Configurez l'ASA comme serveur des gens du pays CA et Headend d'AnyConnect

Introduction

Ce document décrit comment installer une appliance de sécurité adaptable Cisco (ASA) en tant que serveur d'Autorité de certification (CA) et comme passerelle de Secure Sockets Layer (SSL) pour des Clients à mobilité sécurisés Cisco AnyConnects.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Configuration de base ASA qui exécute la version de logiciel 9.1.x

• ASDM 7.3 ou plus élevé

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Gamme Cisco 5500 ASA qui exécute la version de logiciel 9.1(6)
• Version du client sécurisée 4.x de mobilité d'AnyConnect pour Windows

• PC qui exécute un SYSTÈME D'EXPLOITATION pris en charge par tableau de compatibilité.

• Version 7.3 du Cisco Adaptive Security Device Manager (ASDM)

Note: Téléchargez le paquet du client VPN d'AnyConnect (anyconnect-win*.pkg) depuis la page Téléchargement de logiciel Cisco (clients enregistrés seulement). Copiez le client VPN d'AnyConnect dans la mémoire flash de l'ASA qui doit être téléchargée sur les ordinateurs des utilisateurs distants afin d'établir la connexion VPN SSL avec l'ASA. Référez-vous à la section Installer le client d'AnyConnect du guide de configuration d'ASA pour plus d'informations.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

L'autorité de certification sur l'ASA fournit ces fonctionnalités :

• Intègre l'exécution de base d'autorité de certification sur l'ASA.
• Déploie des Certificats.
• Fournit vérifier sécurisé de révocation des Certificats délivrés.
• Fournit à une autorité de certification sur l'ASA pour l'usage des connexions de VPN SSL de navigateur-based(WebVPN) et de client-based(AnyConnect).
• Certificats numériques de confiance Provides aux utilisateurs, sans nécessité de compter sur l'autorisation externe de certificat.
• Fournit une autorité sécurisée et interne pour l'authentification de certificat et une inscription simple d'utilisateur d'offres au moyen d'une procédure de connexion de site Web.

Instructions et limites

• Pris en charge en mode conduit et transparent de Pare-feu.
• Seulement un serveur local CA à la fois peut être résident sur une ASA.
• L'ASA comme caractéristique de serveur des gens du pays CA n'est pas prise en charge dans une installation de Basculement.
• L'ASA dorénavant agissant en tant que serveur des gens du pays CA prend en charge seulement la génération des Certificats SHA1.
• Le serveur local CA peut être utilisé pour les connexions basées sur navigateur et basées sur client de VPN SSL. Actuellement non pris en charge pour IPSec.
• Ne prend en charge pas l'Équilibrage de charge VPN pour les gens du pays CA.
• Les gens du pays CA ne peuvent pas être un subalterne à un autre CA. Il peut agir seulement comme la racine CA.
• Actuellement l'ASA ne peut pas s'inscrire au serveur des gens du pays CA pour le certificat d'identité.
• Quand une inscription de certificat est terminée, l'ASA enregistre un fichier PKCS12 contenant la chaîne du keypair et de certificat de l'utilisateur, qui exige environ 2 KO de mémoire flash ou d'espace disque par inscription. Le montant effectif d'espace disque dépend des champs configurés de taille et de certificat de clé RSA. Maintenez cette instruction dans l'esprit en ajoutant un grand nombre d'inscriptions de certificat en suspens sur une ASA avec une quantité limitée de mémoire flash disponible, parce que ces fichiers PKCS12 sont enregistrés dans la mémoire flash pour la durée du délai d'attente configuré de récupération d'inscription.

Configurer

  Cette section décrit comment configurer Cisco ASA en tant que serveur des gens du pays CA.

Note: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

ASA en tant que serveur des gens du pays CA

Étape 1. Configurez et activez le serveur des gens du pays CA sur l'ASA

• Naviguez vers la configuration > l'Accès à distance VPN > Gestion de certificat > autorité de certification locale > serveur CA. Vérifiez l'option de serveur d'autorité de certification d'enable.

• Configurez la phrase de passe. La phrase de passe devrait être un minimum, 7 caractères qui est utilisé pour encoder et sauvegarder un fichier PKCS12 qui inclut le certificat de CA et la paire de clés locaux. Le mot de passe déverrouille les archives PKCS12 si le certificat de CA ou le keypair est perdu.

• Configurez le nom d'émetteur. Ce champ apparaîtrait comme NC de certificat racine. Ceci peut être spécifié dans le format suivant : NC (nom commun), OU (unité d'organisation), (o) organisation, L (localité), S (état) et C (pays).

• Configuration facultative : Configurez le serveur SMTP et des configurations de serveur de mail pour assurer l'OTP pourraient être reçues pour finir des clients par l'intermédiaire de la messagerie pour se terminer l'inscription. Vous pouvez configurer l'adresse Internet ou l'adresse IP de votre serveur des gens du pays Email/SMTP. Vous pouvez également configurer de l'adresse et du champ Subject de l'email que les clients recevraient. Par défaut, de l'adresse est l'admin@<ASA hostname>.null et le sujet est invitation d'inscription de certificat.

• Configuration facultative : Vous pouvez configurer les paramètres optionnels comme la taille de taille de clé de client, de clé de serveur CA, la vie de vie de certificat Ca et de certificat client aussi bien.

Équivalent de la CLI :

ASA(config)# crypto ca server
ASA(config-ca-server)# issuer-name CN=ASA.local
ASA(config-ca-server)# subject-name-default CN=ASA.local
ASA(config-ca-server)# lifetime certificate 365
ASA(config-ca-server)# lifetime ca-certificate 1095
ASA(config-ca-server)# passphrase cisco123
ASA(config-ca-server)# no shutdown
% Some server settings cannot be changed after CA certificate generation.
Keypair generation process begin. Please wait...

Completed generation of the certificate and keypair...

Archiving certificate and keypair to storage... Complete

Ce sont des champs supplémentaires qui pourraient être configurés sous la configuration du serveur locale CA.

URL de point de distribution CRL	C'est l'emplacement CRL sur l'ASA. L'emplacement par défaut est http://hostname.domain/+CSCOCA+/asa_ca.crl mais l'URL pourrait être modifié.
Éditez-CRL l'interface et mettez en communication	Pour rendre le CRL disponible pour le HTTP le téléchargez sur une interface donnée et le port, choisissent une interface d'édition-CRL de la liste déroulante. Introduisez alors le numéro de port, qui peut être n'importe quel numéro de port de 1-65535. Le numéro de port par défaut est le port TCP 80.
Vie CRL	Les gens du pays CA mettent à jour et révisent le CRL chaque fois qu'un certificat utilisateur est retiré ou irréformé, mais s'il y a aucune révocation ne change, le CRL est révisée automatiquement une fois que chaque vie CRL, la période où vous spécifiez avec le crlcommand de vie pendant la configuration locale CA. Si vous ne spécifiez pas une vie CRL, la période de délai par défaut est de six heures.
Emplacement de mémoire de base de données	L'ASA accède à et implémente les informations utilisateur, les Certificats délivrés, et les listes de révocation utilisant une base de données des gens du pays CA. Cette base de données réside dans la mémoire flash locale par défaut, ou peut être configurée pour résider sur un système de fichiers externe qui est monté et accessible à l'ASA.
Nom du sujet par défaut	Écrivez un sujet par défaut (chaîne de DN) pour s'ajouter à un nom d'utilisateur sur les Certificats délivrés. Les attributs permis de DN sont fournis dans cette liste : •SN NC (nom commun) (nom de famille) •O (nom d'organisation) •L (localité) •C (pays) •OU (unité d'organisation) •Ea (adresse électronique) •St (état/province) •T (titre)
Période d'inscription	Fixe le délai d'inscription en quelques heures lesoù l'utilisateur pourrait récupérer le fichier PKCS12 de l'ASA. La valeur par défaut est de 24 heures. Remarque: Si la période d'inscription expire avant que l'utilisateur récupère le fichier PKCS12 qui inclut le certificat utilisateur, on ne permet pas l'inscription.
Une expiration du mot de passe de temps	Définit la durée en quelques heures que l'OTP est valide pour l'inscription d'utilisateur. Ce délai prévu commence quand on permet à l'l'utilisateur pour s'inscrire. La valeur de defaut est de 72 heures.
Rappel d'expiration de certificat	Spécifie le nombre de jours avant que le certificat expire qu'un premier rappel au reenroll est envoyé pour délivrer un certificat des propriétaires.

