Beveiligde clientcertificaatverificatie configureren op FTD beheerd door FMC

Downloadopties

  • PDF     (2.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.3 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.8 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:26 maart 2025
Document-id:221839

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u een VPN voor externe toegang configureert op Firepower Threat Defense (FTD), beheerd door Firepower Management Center (FMC) met certificaatverificatie.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Handmatige certificaatregistratie en basisprincipes van Secure Sockets Layer (SSL)
    • FMC
    • Basiskennis van verificatie voor Remote Access VPN
    • Externe certificeringsinstantie (CA) zoals Entrust, Geotrust, GoDaddy, Thawte en VeriSign

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • Secure Firepower Threat Defense versie 7.4.1
    • FMC versie 7.4.1
    • Secure Client versie 5.0.05040
    • Microsoft Windows Server 2019 als CA-server

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    Network DiagramNetwerkdiagram

    Configuraties

     Een certificaat maken/importeren dat wordt gebruikt voor serververificatie

    note-icon

    Opmerking: op FMC is een certificaat van de certificeringsinstantie (CA) nodig voordat u de CSR kunt genereren. Als CSR wordt gegenereerd vanuit een externe bron (OpenSSL of 3rd party), mislukt de handmatige methode en moet de PKCS12-certificaatindeling worden gebruikt.


    Stap 1. Navigeer naarDevices > Certificatesen klikAddop. Kies Apparaat en klik op het plusteken (+) onder Inschrijving voor cert.

    Add Cert EnrollmentCert-inschrijving toevoegen

    Stap 2. Kies onderCA Informationhet inschrijvingstype alsManualen plak het CA-certificaat dat wordt gebruikt om de CSR te ondertekenen.

    Add CA InformationCA-gegevens toevoegen

    Stap 3. kiezen Skip Check for CA flag in basic constraints of the CA Certificate as shown in the earlier image.

    Stap 4. Vul onderCertificate Parametersde naam van het onderwerp details in.

    Add Certificate ParametersCertificaatparameters toevoegen

    Stap 5. Kies onderKeyhet sleuteltype als RSA met een sleutelnaam en -grootte. Klik op de knop .Save

    note-icon

    Opmerking: voor RSA-sleuteltype is de minimale sleutelgrootte 2048 bits.

    Add RSA keyRSA-sleutel toevoegen


    Stap 6. Kies onderCert Enrollmenthet vertrouwenspunt uit de vervolgkeuzelijst die zojuist is gemaakt en klikAdd.

    Add New CertificateNieuw certificaat toevoegen

    Stap 7. Klik op ID en klik vervolgens opYesde volgende prompt om de CSR te genereren.

    Generate CSRMVO genereren

    Stap 8. Kopieer de CSR en laat deze ondertekenen door de certificeringsinstantie. Zodra het identiteitscertificaat is afgegeven door CA, importeert u het door te klikkenBrowse Identity Certificateen te klikkenImport.

    Import ID CertificateID-invoercertificaat

    note-icon

    Opmerking: Als de uitgifte van het ID-certificaat tijd kost, kunt u stap 7 later herhalen. Hierdoor wordt dezelfde CSR gegenereerd en kunt u het ID-certificaat importeren.

    Een vertrouwd/intern CA-certificaat toevoegen

    Stap 1. Navigeer naarDevices > Certificatesen klik opAdd.

    Kies Apparaat en klik op het plusteken (+) onder Inschrijving voor cert.

    Hier wordt auth-risaggar-ca gebruikt om identiteits-/gebruikerscertificaten uit te geven.

    auth-risaggar-caauth-risaggar-ca

    Stap 2. Voer een trustpointnaam in en kiesManualhieronder als inschrijvingstypeCA information.

    Stap 3. ControleerCA Onlyen plak het vertrouwde/interne CA-certificaat in pem-indeling.

    Stap 4. Controleer  Skip Check for CA flag in basic constraints of the CA Certificateen klikSave.

    Add TrustpointTrustpoint toevoegen

    Stap 5. Kies onderCert Enrollmenthet vertrouwenspunt uit de vervolgkeuzelijst die zojuist is gemaakt en klikAdd.

