Configurar Autenticação de Certificado de Cliente Seguro no FTD Gerenciado pelo FMC
Contents
Introdução
Este documento descreve a configuração da VPN de acesso remoto no Firepower Threat Defense (FTD) gerenciado pelo Firepower Management Center (FMC) com autenticação de certificado.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Inscrição manual de certificado e noções básicas do Secure Sockets Layer (SSL)
- CVP
- Conhecimento básico de autenticação para VPN de acesso remoto
- Autoridade de certificação (CA) de terceiros, como Entrust, Geotrust, GoDaddy, Thawte e VeriSign
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software:
- Secure Firepower Threat Defense versão 7.4.1
- FMC versão 7.4.1
- Secure Client versão 5.0.05040
- Microsoft Windows Server 2019 como servidor de autoridade de certificação
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Diagrama de Rede
Diagrama de Rede
Configurações
Criar/Importar um certificado usado para autenticação de servidor
Note: No FMC, é necessário um certificado de autoridade de certificação (CA) antes de gerar o CSR. Se o CSR for gerado de uma fonte externa (OpenSSL ou terceiros), o método manual falhará e o formato do certificado PKCS12 deverá ser usado.
Etapa 1. Navegue atéDevices > Certificatese clique emAdd. Selecione Device e clique no sinal de mais (+) em Cert Enrollment.
Adicionar registro de certificado
Etapa 2. NaCA Informationguia, escolha o Tipo de inscrição comoManuale cole o certificado CA usado para assinar o CSR.
Adicionar informações da autoridade de certificação
Etapa 3. Escolher Skip Check for CA flag in basic constraints of the CA Certificate as shown in the earlier image.
Etapa 4. EmCertificate Parameters, preencha os detalhes do nome do assunto.
Adicionar Parâmetros de Certificado
Etapa 5. EmKeyescolha o tipo de chave como RSA com um nome de chave e tamanho. CliqueSave.
Note: Para o tipo de chave RSA, o tamanho mínimo da chave é 2048 bits.
Adicionar chave RSA
Etapa 6. EmCert Enrollment, escolha o ponto confiável no menu suspenso que acabou de ser criado e clique emAdd.
Adicionar novo certificado
Etapa 7. Clique em ID e, em seguida, clique emYesno prompt seguinte para gerar o CSR.
Gerar CSR
Etapa 8. Copie o CSR e assine-o pela autoridade de certificação. Depois que o certificado de identidade for emitido pela CA, importe-o clicandoBrowse Identity CertificateemImport.
Importar certificado de ID
Note: Se a emissão do certificado de ID levar tempo, você poderá repetir a Etapa 7. mais tarde. Isso gerará o mesmo CSR e você poderá importar o certificado de ID.
Adicionar um Certificado de Autoridade de Certificação Interna/Confiável
Etapa 1. Navegue atéDevices > Certificatese clique emAdd.
Selecione Device e clique no sinal de mais (+) em Cert Enrollment.
Aqui, auth-risaggar-ca é usado para emitir certificados de identidade/usuário.
auth-risaggar-ca
Etapa 2. Informe um nome de ponto confiável e escolhaManualcomo o tipo de inscrição emCA information.
Etapa 3. VerifiqueCA Onlye cole o certificado CA confiável/interno no formato pem.
Etapa 4. Marque Skip Check for CA flag in basic constraints of the CA Certificatee clique emSave.
Adicionar ponto confiável
Etapa 5. EmCert Enrollment, escolha o ponto confiável no menu suspenso que acabou de ser criado e clique emAdd.
Adicionar CA interna
Etapa 6. O certificado adicionado anteriormente é mostrado como:
Certificado Adicionado
Configurar Pool de Endereços para Usuários VPN
Etapa 1. Navegue atéObjects > Object Management > Address Pools > IPv4 Pools.
Etapa 2. Inserir o nome e o intervalo de endereços IPv4 com uma máscara.
Adicionar Pool de IPv4
Carregar Imagens do Cliente Seguro
Etapa 1. Faça o download das imagens do cliente seguro de implantação na Web conforme o SO do site do Cisco Software.
Etapa 2. Navegue atéObjects > Object Management > VPN > Secure Client File > Add Secure Client File.
Etapa 3. Digite o nome e escolha o arquivo do Secure Client no disco.
Etapa 4. Escolha o tipo de arquivo comoSecure Client Imagee clique emSave.
Adicionar Imagem de Cliente Segura
Criar e carregar perfil XML
Etapa 1. Faça o download e instale o Secure ClientProfile Editora partir do site do Cisco Software.
Etapa 2. Crie um novo perfil e escolhaAllno menu suspenso Seleção de certificado do cliente. Ele controla principalmente quais armazenamentos de certificados o Secure Client pode usar para armazenar e ler certificados.
Duas outras opções disponíveis são:
- Computador - o Cliente Seguro está restrito à pesquisa de certificado no repositório de certificados do computador local do Windows.
- Usuário - o Cliente Seguro está restrito à pesquisa de certificado no repositório local de certificados de usuário do Windows.
Definir Substituição de Repositório de Certificados comoTrue.
Isso permite que um administrador instrua o Cliente Seguro a utilizar certificados no armazenamento de certificados da máquina Windows (Sistema Local) para autenticação de certificado de cliente. A Substituição do armazenamento de certificados aplica-se somente ao SSL, onde a conexão é iniciada, por padrão, pelo processo da interface do usuário. Ao usar IPSec/IKEv2, esse recurso no perfil de cliente seguro não é aplicável.
Adicionar preferências (Parte1)
Etapa 3. (Opcional) Desmarque a opçãoDisable Automatic Certificate Selection, pois ela evita que o usuário solicite o certificado de autenticação.
Adicionar preferências (Parte2)
Etapa 4. Crie umServer List Entrypara configurar um perfil no Secure Client VPN fornecendo group-alias e group-url na Lista de servidores e salve o perfil XML.
Adicionar lista de servidores
Etapa 5. Finalmente, o perfil XML está pronto para uso.
Perfil XML
Local dos perfis XML para vários sistemas operacionais:
- Windows - C:\ProgramData\Cisco\Cisco Cliente seguro\VPN\Perfil
- MacOS - /opt/cisco/anyconnect/profile
- Linux - /opt/cisco/anyconnect/profile
Etapa 6. Navegue atéObjects > Object Management > VPN > Secure Client File > Add Secure Client Profile.
Insira o nome do arquivo e cliqueBrowsepara escolher o perfil XML. Clique em .Save
Adicionar perfil de VPN de cliente seguro
Configuração de VPN de acesso remoto
Etapa 1. Crie uma ACL de acordo com o requisito para permitir o acesso a recursos internos.
Navegue atéObjects > Object Management > Access List > Standarde clique emAdd Standard Access List.
Adicionar ACL padrão
Note: Essa ACL é usada pelo Secure Client para adicionar rotas seguras aos recursos internos.
Etapa 2. Navegue atéDevices > VPN > Remote Accesse clique emAdd.
Etapa 3. Digite o nome do perfil, escolha o dispositivo FTD e clique em Avançar.
Adicionar nome de perfil
Etapa 4. Insira oConnection Profile Namee escolha o Método de autenticação comoClient Certificate Onlyem Authentication, Authorization, and Accounting (AAA).
Selecionar método de autenticação
Etapa 5. CliqueUse IP Address Pools em Client Address Assignment e escolha o pool de endereços IPv4 criado anteriormente.
Selecionar Atribuição de Endereço de Cliente
Etapa 6. Editar a Diretiva de Grupo.
Editar Política de Grupo
Etapa 7. Navegue atéGeneral > Split Tunneling, escolhaTunnel networks specified beloweStandard Access Listem Tipo de lista de rede de túnel dividido.
Escolha a ACL criada anteriormente.
Adicionar tunelamento dividido
Etapa 8. Navegue atéSecure Client > Profile, escolha oClient Profile e clique emSave.
Adicionar perfil de cliente seguro
Etapa 9. Clique emNext, escolha oSecure Client Imagee clique emNext.
Adicionar Imagem de Cliente Segura
Etapa 10. Escolha a Interface de Rede para Acesso VPN, escolha oDevice Certificatese marque sysopt permit-vpn e clique emNext.
Adicionar Controle de Acesso para Tráfego VPN
Etapa 11. Finalmente, revise todas as configurações e clique emFinish.
Configuração da Política de VPN de Acesso Remoto
Etapa 12. Depois que a configuração inicial da VPN de acesso remoto for concluída, edite o Perfil de conexão criado e navegue atéAliases.
Etapa 13. Configuregroup-aliasclicando no ícone de mais (+).
Editar alias do grupo
Etapa 14. Configuregroup-urlclicando no ícone de mais (+). Use a mesma URL de grupo configurada anteriormente no Perfil do cliente.
Editar URL do grupo
Etapa 15. Navegue até Interfaces de Acesso. EscolhaInterface TruspointeSSL Global Identity Certificatenas configurações de SSL.
Editar interfaces de acesso
Etapa 16. CliqueSavee implante essas alterações.
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
1. O PC cliente seguro deve ter o certificado instalado com uma data, assunto e uso avançado de chave (EKU) válidos no PC do usuário. Este certificado deve ser emitido pela CA cujo certificado está instalado no FTD, como mostrado anteriormente. Aqui, a identidade ou o certificado do usuário é emitido por auth-risaggar-ca.
Destaques do certificado
Note: O certificado do cliente deve ter o EKU de Autenticação do Cliente.
2. O Cliente Seguro deve estabelecer a conexão.
Conexão de Cliente Seguro Bem-sucedida
3. Executeshow vpn-sessiondb anyconnectpara confirmar os detalhes de conexão do usuário ativo no grupo de túneis usado.
firepower# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : dolljain.cisco.com Index : 8
Assigned IP : 10.20.20.1 Public IP : 72.163.X.X
Protocol : AnyConnect-Parent SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256
Bytes Tx : 14402 Bytes Rx : 9652
Group Policy : DfltGrpPolicy Tunnel Group : RAVPN-CertAuth
Login Time : 08:32:22 UTC Mon Mar 18 2024
Duration : 0h:03m:59s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5de050000800065f7fc16
Security Grp : none Tunnel Zone : 0Troubleshooting
Esta seção disponibiliza informações para a solução de problemas de configuração.
1. As depurações podem ser executadas a partir da CLI de diagnóstico do FTD:
debug crypto ca 14
debug webvpn anyconnect 255
debug crypto ike-common 2552. Consulte este guia para obter informações sobre problemas comuns.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
3.0 |
26-Mar-2025
|
Imagem atualizada para certificado de ID |
2.0 |
24-Jun-2024
|
Etapas de configuração atualizadas para maior clareza. |
1.0 |
01-Apr-2024
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)