Étape 2. Créez et ajoutez les utilisateurs à la base de données ASA

• Naviguez vers la configuration > l'Accès à distance VPN > Gestion de certificat > autorité de certification locale > gèrent l'utilisateur que Database.Click ajoutent.

• Spécifiez l'utilisateur détaille à savoir l'ID de nom d'utilisateur, d'email et le nom du sujet, suivant les indications de cette image.

• Assurez que qui laissent l'inscription est vérifiée de sorte qu'on te permette pour s'inscrire pour le certificat.
• Cliquez sur Add l'utilisateur pour se terminer la configuration utilisateur.

Équivalent de la CLI :

ASA(config)# crypto ca server user-db add user1 dn CN=user1,OU=TAC email user1@cisco.com

• Après que l'utilisateur soit ajouté à la base de données utilisateur, l'état d'inscription est affiché comme laissé s'inscrire.

CLI pour vérifier l'état d'utilisateur :

ASA# show crypto ca server user-db
username: user1
email:    user1@cisco.com
dn:       CN=user1,OU=TAC
allowed:  19:03:11 UTC Thu Jan 14 2016
notified: 1 times
enrollment status: Allowed to Enroll

• Après que l'utilisateur ait été ajouté à la base de données utilisateur, l'un mot de passe de temps (OTP), pour que l'utilisateur se termine l'inscription, peut être fourni utilisant l'un ou l'autre ceci :

Envoyez l'OTP (exige des configurations de serveur SMTP et d'email à configurer sous la configuration du serveur CA).

                                                                 OU

Visualisez directement l'OTP et le partagez avec l'utilisateur en cliquant sur sur View/Re-generate OTP. Ceci peut également être utilisé au regenrate l'OTP.

Équivalent de la CLI :

!! Email the OTP to the user
ASA# crypto ca server user-db allow user1 email-otp 

!! Display the OTP on terminal
ASA# crypto ca server user-db allow user1 display-otp 
Username: user1
OTP: 18D14F39C8F3DD84
Enrollment Allowed Until: 14:18:34 UTC Tue Jan 12 2016

Étape 3. Webvpn d'enable sur l'interface WAN

• Permettez à l'accès au Web sur l'ASA pour que les clients demandent pour l'inscription.

!! Enable web-access on the "Internet" interface of the ASA
ASA(config)# webvpn
ASA(config-webvpn)#enable Internet

Étape 4. Importez le certificat sur la machine cliente

• Sur le poste de travail de client ouvrez un navigateur et naviguez vers le lien afin de se terminer l'inscription.
• L'IP/FQDN utilisé dans ce lien devrait être l'IP de l'interface sur laquelle le webvpn est activé dans cette étape, qui est Internet d'interface.

https://<ASA IP/FQDN>/+CSCOCA+/enroll.html

• Écrivez le nom d'utilisateur (configuré sur l'ASA sous étape 2, option A) et l'OTP, qui a été fourni par l'intermédiaire de l'email ou manuellement.

• Clic ouvert pour installer directement le certificat client reçu de l'ASA.

• Le mot de passe pour installer le certificat client correspond l'OTP a reçu plus tôt.

• Cliquez sur Next (Suivant).

• Laissez le chemin comme par défaut et cliquez sur Next.

• Écrivez l'OTP dans le domaine de mot de passe.
• Vous pouvez sélectionner l'option de marquer cette clé comme exportable de sorte que la clé ait pu être exportée s'il y a lieu du poste de travail à l'avenir.
• Cliquez sur Next

• Vous pouvez manuellement installer le certificat dans une mémoire particulière de certificat ou le laisser choisir automatiquement la mémoire.
• Cliquez sur Next (Suivant).

• Cliquez sur Finish afin de se terminer l'installation.

• Une fois le certificat est avec succès installé, vous peut le vérifier.

• Ouvrez l'IE et naviguez vers des outils > des options Internet.

• Naviguez pour contenter l'onglet et pour cliquer sur des Certificats, suivant les indications de cette image.

• Sous la mémoire personnelle, vous pouvez voir le certificat reçu de l'ASA.

ASA comme passerelle SSL pour des clients d'AnyConnect

Assistant de configuration ASDM AnyConnect

La configuration Wizard/CLI d'AnyConnect peut être utilisée afin de configurer le client sécurisé de mobilité d'AnyConnect. Assurez-vous qu'un module de client d'AnyConnect a été téléchargé à l'éclair/au disque du Pare-feu ASA avant que vous poursuiviez.