    Add Internal CAInterne CA toevoegen

    Stap 6. Het certificaat dat eerder is toegevoegd, wordt weergegeven als:

    Added CertificateCertificaat toegevoegd

    Adresgroep configureren voor VPN-gebruikers

    Stap 1. Navigeer naarObjects > Object Management > Address Pools > IPv4 PoolsEuropa.


    Stap 2. Voer de naam en het IPv4-adresbereik in met een masker.

    Add IPv4 PoolIPv4-groep toevoegen

    Beveiligde clientimages uploaden

    Stap 1. Download webdeploy beveiligde clientimages volgens besturingssysteem vanaf de website Cisco Software.


    Stap 2. Navigeer naarObjects > Object Management > VPN > Secure Client File > Add Secure Client FileEuropa.


    Stap 3. Voer de naam in en kies het Secure Client-bestand op de schijf.


    Stap 4. Kies het bestandstype alsSecure Client Imageen klik opSave.

    Add Secure Client ImageBeveiligde clientimage toevoegen

    XML-profiel maken en uploaden

    Stap 1. Download en installeer de Secure Client vanaf de Cisco Software-siteProfile Editor.

    Stap 2. Maak een nieuw profiel en kiesAlluit de keuzelijst Selectie clientcertificaat. Het controleert voornamelijk welke certificaatopslag(s) Secure Client kan gebruiken om certificaten op te slaan en te lezen.

    Twee andere beschikbare opties zijn:

    1. Machine - Secure Client is beperkt tot het opzoeken van certificaten in het certificaatarchief van het lokale Windows-systeem.
    2. Gebruiker - Secure Client is beperkt tot het opzoeken van certificaten in het lokale Windows-certificaatarchief.

    Certificaatopslag instellen als overschrijvingTrue.

    Hierdoor kan een beheerder Secure Client opdracht geven om certificaten te gebruiken in het certificaatarchief van het Windows-systeem (Lokaal systeem) voor clientcertificaatverificatie. Certificate Store Override is alleen van toepassing op SSL, waarbij de verbinding standaard wordt geïnitieerd door het UI-proces. Bij gebruik van IPSec/IKEv2 is deze functie in het beveiligde clientprofiel niet van toepassing.

    Add Preferences (Part 1)Voorkeuren toevoegen (deel 1)

    Stap 3. (Optioneel) Schakel het vinkjeDisable Automatic Certificate Selectionuit omdat de gebruiker niet wordt gevraagd het verificatiecertificaat te kiezen.

    Add Preferences (Part 2)Voorkeuren toevoegen (deel 2)

    Stap 4. Maak eenServer List Entryprofiel aan voor het instellen van een profiel in Secure Client VPN door een groep-alias en een groep-url op te geven onder de Serverlijst en het XML-profiel op te slaan.

    Add Server ListServerlijst toevoegen

    Stap 5. Het XML-profiel is klaar voor gebruik.

    XML ProfileXML-profiel

    Locatie van XML-profielen voor verschillende besturingssystemen:

    • Windows - C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profiel
    • MacOS - /opt/cisco/anyconnect/profiel
    • Linux - /opt/cisco/anyconnect/profiel

    Stap 6. Navigeer naarObjects > Object Management > VPN > Secure Client File > Add Secure Client ProfileEuropa.

    Voer de naam voor het bestand in en klikBrowseom het XML-profiel te kiezen. Klik op de knop .Save

    Add Secure Client VPN ProfileSecure Client VPN-profiel toevoegen

    VPN-configuratie voor externe toegang

    Stap 1. Maak een ACL aan volgens de vereisten om toegang tot interne bronnen mogelijk te maken.

    Navigeer naarObjects > Object Management > Access List > Standarden klik opAdd Standard Access List.

    Add Standard ACLStandaard ACL toevoegen

    note-icon

    Opmerking: Deze ACL wordt gebruikt door Secure Client om beveiligde routes toe te voegen aan interne bronnen.

    Stap 2. Navigeer naarDevices > VPN > Remote Accessen klik opAdd.


    Stap 3. Voer de naam van het profiel in, kies het FTD-apparaat en klik op Volgende.

    Add Profile NameProfielnaam toevoegen

    Stap 4. Voer deConnection Profile Nameverificatiemethode in en kies de verificatiemethodeClient Certificate Onlyonder Authenticatie, autorisatie en boekhouding (AAA).

