Configurer l'authentification de certificat client sécurisé sur FTD géré par FMC

Mis à jour:1 avril 2024
ID du document:221839

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le processus de configuration du VPN d'accès à distance sur Firepower Threat Defense (FTD) géré par Firepower Management Center (FMC) avec l'authentification de certificat.

    Contribution de Dolly Jain et Rishabh Aggarwal, Ingénieur du centre d'assistance technique Cisco.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :


    · Inscription manuelle des certificats et notions de base de SSL
    · FMC
    · Connaissances de base en authentification pour VPN d'accès à distance
    · Autorité de certification (AC) tierce comme Entrust, Geotrust, GoDaddy, Thawte et VeriSign.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :


    · Défense contre les menaces Secure Firepower version 7.4.1
    · Firepower Management Center (FMC) version 7.4.1
    · Client sécurisé version 5.0.05040
    · Hydrant / IdentTrust en tant que serveur CA

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer

    Diagramme du réseau

    Diagramme du réseauDiagramme du réseau

    Configurations


    Pour configurer un VPN d'accès à distance avec authentification de certificat dans FMC, vous devez :

    · Créez un certificat utilisé pour l'authentification du serveur.

    · Ajoutez un certificat CA approuvé ou interne sur FTD via FMC pour authentifier le certificat utilisateur.
    · Créez un pool d'adresses pour les utilisateurs VPN.
    · Télécharger des images Secure Client pour différentes plates-formes.

    · Créer et télécharger un profil XML.

    1. Importer un certificat utilisé pour l'authentification du serveur

    note-icon

    Remarque : sur FMC, un certificat CA est nécessaire avant de pouvoir générer le CSR. Si CSR est généré à partir d'une source externe (openssl ou tierce partie), la méthode manuelle échoue et le format de certificat PKCS12 doit être utilisé.


    Étape 1. Accédez à Devices > Certificateset cliquez sur Add Cert Enrollment. Sélectionnez Périphérique et cliquez sur le signe plus (+) sous Inscription au certificat.

    Ajouter une inscription de certificatAjouter une inscription de certificat

    Étape 2. Sous l'CA Information, sélectionnez le type d'inscription comme Manual et collez le certificat d'autorité de certification (CA) utilisé pour signer le CSR.

    Ajouter des informations CAAjouter des informations CA

    Étape 3. Pour Utilisation de la validation, sélectionnez IPsec Client, SSL Client et Skip Check for CA flag in basic constraints of the CA Certificate.

    Étape 4. SousCertificate Parameters, renseignez les détails du nom de l'objet.

    Ajouter des paramètres de certificatAjouter des paramètres de certificat

    Étape 5. Sous Keysélectionnez le type de clé RSA avec un nom et une taille de clé. Cliquez sur Save.

    note-icon

    Remarque : pour le type de clé RSA, la taille de clé minimale est de 2 048 bits.

    Ajouter une clé RSAAjouter une clé RSA


    Étape 6. SousCert Enrollment, sélectionnez le point de confiance dans la liste déroulante qui vient d'être créé et cliquez sur Add.

    Ajouter un nouveau certificatAjouter un nouveau certificat

    Étape 7. Cliquez sur ID, puis sur Yes une autre invite pour générer le CSR.

    Générer CSRGénérer CSR

    Étape 8. Copiez le CSR et faites-le signer par l'autorité de certification. Une fois le certificat d'identité émis par l'autorité de certification, importez-le en cliquant sur Browse Identity Certificate et cliquez sur Import .

    Importer le certificat IDImporter le certificat ID

    2. Ajouter un certificat CA approuvé/interne

    note-icon

    Remarque : si l'autorité de certification interne/de confiance utilisée à l'étape (a) émet également des certificats aux utilisateurs, ignorez l'étape (b). Il n'est pas nécessaire d'ajouter à nouveau le même certificat d'autorité de certification et il doit également être évité. Si le même certificat CA est ajouté à nouveau, trustpoint est configuré avec « validation-usage none », ce qui peut avoir un impact sur l'authentification de certificat pour RAVPN.

    Étape 1. Accédez à Devices > Certificates et cliquez sur Add Cert Enrollment .

    Sélectionnez Périphérique et cliquez sur le signe plus (+) sous Inscription au certificat.

    Ici, HydrantID Server CA 01 est utilisé pour émettre des certificats d'identité/d'utilisateur.

    Serveur HydrantID CA 01Serveur HydrantID CA 01

    Étape 2. Entrez un nom de point de confiance et sélectionnezManual comme type d'inscription sous CA information.