Terminez-vous ces étapes afin de configurer le client sécurisé de mobilité d'AnyConnect par l'intermédiaire de l'assistant de configuration :

1. Connectez-vous dans l'ASDM et naviguez vers les assistants de Wizards> VPN > l'assistant d'AnyConnect VPN pour lancer l'assistant de configuration et à cliquer sur Next.

  2. Écrivez le nom de profil de connexion, choisissez l'interface sur laquelle le VPN sera terminé de l'interface d'accès VPN relâchent vers le bas le menu, et cliquent sur Next.

3. Cochez la case SSL afin d'activer Secure Sockets Layer (SSL). Le certificat de périphérique peut être un certificat délivré par Autorité de certification (CA) de confiance de tiers (tel que Verisign, ou confiez), ou un certificat auto-signé. Si le certificat est déjà installé sur l'ASA, alors il peut être choisi par l'intermédiaire du menu de baisse vers le bas.

1. Note: Ce certificat est le certificat de côté serveur qui sera présenté par ASA aux clients SSL. S'il n'y a aucun Certificats de serveur actuellement installé sur l'ASA qu'un certificat auto-signé doit être généré, alors cliquez sur gèrent.

   Afin d'installer un tiers certificat, terminez-vous les étapes qui sont décrites dans l'ASA 8.x installent manuellement des Certificats de constructeur de tiers pour l'usage avec le document Cisco d'exemple de configuration de webvpn.

   • Activez le certificat de protocoles VPN et de périphérique.
   • Cliquez sur Next (Suivant).

4. Cliquez sur Add afin d'ajouter le module de client d'AnyConnect (fichier .package) du lecteur local ou à partir de l'éclair/du disque de l'ASA.

Cliquez sur Browse Flash afin d'ajouter l'image du lecteur flash, ou cliquez sur Upload afin d'ajouter l'image du lecteur local de l'ordinateur hôte.

• Vous pourriez télécharger le fichier AnyConnect.pkg de l'éclair ASA/disque (si le module est déjà là) ou du lecteur local.
• Parcourez l'éclair – pour sélectionner le module d'AnyConnect à partir de l'éclair/de disque ASA.
• Téléchargement – pour sélectionner le module d'AnyConnect du lecteur local de l'ordinateur hôte.
• Cliquez sur OK.

• Cliquez sur Next (Suivant).

5. L'authentification de l'utilisateur peut être terminée par l'intermédiaire des groupes de serveurs d'Authentification, autorisation et comptabilité (AAA). Si les utilisateurs sont déjà configurés, alors choisissez les GENS DU PAYS et cliquez sur Next. Autrement ajoutez un utilisateur à la base de données locale des utilisateurs et cliquez sur Next.

Note: Dans cet exemple, l'authentification locale est configurée, ainsi il signifie que la base de données locale des utilisateurs sur l'ASA sera utilisée pour l'authentification.

6. Assurez-vous que le pool d'adresses pour les clients vpn est configuré. Si un groupe d'IP est déjà configuré alors sélectionnez-le du menu de baisse vers le bas. Sinon, cliquez sur New afin de configurer. Une fois terminez-vous, cliquez sur Next.

• Cliquez sur Next (Suivant).

7. Sur option, configurez les serveurs de Système de noms de domaine (DNS) et les dn dans les DN et les champs de nom de domaine, et puis cliquez sur Next.

8. Assurez-vous que le trafic entre le client et le sous-réseau intérieur doit être exempt de n'importe quelle traduction d'adresses de réseau dynamique (NAT). Activez le trafic VPN exempt de la case de traduction d'adresses réseau et configurez l'interface de RÉSEAU LOCAL qui sera utilisée pour l'exemption. En outre, spécifiez le réseau local qui doit être exempté et cliqué sur Next.

9. Cliquez sur Next (Suivant).

 10. La dernière étape affiche le résumé, cliquent sur Finish pour se terminer l'installation.

La configuration de client d'AnyConnect est maintenant complète. Cependant, quand vous configurez AnyConnect par l'intermédiaire de l'assistant de configuration, il configure la méthode d'authentification comme AAA par défaut. Afin d'authentifier les clients par l'intermédiaire des Certificats et du nom d'utilisateur/mot de passe, le groupe de tunnels (profil de connexion) doit être configuré pour utiliser des Certificats et l'AAA comme méthode d'authentification.

• Naviguez vers la configuration > l'Accès à distance VPN > réseau (client) Access > des profils de connexion d'AnyConnect.
• Vous devriez voir la nouvelle connexion ajoutée profiler SSL_GRP répertorié.

• Afin de configurer l'AAA et délivrer un certificat l'authentification, sélectionnez le profil SSL_GRP de connexion et cliquez sur Edit.
• Sous la méthode d'authentification, sélectionnez chacun des deux.

Configurez le CLI pour AnyConnect

!! *****Configure the VPN Pool*****

ip local pool VPN_Pool 10.10.10.1-10.10.10.200 mask 255.255.255.0

!! *****Configure Address Objects for VPN Pool and Local Network*****

object network NETWORK_OBJ_10.10.10.0_24
 subnet 10.10.10.0 255.255.255.0

object network NETWORK_OBJ_192.168.10.0_24
 subnet 192.168.10.0 255.255.255.0
 exit
  

!! *****Configure WebVPN***** 

webvpn
 enable Internet
 anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 exit

!! *****Configure User*****

username user1 password mbO2jYs13AXlIAGa encrypted privilege 2
   
!! *****Configure Group-Policy*****

group-policy GroupPolicy_SSL_GRP internal
group-policy GroupPolicy_SSL_GRP attributes
 vpn-tunnel-protocol ssl-client
 dns-server none
 wins-server none
 default-domain none
 exit
  
!! *****Configure Tunnel-Group*****

tunnel-group SSL_GRP type remote-access
tunnel-group SSL_GRP general-attributes
 authentication-server-group LOCAL
 default-group-policy GroupPolicy_SSL_GRP
 address-pool  VPN_Pool
tunnel-group SSL_GRP webvpn-attributes
 authentication aaa certificate
 group-alias SSL_GRP enable
 exit  

!! *****Configure NAT-Exempt Policy*****

nat (Inside,Internet) 1 source static NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 destination static NETWORK_OBJ_10.10.10.0_24 NETWORK_OBJ_10.10.10.0_24 no-proxy-arp route-lookup

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Note: L'Outil d'interprétation de sortie (clients enregistrés seulement) prend en charge certaines commandes d'affichage. Utilisez l'Outil d'interprétation de sortie afin de visualiser une analyse de commande d'affichage de sortie .

Assurez-vous que le serveur CA est activé.

affichez le crypto serveur Ca

ASA(config)# show crypto ca server
Certificate Server LOCAL-CA-SERVER:
    Status: enabled
    State: enabled
    Server's configuration is locked  (enter "shutdown" to unlock it)
    Issuer name: CN=ASA.local
    CA certificate fingerprint/thumbprint: (MD5)
        32e868b9 351a1b07 4b59cce5 704d6615
    CA certificate fingerprint/thumbprint: (SHA1)
        6136511b 14aa1bbe 334c2659 ae7015a9 170a7c4d
    Last certificate issued serial number: 0x1
    CA certificate expiration timer: 19:25:42 UTC Jan 8 2019
    CRL NextUpdate timer: 01:25:42 UTC Jan 10 2016
    Current primary storage dir: flash:/LOCAL-CA-SERVER/

    Auto-Rollover configured, overlap period 30 days
    Autorollover timer: 19:25:42 UTC Dec 9 2018

    WARNING: Configuration has been modified and needs to be saved!!

Assurez-vous qu'on permet l'utilisateur pour l'inscription après avoir ajouté :

*****Before Enrollment*****

ASA# show crypto ca server user-db
username: user1
email:    user1@cisco.com
dn:       CN=user1,OU=TAC
allowed:  19:03:11 UTC Thu Jan 14 2016
notified: 1 times
enrollment status: Allowed to Enroll  >>> Shows the status "Allowed to Enroll"

*****After Enrollment*****

username: user1
email:    user1@cisco.com
dn:       CN=user1,OU=TAC
allowed:  19:05:14 UTC Thu Jan 14 2016
notified: 1 times
enrollment status: Enrolled, Certificate valid until 19:18:30 UTC Tue Jan 10 2017,
Renewal: Allowed

Vous pouvez vérifier les détails de la connexion d'anyconnect par l'intermédiaire du CLI ou de l'ASDM.

Par l'intermédiaire du CLI

affichez l'anyconnect de détail de VPN-sessiondb

ASA# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : user1                  Index        : 1
Assigned IP  : 10.10.10.1             Public IP    : 10.142.189.181
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 13822                  Bytes Rx     : 13299
Pkts Tx      : 10                     Pkts Rx      : 137
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : GroupPolicy_SSL_GRP    Tunnel Group : SSL_GRP
Login Time   : 19:19:10 UTC Mon Jan 11 2016
Duration     : 0h:00m:47s
Inactivity   : 0h:00m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 1.1
  Public IP    : 10.142.189.181
  Encryption   : none                   Hashing      : none
  TCP Src Port : 52442                  TCP Dst Port : 443
  Auth Mode    : Certificate and userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Client OS    : Windows
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.2.00096
  Bytes Tx     : 6911                   Bytes Rx     : 768
  Pkts Tx      : 5                      Pkts Rx      : 1
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 1.2
  Assigned IP  : 10.10.10.1             Public IP    : 10.142.189.181
  Encryption   : RC4                    Hashing      : SHA1
  Encapsulation: TLSv1.0                TCP Src Port : 52443
  TCP Dst Port : 443                    Auth Mode    : Certificate and userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.2.00096
  Bytes Tx     : 6911                   Bytes Rx     : 152
  Pkts Tx      : 5                      Pkts Rx      : 2
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

DTLS-Tunnel:
  Tunnel ID    : 1.3
  Assigned IP  : 10.10.10.1             Public IP    : 10.142.189.181
  Encryption   : AES128                 Hashing      : SHA1
  Encapsulation: DTLSv1.0               UDP Src Port : 59167
  UDP Dst Port : 443                    Auth Mode    : Certificate and userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 30 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.2.00096
  Bytes Tx     : 0                      Bytes Rx     : 12907
  Pkts Tx      : 0                      Pkts Rx      : 142
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

NAC:
  Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
  SQ Int (T)   : 0 Seconds              EoU Age(T)   : 51 Seconds
  Hold Left (T): 0 Seconds              Posture Token:
  Redirect URL :

Par l'intermédiaire de l'ASDM

• Naviguez vers le Monitoring > VPN > VPN Statistics > Sessions.
• Choisissez le filtre par en tant que tout l'Accès à distance.
• Vous pouvez exécuter l'un ou l'autre des actions pour le client sélectionné d'AnyConnect.

Les détails fournissent plus d'informations au sujet de session

Déconnexion pour se déconnecter manuellement l'utilisateur du Headend

Cinglez pour cingler le client d'AnyConnect du Headend

Dépanner

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Note: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

Attention : Sur l'ASA, vous pouvez placer divers mettez au point des niveaux ; par défaut, le niveau 1 est utilisé. Si vous changez le niveau de débogage, la verbosité du met au point pourrait augmenter. Faites ceci avec prudence, particulièrement dans les environnements de production.

• debug crypto Ca
• serveur du debug crypto Ca
• messages du debug crypto Ca
• transactions du debug crypto Ca
• anyconnect de debug webvpn

Cette sortie de débogage affiche quand le serveur CA est activé utilisant l'aucune commande fermée.

ASA# debug crypto ca 255
ASA# debug crypto ca server 255
ASA# debug crypto ca message 255
ASA# debug crypto ca transaction 255

CRYPTO_CS: input signal enqueued: no shut   >>>>> Command issued to Enable the CA server 
Crypto CS thread wakes up!

CRYPTO_CS: enter FSM: input state disabled, input signal no shut
CRYPTO_CS: starting enabling checks
CRYPTO_CS: found existing serial file.
CRYPTO_CS: started CA cert timer, expiration time is 17:53:33 UTC Jan 13 2019
CRYPTO_CS: Using existing trustpoint 'LOCAL-CA-SERVER' and CA certificate
CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.ser
CRYPTO_CS: DB version 1
CRYPTO_CS: last issued serial number is 0x4
CRYPTO_CS: closed ser file
CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.crl
CRYPTO_CS: CRL file LOCAL-CA-SERVER.crl exists.
CRYPTO_CS: Read 220 bytes from crl file.
CRYPTO_CS: closed crl file
CRYPTO_PKI: Storage context locked by thread Crypto CA Server

CRYPTO_PKI: inserting CRL
CRYPTO_PKI: set CRL update timer with delay: 20250
CRYPTO_PKI: the current device time: 18:05:17 UTC Jan 16 2016

CRYPTO_PKI: the last CRL update time: 17:42:47 UTC Jan 16 2016
CRYPTO_PKI: the next CRL update time: 23:42:47 UTC Jan 16 2016
CRYPTO_PKI: CRL cache delay being set to: 20250000
CRYPTO_PKI: Storage context released by thread Crypto CA Server

CRYPTO_CS: Inserted Local CA CRL into cache!

CRYPTO_CS: shadow not configured; look for shadow cert
CRYPTO_CS: failed to find shadow cert in the db
CRYPTO_CS: set shadow generation timer
CRYPTO_CS: shadow generation timer has been set
CRYPTO_CS: Enabled CS.
CRYPTO_CS: exit FSM: new state enabled
CRYPTO_CS: cs config has been locked.

Crypto CS thread sleeps!

Cette sortie de débogage affiche l'inscription du client

ASA# debug crypto ca 255
ASA# debug crypto ca server 255
ASA# debug crypto ca message 255
ASA# debug crypto ca transaction 255

CRYPTO_CS: writing serial number 0x2.
CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.ser
CRYPTO_CS: Writing 32 bytes to ser file
CRYPTO_CS: Generated and saving a PKCS12 file for user user1
at flash:/LOCAL-CA-SERVER/user1.p12

L'inscription du client peut échouer dans ces conditions :

Scénario 1.

• L'utilisateur est créé dans la base de données du serveur CA sans autorisation de s'inscrire.

Équivalent de la CLI :

ASA(config)# show crypto ca server user-db
username: user1
email:    user1@cisco.com
dn:       CN=user1,OU=TAC
allowed:  <not allowed>
notified: 0 times
enrollment status: Not Allowed to Enroll

• Dans le cas où on ne permet pas à l'l'utilisateur pour s'inscrire, essayant pour se produire/email l'OTP pour l'utilisateur génère ce message d'erreur.

Scénario 2.

• Vérifiez le port et reliez sur ce que le portail d'inscription est disponible utilisant la commande de webvpn de passage d'exposition. Le port par défaut est 443 mais peut être modifié.

• Assurez-vous que le client a l'accessibilité de réseau à l'adresse IP de l'interface sur laquelle le webvpn est activé sur le port utilisé pour accéder à avec succès le portail d'inscription.

Le client peut pour accéder au portail d'inscription de l'ASA dans des ces cas :

1. Si n'importe quel périphérique intermédiaire bloque les connexions entrantes du client à l'IP de webvpn de l'ASA sur le port spécifié.
2. L'état de l'interface est en baisse sur quel webvpn est activé.

• Cette sortie prouve que le portail d'inscription est disponible à l'adresse IP de l'Internet d'interface sur le port fait sur commande 4433.

ASA(config)# show run webvpn
webvpn
 port 4433
 enable Internet
 no anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1 
 anyconnect enable 
 tunnel-group-list enable

Scénario 3.

• L'emplacement par défaut de la mémoire de base de données du serveur CA est mémoire flash de l'ASA.
• Assurez-vous que la mémoire flash a l'espace libre pour générer et sauvegarder le fichier pkcs12 pour l'utilisateur pendant l'inscription.
• Dans le cas où la mémoire flash n'a pas assez d'espace libre, l'ASA ne complète pas le procédé de l'inscription du client et génère ces derniers mettent au point des logs :

ASA(config)# debug crypto ca 255
ASA(config)# debug crypto ca server 255
ASA(config)# debug crypto ca message 255
ASA(config)# debug crypto ca transaction 255
ASA(config)# debug crypto ca trustpool 255
CRYPTO_CS: writing serial number 0x2.
CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.ser
CRYPTO_CS: Writing 32 bytes to ser file
CRYPTO_CS: Generated and saving a PKCS12 file for user user1
at flash:/LOCAL-CA-SERVER/user1.p12

CRYPTO_CS: Failed to write to opened PKCS12 file for user user1, fd: 0, status: -1.

CRYPTO_CS: Failed to generate pkcs12 file for user user1 status: -1.

CRYPTO_CS: Failed to process enrollment in-line for user user1. status: -1

Informations connexes

• Dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500
• Guide de dépannage de client VPN AnyConnect – Problèmes fréquents
• Gérant, surveillant, et dépannage des sessions d'AnyConnect
• Support et documentation techniques - Cisco Systems