    Select Authentication MethodSelecteer de verificatiemethode

    Stap 5. KlikUse IP Address Pools onder Clientadrestoewijzing en kies de eerder gemaakte IPv4-adresgroep.

    Select Client Address AssignmentSelecteer toewijzing clientadres

    Stap 6. Bewerk het groepsbeleid.

    Edit Group PolicyGroepsbeleid bewerken

    Stap 7. Navigeer naarGeneral > Split Tunneling, kiesTunnel networks specified belowen vervolgensStandard Access Listonder Splitsing Tunnel Network List Type.

    Kies de eerder gemaakte ACL.

    Add Split TunnelingSplit Tunneling toevoegen

    Stap 8. Navigeer naarSecure Client > Profile, kies de knopClient Profile en klik opSave.

    Add Secure Client ProfileBeveiligd clientprofiel toevoegen

    Stap 9. Klik opNext, kies vervolgens deSecure Client Imageen klikNextop.

    Add Secure Client ImageBeveiligde clientimage toevoegen

    Stap 10. Kies de Netwerkinterface voor VPN-toegang, kies deDevice Certificatesen controleer sysopt permit-vpn en klik opNext.

    Add Access Control for VPN TrafficToegangscontrole toevoegen voor VPN-verkeer

    Stap 11. Controleer ten slotte alle configuraties en klik opFinish.

    Remote Access VPN Policy ConfigurationConfiguratie van VPN-beleid voor externe toegang

    Stap 12. Zodra de eerste configuratie van Remote Access VPN is voltooid, bewerkt u het gemaakte verbindingsprofiel en navigeert u naarAliases.

    Stap 13. Configureergroup-aliasdoor op het pluspictogram te klikken (+).

    Edit Group AliasGroepsalias bewerken

    Stap 14. Configureergroup-urldoor op het pluspictogram te klikken (+). Gebruik dezelfde groep-URL die eerder in het clientprofiel is geconfigureerd.

    Edit Group URLGroeps-URL bewerken

    Stap 15. Navigeer naar Access Interfaces. Kies deInterface Truspointen deSSL Global Identity Certificateonder de SSL-instellingen.

    Edit Access InterfacesToegangsinterfaces bewerken

    Stap 16. KlikSaveen implementeer deze wijzigingen.

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    1. Op de beveiligde client-pc moet het certificaat zijn geïnstalleerd met een geldige datum, onderwerp en Enhanced Key Usage (EKU) op de pc van de gebruiker. Dit certificaat moet worden afgegeven door de CA waarvan het certificaat is geïnstalleerd op FTD zoals eerder getoond. Hier wordt het identiteits- of gebruikerscertificaat afgegeven door auth-risaggar-ca.

    Certificate HighlightsCertificaatmarkeringen

    note-icon

    Opmerking: het clientcertificaat moet de clientverificatie-EKU hebben.

    2. De beveiligde client moet de verbinding tot stand brengen.

    Successful Secure Client ConnectionSuccesvolle beveiligde clientverbinding

    3. Uitvoerenshow vpn-sessiondb anyconnectom de verbindingsgegevens van de actieve gebruiker onder de gebruikte tunnelgroep te bevestigen.

    firepower# show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username     : dolljain.cisco.com     Index        : 8
Assigned IP  : 10.20.20.1             Public IP    : 72.163.X.X
Protocol     : AnyConnect-Parent SSL-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA256
Bytes Tx     : 14402                  Bytes Rx     : 9652
Group Policy : DfltGrpPolicy          Tunnel Group : RAVPN-CertAuth
Login Time   : 08:32:22 UTC Mon Mar 18 2024
Duration     : 0h:03m:59s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0ac5de050000800065f7fc16
Security Grp : none                   Tunnel Zone  : 0

    Problemen oplossen

    Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

    1. Debugs kunnen worden uitgevoerd vanaf de diagnostische CLI van het FTD:

    debug crypto ca 14
    debug webvpn anyconnect 255
    debug crypto ike-common 255

    2. Raadpleeg deze handleiding voor veelvoorkomende problemen.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    26-Mar-2025
    Afbeelding bijgewerkt voor ID Cert
    2.0
    24-Jun-2024
    Bijgewerkte configuratiestappen voor meer duidelijkheid.
    1.0
    01-Apr-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Dolly Jain
      Cisco TAC Engineer
    • Rishabh Aggarwal
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten