Configurer l'authentification basée sur certificat Anyconnect pour l'accès mobile

Options de téléchargement

  • PDF     (1.8 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.7 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:6 septembre 2024
ID du document:217966

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit un exemple de mise en oeuvre de l'authentification basée sur les certificats sur les périphériques mobiles.

    Conditions préalables

    Les outils et périphériques utilisés dans le guide sont les suivants :

    • Cisco Firepower Threat Defense (FTD) 
    • Firepower Management Center (FMC)
    • Appareil Apple iOS (iPhone, iPad)
    • Autorité de certification (CA)
    • Logiciel client Cisco Anyconnect

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • VPN de base
    • SSL/TLS
    • Infrastructure à clé publique
    • Expérience avec FMC
    • OpenSSL
    • Cisco Anyconnect

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Périphérique FTD Cisco
    • Cisco FMC
    • Serveur CA Microsoft
    • XCA
    • Cisco Anyconnect
    • ipad Apple

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer Cisco Anyconnect sur FTD

    Cette section décrit les étapes à suivre pour configurer Anyconnect via FMC. Avant de commencer, assurez-vous de déployer toutes les configurations.


    Diagramme du réseau

    Lab Topology with Five Devices

    Ajouter un certificat au FTD

    Étape 1 : création d’un certificat pour le FTD sur le périphérique FMC Accédez à Devices > Certificate et choisissez Add, comme illustré dans cette image :

    Graphical User Interface, Webpage FMC. Image of Certificates on Firepower Management Center.


    Étape 2. Choisissez le FTD souhaité pour la connexion VPN. Sélectionnez le dispositif FTD dans la liste déroulante des périphériques. Cliquez sur l'icône + pour ajouter une nouvelle méthode d'inscription de certificat, comme illustré dans cette image :

    Graphical User Interface, Webpage FMC. Image of Add New Certificate.

    Étape 3. Ajout des certificats au périphérique Choisissez l'option qui est la méthode préférée pour obtenir des certificats dans l'environnement.

    Conseil : Les options disponibles sont les suivantes : Certificat auto-signé - Générer un nouveau certificat localement, SCEP - Utiliser le protocole SCEP (Simple Certificate Enrollment Protocol) pour obtenir un certificat auprès d’une autorité de certification, Manuel - Installer manuellement le certificat racine et le certificat d’identité, PKCS12 - Charger le lot de certificats chiffrés avec la racine, l’identité et la clé privée.

    Étape 4 : chargement du certificat sur le périphérique FTD Entrez le code secret (PKCS12 uniquement) et cliquez sur Save, comme illustré dans cette image :

    Graphical User Interface, Webpage FMC. Image of Add Cert Enrollment.

    Remarque : Une fois que vous avez enregistré le fichier, le déploiement des certificats a lieu immédiatement. Pour afficher les détails du certificat, sélectionnez l'ID.

    Configuration de Cisco Anyconnect

    Configurez Anyconnect via FMC avec l'assistant d'accès à distance.

    Étape 1. Démarrez l’assistant de stratégie VPN d’accès à distance pour configurer Anyconnect.

    Accédez à Périphériques > Accès à distance et choisissez Ajouter.

    Graphical User Interface, Webpage FMC. Image of Remote Access Page on FMC.

    Étape 2. Affectation de la stratégie

    Terminez l'affectation de la stratégie :
    a. Nommez la stratégie.

    b. Sélectionnez les protocoles VPN souhaités.

    c. Choisissez le périphérique ciblé pour appliquer la configuration.

    Graphical User Interface, Webpage FMC. Image of Remote Access VPN Policy Wizard.

    Étape 3. Profil de connexion

    a. Nommez le profil de connexion.
    b. Définissez la méthode d'authentification sur Certificat client uniquement.

    c. Attribuez un pool d'adresses IP et, si nécessaire, créez une nouvelle stratégie de groupe.

    d. Cliquez sur Next (Suivant).

    Graphical User Interface, Webpage FMC. Remote Access VPN Policy Wizard Step 2. Connection Profile.

    Remarque : Sélectionnez le champ principal à utiliser pour entrer le nom d'utilisateur des sessions d'authentification. Le CN du certificat est utilisé dans ce guide.

    Étape 4. Anyconnect.

    Ajoutez une image Anyconnect à l'appliance. Téléchargez la version préférée d'Anyconnect et cliquez sur Next.

    Remarque : Les packages Cisco Anyconnect peuvent être téléchargés à partir de Software.Cisco.com.

    Étape 5. Accès et certificat

    Appliquez le certificat à une interface et activez Anyconnect au niveau de l'interface, comme illustré dans cette image, et cliquez sur Next.

    Graphical User Interface, Webpage FMC. Image of Step 4. of Remote Access VPN Policy Wizard.

    Étape 6. Résumé.

    Vérifiez les configurations. Si tous les extraient, cliquez sur Terminer, puis sur Déployer.

    Créer un certificat pour les utilisateurs mobiles

    Créez un certificat à ajouter au périphérique mobile utilisé dans la connexion.

    Étape 1. XCA.

    a. Ouvrir XCA

    b. Démarrer une nouvelle base de données

    Étape 2 : création d'une CSR

    a. Choisir une demande de signature de certificat (CSR)

    b. Choisir une nouvelle demande

    c. Entrez la valeur avec toutes les informations requises pour le certificat

    d. Générer une nouvelle clé

    e. Lorsque vous avez terminé, cliquez sur OK

    Graphical User Interface, Application XCA. Image of Certificate and Key Management on XCA.

    Remarque : Ce document utilise le code NC du certificat.

    Étape 3 : envoi d'un CSR

    a. Exporter la CSR

    b. Envoyer un CSR à l'autorité de certification pour obtenir un nouveau certificat

    Graphical User Interface, AnyConnect Application

    Remarque : Utilisez le format PEM du CSR.

    Installation sur un appareil mobile

    Étape 1 : ajout du certificat du périphérique au périphérique mobile
    Étape 2 : partage du certificat avec l’application Anyconnect pour ajouter la nouvelle application de certificat

    Mise en garde : L'installation manuelle nécessite que l'utilisateur partage le certificat avec l'application. Cela ne s'applique pas aux certificats transmis via des MDM.

    Graphical User Interface, Application Files. Image of Certificate File on IOS Device.

    Étape 3. Entrez le mot de passe du certificat pour le fichier PKCS12.

    Étape 4 : création d’une nouvelle connexion sur Anyconnect

    Étape 5. Accédez aux nouvelles connexions ; Connexions > Ajouter une connexion VPN.

    Graphical User Interface, Application AnyConnect. Image of AnyConnect Application on IOS Device.

    Étape 6. Entrez les informations relatives à la nouvelle connexion. 

    Description: Nommer la connexion

    Adresse du serveur : Adresse IP ou nom de domaine complet de FTD

    Avancé : Configurations supplémentaires

    Étape 7. Sélectionnez Avancé.

    Étape 8. Choisissez Certificate et choisissez votre nouveau certificat ajouté.

    Graphical User Interface, Application AnyConnect. Image of Select Certificate on AnyConnect Application.

    Étape 9. Revenez à Connexions et testez.

    Une fois l'opération terminée, la bascule reste activée et les détails apparaissent connectés dans l'état.

    Graphical User Interface, Website. Image of AnyConnect Application. Status Connected - Graph showing Traffic being Generated.

    Vérifier

    La commande show vpn-sessiondb detail Anyconnect affiche toutes les informations sur l'hôte connecté.

    Conseil : L'option permettant de filtrer davantage cette commande est les mots clés « filter » ou « sort » ajoutés à la commande.

    Exemple :

    Tcoutrie-FTD3# show vpn-sessiondb detail Anyconnect


Username : Cisco_Test Index : 23
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Protocol : Anyconnect-Parent SSL-Tunnel DTLS-Tunnel
License : Anyconnect Premium, Anyconnect for Mobile
Encryption : Anyconnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hash : Anyconnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 8627 Bytes Rx : 220
Pkts Tx : 4 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : SSL Tunnel Group : SSL
Login Time : 13:03:28 UTC Mon Aug 2 2021
Duration : 0h:01m:49s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a7aa95d000170006107ed20
Security Grp : none Tunnel Zone : 0

Anyconnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

Anyconnect-Parent:
Tunnel ID : 23.1
Public IP : 10.118.18.168
Encryption : none Hashing : none
TCP Src Port : 64983 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : apple-ios
Client OS Ver: 14.6
Client Type : Anyconnect
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 6299 Bytes Rx : 220
Pkts Tx : 2 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 23.2
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 64985
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Apple iOS
Client Type : SSL VPN Client
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 2328 Bytes Rx : 0
Pkts Tx : 2 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 23.3
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 51003
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Apple iOS
Client Type : DTLS VPN Client
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 0 Bytes Rx : 0
Pkts Tx : 0 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

    Dépannage

    Déboguages

    Les débogages requis pour résoudre ce problème sont les suivants :

    Debug crypto ca 14

Debug webvpn 255

Debug webvpn Anyconnect 255

    Si la connexion est IPSEC et non SSL :

    Debug crypto ikev2 platform 255

Debug crypto ikev2 protocol 255

debug crypto CA 14

    Journaux de l'application mobile Anyconnect :

    Accédez à Diagnostic > VPN Debug Logs > Share logs.

    Graphical User Interface, Application AnyConnect. Image of Diagnostics Page.

    Saisissez les informations suivantes :

    • Problème
    • Étapes à reproduire

    Accédez ensuite à Send > Share with.

    Graphical User Interface, Application AnyConnect. Image of Share Logs Page.

    Cette option permet d'utiliser un client de messagerie pour envoyer les journaux.

    Historique de révision

    Révision Date de publication Commentaires
    3.0
    06-Sep-2024
    Alertes CCW vérifiées et traitéesVérifié pour l'orthographe/la grammaire
    2.0
    10-Aug-2023
    Balises MDF, exigences de style, texte de remplacement et mise en forme mis à jour.
    1.0
    14-Jul-2022
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Terrell Coutrier
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits