter
CA information den Registrierungstyp aus.
Schritt 3: Aktivieren
CA Onlyund fügen Sie das Zertifikat der vertrauenswürdigen/internen Zertifizierungsstelle im PEM-Format ein.
Schritt 4: Aktivieren Sie das Kontrollkästchen,
Skip Check for CA flag in basic constraints of the CA Certificateund klicken Sie auf
Save.
Schritt 5: Wählen Sie unter
Cert Enrollment den Vertrauenspunkt aus dem Dropdown-Menü aus, das gerade erstellt wurde, und klicken Sie auf
Add.
Schritt 6: Das zuvor hinzugefügte Zertifikat wird angezeigt als:
3. Konfigurieren des Adresspools für VPN-Benutzer
Schritt 1: Navigieren Sie zu Objects > Object Management > Address Pools > IPv4 Pools .
Schritt 2: Geben Sie den Namen und den IPv4-Adressbereich mit einer Maske ein.
4. Hochladen sicherer Client-Images
Schritt 1: Laden Sie über die Cisco Software-Website WebDeployment sichere Client-Images nach Betriebssystem herunter.
Schritt 2: Navigieren Sie zu Objects > Object Management > VPN > Secure Client File > Add Secure Client File .
Schritt 3: Geben Sie den Namen ein, und wählen Sie die Datei Secure Client von der Festplatte aus.
Schritt 4: Wählen Sie den Dateityp aus, Secure Client Image und klicken Sie auf
Save.
5. XML-Profil erstellen und hochladen
Schritt 1: Laden Sie den Secure Client
Profile Editor von der Cisco Software-Website herunter, und installieren Sie ihn.
Schritt 2: Erstellen Sie ein neues Profil, und wählen Sie im Dropdown-Menü "Clientzertifikatauswahl" die Option
All aus. Es steuert hauptsächlich, welche Zertifikatspeicher(s) Secure Client zum Speichern und Lesen von Zertifikaten verwenden kann.
Zwei weitere Optionen sind:
- Computer - Der sichere Client ist auf die Zertifikatssuche im Zertifikatspeicher des lokalen Windows-Computers beschränkt.
- Benutzer - Der sichere Client ist auf die Zertifikatsuche im lokalen Windows-Benutzerzertifikatsspeicher beschränkt.
Legen Sie den Wert für die Außerkraftsetzung des Zertifikatspeichers auf True fest.
Dadurch kann ein Administrator Secure Client anweisen, Zertifikate im Zertifikatspeicher des Windows-Computers (lokales System) für die Clientzertifikatauthentifizierung zu verwenden. Die Aufhebung des Zertifikatsspeichers gilt nur für SSL, bei dem die Verbindung standardmäßig vom Benutzeroberflächenprozess initiiert wird. Bei Verwendung von IPSec/IKEv2 kann diese Funktion im Profil für sichere Clients nicht verwendet werden.
Schritt 3: Deaktivieren Sie das
Disable Automatic Certificate Selection, da der Benutzer nicht aufgefordert wird, das Authentifizierungszertifikat auszuwählen.
Schritt 4: Erstellen Sie eine
Server List Entry zum Einrichten eines Profils in Secure Client VPN, indem Sie in der Serverliste die Gruppen-Alias- und Gruppen-URL angeben und das XML-Profil speichern.
Schritt 5: Schließlich ist das XML-Profil einsatzbereit.
Speicherort von XML-Profilen für verschiedene Betriebssysteme:
- Windows - C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile
- MacOS - /opt/cisco/anyconnect/profile
- Linux - /opt/cisco/anyconnect/profile
Schritt 6: Navigieren Sie zu
Objects > Object Management > VPN > Secure Client File > Add Secure Client Profile .
Geben Sie den Namen für die Datei ein, und klicken Sie auf
Browse, um das XML-Profil auszuwählen. Klicken Sie auf .
Save
Konfiguration des Remotezugriff-VPNs
Schritt 1: Erstellen Sie eine Zugriffskontrollliste entsprechend der Anforderung, um den Zugriff auf interne Ressourcen zu ermöglichen.
Navigieren Sie zu,
Objects > Object Management > Access List > Standard und klicken Sie auf
Add Standard Access List.
Hinweis: Diese ACL wird von Secure Client verwendet, um sichere Routen zu internen Ressourcen hinzuzufügen.
Schritt 2: Navigieren Sie zu,
Devices > VPN > Remote Access und klicken Sie auf
Add.
Schritt 3: Geben Sie den Namen des Profils ein, wählen Sie das FTD-Gerät aus, und klicken Sie auf "Weiter".
Schritt 4: Geben Sie den Befehl ein,
Connection Profile Nameund wählen Sie die Authentifizierungsmethode
Client Certificate Only wie unter Authentifizierung, Autorisierung und Abrechnung (AAA) aus.
Schritt 5: Klicken Sie
Use IP Address Pools unter Client Address Assignment (Client-Adressenzuweisung) auf und wählen Sie den zuvor erstellten IPv4-Adresspool aus.
Schritt 6: Bearbeiten Sie die Gruppenrichtlinie.
Schritt 7. Navigieren Sie zu
General > Split Tunneling , wählen Sie unter Netzwerklistentyp für Split Tunnel aus
Tunnel networks specified below, und wählen Sie
Standard Access List diese aus.
Wählen Sie die zuvor erstellte ACL aus.
Schritt 8: Navigieren Sie zu
Secure Client > Profile , wählen Sie die aus,
Client Profile und klicken Sie auf
Save.
Schritt 9. Klicken Sie auf
Next, wählen Sie die aus, und klicken Sie
Secure Client Image auf
Next.
Schritt 10. Wählen Sie die Netzwerkschnittstelle für den VPN-Zugriff aus, wählen Sie die aus
Device Certificates, aktivieren Sie sysopt permit-vpn, und klicken Sie auf
Next.
Schritt 11. Überprüfen Sie abschließend alle Konfigurationen, und klicken Sie auf
Finish.
Schritt 12: Nachdem Sie die Ersteinrichtung des Remote Access VPN abgeschlossen haben, bearbeiten Sie das erstellte Verbindungsprofil und wechseln Sie zu
Aliases.
Schritt 13:
group-alias Konfigurieren Sie Ihre Konfiguration, indem Sie auf das Plussymbol (+) klicken.
Schritt 14:
group-url Konfigurieren Sie Ihre Konfiguration, indem Sie auf das Plussymbol (+) klicken. Verwenden Sie dieselbe Gruppen-URL, die zuvor im Clientprofil konfiguriert wurde.
Schritt 15: Navigieren Sie zu Access Interfaces (Zugriffsschnittstellen). Wählen Sie unter den SSL-Einstellungen die
Interface Truspoint und
SSL Global Identity Certificate aus.
Schritt 16: Klicken
Save Sie, und stellen Sie diese Änderungen bereit.
Überprüfung
1. Auf dem Secure Client PC muss das Zertifikat mit einem gültigen Datum, Betreff und einer gültigen EKU auf dem Benutzer-PC installiert sein. Dieses Zertifikat muss von der Zertifizierungsstelle ausgestellt werden, deren Zertifikat, wie zuvor gezeigt, auf FTD installiert ist. Hier wird die Identität bzw. das Benutzerzertifikat von "HydrantID Server CA 01" ausgestellt.
Hinweis: Das Client-Zertifikat muss über die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) für die "Client-Authentifizierung" verfügen.
2. Der Secure Client muss die Verbindung herstellen.
3. Führen Sie
show vpn-sessiondb anyconnect aus, um die Verbindungsdetails des aktiven Benutzers unter der verwendeten Tunnelgruppe zu bestätigen.
firepower# show vpn-sessiondb anyconnect Session Type: AnyConnect Username : dolljain.cisco.com Index : 8 Assigned IP : 10.20.20.1 Public IP : 72.163.X.X Protocol : AnyConnect-Parent SSL-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 Bytes Tx : 14402 Bytes Rx : 9652 Group Policy : DfltGrpPolicy Tunnel Group : RAVPN-CertAuth Login Time : 08:32:22 UTC Mon Mar 18 2024 Duration : 0h:03m:59s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0ac5de050000800065f7fc16 Security Grp : none Tunnel Zone : 0
Fehlerbehebung
1. Die Fehlerbehebungen können über die Diagnose-CLI des FTD ausgeführt werden:
debug crypto ca 14
debug webvpn anyconnect 255
debug crypto ike-common 255
2. Lesen Sie dieses Handbuch für häufige Probleme.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
01-Apr-2024 |
Erstveröffentlichung |