    Étape 3. Vérifiez CA Onlyet collez le certificat CA approuvé/interne au format pem.

    Étape 4. Cochez Skip Check for CA flag in basic constraints of the CA Certificateet cliquez sur Save.

    Ajouter un point de confianceAjouter un point de confiance

    Étape 5. Sous Cert Enrollment, sélectionnez le point de confiance dans la liste déroulante qui vient d'être créée et cliquez sur Add.

    Ajouter une autorité de certification interneAjouter une autorité de certification interne

    Étape 6. Le certificat ajouté précédemment s'affiche comme suit :

    Certificat ajoutéCertificat ajouté

    3. Configurer le pool d’adresses pour les utilisateurs VPN


    Étape 1. Accédez à Objects > Object Management > Address Pools > IPv4 Pools .


    Étape 2. Entrez le nom et la plage d'adresses IPv4 avec un masque.

    Ajouter un pool IPv4Ajouter un pool IPv4

    4. Télécharger des images client sécurisées

    Étape 1. Téléchargez des images client sécurisées WebDéploiement conformément au système d'exploitation à partir du site Cisco Software.


    Étape 2. Accédez à Objects > Object Management > VPN > Secure Client File > Add Secure Client File .


    Étape 3. Entrez le nom et sélectionnez le fichier Secure Client sur le disque.


    Étape 4. Sélectionnez le type de fichier comme Secure Client Image et cliquez sur Save.

    Ajouter une image de client sécuriséAjouter une image de client sécurisé

    5. Créer et télécharger un profil XML

    Étape 1. Téléchargez et installez le client sécurisé Profile Editor à partir du site Cisco Software.

    Étape 2. Créez un nouveau profil et sélectionnez-leAll dans la liste déroulante Sélection de certificat client. Il contrôle principalement quel(s) magasin(s) de certificats Secure Client peut utiliser pour stocker et lire des certificats. 

    Deux autres options sont disponibles :

    1. Ordinateur - Le client sécurisé est limité à la recherche de certificats sur le magasin de certificats de l'ordinateur local Windows.
    2. Utilisateur - Le client sécurisé est limité à la recherche de certificats sur le magasin de certificats d'utilisateur Windows local.
      3.

    Définir le remplacement du magasin de certificats sur True.

    Cela permet à un administrateur d'indiquer au client sécurisé d'utiliser les certificats dans le magasin de certificats de l'ordinateur Windows (système local) pour l'authentification du certificat client. Le remplacement du magasin de certificats s'applique uniquement à SSL, où la connexion est initiée, par défaut, par le processus de l'interface utilisateur. Lorsque vous utilisez IPSec/IKEv2, cette fonctionnalité du profil client sécurisé n'est pas applicable.

    Ajouter des préférences (Partie 1)Ajouter des préférences (Partie 1)

    Étape 3. Décochez la case Disable Automatic Certificate Selection car elle évite l'invite de l'utilisateur à sélectionner le certificat d'authentification.

    Ajouter des préférences (Partie 2)Ajouter des préférences (Partie 2)

    Étape 4. Créez un Server List Entry pour configurer un profil dans Secure Client VPN en fournissant group-alias et group-url sous la Liste des serveurs et enregistrez le profil XML.

    Ajouter une liste de serveursAjouter une liste de serveurs

    Étape 5. Enfin, le profil XML est prêt à être utilisé.

    Profil XMLProfil XML

    Emplacement des profils XML pour différents systèmes d'exploitation :

    • Windows - C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile
      •
    • MacOS - /opt/cisco/anyconnect/profile
      •
    • Linux - /opt/cisco/anyconnect/profile
      •

    Étape 6. Accédez à Objects > Object Management > VPN > Secure Client File > Add Secure Client Profile .

    Entrez le nom du fichier et cliquez sur Browse pour sélectionner le profil XML. Cliquez sur Save.

    Ajouter un profil VPN client sécuriséAjouter un profil VPN client sécurisé

    Configuration VPN d'accès à distance

    Étape 1. Créez une liste de contrôle d’accès en fonction des besoins pour autoriser l’accès aux ressources internes.

    Accédez à Objects > Object Management > Access List > Standard et cliquez sur Add Standard Access List.

    Ajouter une ACL standardAjouter une ACL standard

    note-icon

    Remarque : cette liste de contrôle d'accès est utilisée par le client sécurisé pour ajouter des routes sécurisées aux ressources internes.

    Étape 2. Accédez à Devices > VPN > Remote Access et cliquez sur Add.


    Étape 3. Saisissez le nom du profil, puis sélectionnez le périphérique FTD et cliquez sur Next (Suivant).

    Ajouter un nom de profilAjouter un nom de profil

    Étape 4. Saisissez le Connection Profile Nameet sélectionnez la méthode d'authentification comme Client Certificate Only sous Authentication, Authorization and Accounting (AAA).

    Sélectionner une méthode d'authentificationSélectionner une méthode d'authentification

    Étape 5. Cliquez sur Use IP Address Pools sous Client Address Assignment et sélectionnez le pool d'adresses IPv4 créé précédemment.

    Sélectionner l'affectation d'adresses clientSélectionner l'affectation d'adresses client

    Étape 6. Modifiez la stratégie de groupe. 

    Modifier la stratégie de groupeModifier la stratégie de groupe

    Étape 7. Accédez à General > Split Tunneling , sélectionnez Tunnel networks specified below et sélectionnez Standard Access List sous Split Tunnel Network List Type.

    Sélectionnez la liste de contrôle d’accès créée précédemment.

    Ajouter une tunnellisation partagéeAjouter une tunnellisation partagée

    Étape 8. Accédez à Secure Client > Profile , sélectionnez le Client Profile et cliquez sur Save.

    Ajouter un profil client sécuriséAjouter un profil client sécurisé

    Étape 9. Cliquez sur Next, puis sélectionnez le Secure Client Image et cliquez sur Next.

    Ajouter une image de client sécuriséAjouter une image de client sécurisé

    Étape 10. Sélectionnez l'interface réseau pour l'accès VPN, choisissez le Device Certificates et cochez sysopt permit-vpn et cliquez sur Next.

    Ajouter un contrôle d'accès pour le trafic VPNAjouter un contrôle d'accès pour le trafic VPN

    Étape 11. Enfin, passez en revue toutes les configurations et cliquez sur Finish. 

    Configuration de la stratégie VPN d'accès à distanceConfiguration de la stratégie VPN d'accès à distance

    Étape 12. Une fois la configuration initiale du VPN d'accès à distance terminée, modifiez le profil de connexion créé et accédez à Aliases. 

    Étape 13. Configurez group-alias en cliquant sur l'icône plus (+).

    Modifier un alias de groupeModifier un alias de groupe

    Étape 14. Configurez group-url en cliquant sur l'icône plus (+). Utilisez la même URL de groupe que celle configurée précédemment dans le profil client.

    Modifier l'URL du groupeModifier l'URL du groupe

    Étape 15. Accédez à Access Interfaces. Sélectionnez les Interface Truspoint et les SSL Global Identity Certificate sous les paramètres SSL.

    Modifier les interfaces d'accèsModifier les interfaces d'accès

    Étape 16. CliquezSave sur et déployez ces modifications.

    Vérifier

    1. Le certificat doit être installé sur le PC client sécurisé avec une date, un objet et une UKE valides sur le PC utilisateur. Ce certificat doit être émis par l'autorité de certification dont le certificat est installé sur le FTD, comme indiqué précédemment. Ici, le certificat d'identité ou d'utilisateur est émis par "HydrantID Server CA 01".

    Points saillants du certificatPoints saillants du certificat

    note-icon

    Remarque : le certificat client doit avoir l'utilisation améliorée de la clé (EKU) « Authentification client ».

    2. Le client sécurisé doit établir la connexion.

    Connexion client sécurisée réussieConnexion client sécurisée réussie

    3. Exécutez show vpn-sessiondb anyconnect pour confirmer les détails de connexion de l'utilisateur actif dans le groupe de tunnels utilisé.

    firepower# show vpn-sessiondb anyconnect Session Type: AnyConnect Username : dolljain.cisco.com Index : 8 Assigned IP : 10.20.20.1 Public IP : 72.163.X.X Protocol : AnyConnect-Parent SSL-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 Bytes Tx : 14402 Bytes Rx : 9652 Group Policy : DfltGrpPolicy Tunnel Group : RAVPN-CertAuth Login Time : 08:32:22 UTC Mon Mar 18 2024 Duration : 0h:03m:59s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0ac5de050000800065f7fc16 Security Grp : none Tunnel Zone : 0

    Dépannage

    1. Les débogages peuvent être exécutés à partir de l'interface de ligne de commande de diagnostic du FTD :

    debug crypto ca 14
    debug webvpn anyconnect 255
    debug crypto ike-common 255

    2. Reportez-vous à ce guide pour les problèmes courants.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    01-Apr-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Dolly Jain
      Ingénieur TAC Cisco
    • Rishabh Aggarwal
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits