简介
本文档介绍如何在Firepower威胁防御(FTD)通过证书身份验证管理的Firepower管理中心(FMC)上配置远程访问VPN。
先决条件
要求
Cisco 建议您了解以下主题:
- 手动证书注册和安全套接字层(SSL)基础知识
- FMC
- 远程访问VPN的基本身份验证知识
- 第三方证书颁发机构(CA),如Entrust、Geotrust、GoDaddy、Thawte和VeriSign
使用的组件
本文档中的信息基于以下软件版本:
- 安全Firepower威胁防御版本7.4.1
- FMC版本7.4.1
- 安全客户端5.0.05040版
- 作为CA服务器的Microsoft Windows Server 2019
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
网络图
配置
创建/导入用于服务器身份验证的证书
注意:在FMC上,需要证书颁发机构(CA)证书,然后才能生成CSR。如果从外部源(OpenSSL或第三方)生成CSR,手动方法将失败,并且必须使用PKCS12证书格式。
步骤1.导航到Devices > Certificates
并点击Add
。选择Device,然后单击Cert Enrollment下的加号(+)。
添加证书注册
第2步:在CA Information
下,选择注册类型Manual
,然后粘贴用于签署CSR的CA证书。
添加CA信息
步骤3.选择 Skip Check for CA flag in basic constraints of the CA Certificate
as shown in the earlier image.
步骤4.在Certificate Parameters
下,填写主题名称详细信息。
添加证书参数
步骤5.在Key
下,选择密钥类型为RSA并带有密钥名称和大小。单击Save
。
注意:对于RSA密钥类型,最小密钥大小为2048位。
添加RSA密钥
步骤6.在Cert Enrollment
下,从刚创建的下拉列表中选择信任点,然后点击Add
。
添加新证书
步骤7.单击ID,然后单击Yes
“进一步的提示”以生成CSR。
生成 CSR
步骤8.复制CSR并由证书颁发机构签名。一旦身份证书由CA颁发,通过点击并点击Browse Identity Certificate
导入身份证Import
。
导入ID证书
注意:如果ID证书的颁发需要时间,您可以稍后重复步骤7。这将生成相同的CSR,您可以导入ID证书。
添加受信任/内部CA证书
步骤1.导航至Devices > Certificates
,然后点Add
击。
选择Device,然后单击Cert Enrollment下的加号(+)。
此处,auth-risaggar-ca用于颁发身份/用户证书。
auth-risaggar-ca
步骤2.输入信任点名称,然后Manual
选择作为注册类CA information
型。
步骤3.检查CA Only
并粘贴受CA信任的/内部CA证书的PEM格式。
步骤4.选中Skip Check for CA flag in basic constraints of the CA Certificate
并单击Save
。
添加信任点
步骤5.在Cert Enrollment
下,从刚创建的下拉列表中选择信任点,然后点击Add
。
添加内部CA
步骤6.前面添加的证书显示如下:
已添加证书
配置VPN用户的地址池
步骤1.导航至Objects > Object Management > Address Pools > IPv4 Pools
。
步骤2.输入名称和带掩码的IPv4地址范围。
添加IPv4池
上传安全客户端映像
步骤1.从思科软件站点按操作系统下载webdeploy安全客户端映像。
步骤2.导航至Objects > Object Management > VPN > Secure Client File > Add Secure Client File
。
步骤3.输入名称,然后从磁盘中选择Secure Client文件。
步骤4.选择文件类型作为Secure Client Image
,然后单Save
击。
添加安全客户端映像
创建和上传XML配置文件
步骤1.从思科软件站点下载Profile Editor
并安装安全客户端。
步骤2.创建新配置文件并从All
Client Certificate Selection下拉列表中选择。它主要控制Secure Client可以使用哪些证书存储区来存储和读取证书。
另外两个可用选项是:
- 计算机 — 安全客户端仅限于Windows本地计算机证书存储区上的证书查找。
- 用户 — 安全客户端仅限于在本地Windows用户证书存储区上查找证书。
将“证书存储区覆盖”(Certificate Store Override)设置为True
。
这允许管理员指示安全客户端使用Windows计算机(本地系统)证书存储中的证书进行客户端证书身份验证。证书存储区覆盖仅适用于SSL,默认情况下,连接由UI进程发起。使用IPSec/IKEv2时,安全客户端配置文件中的此功能不适用。
添加首选项(第1部分)
步骤3.(可选)取消选中Disable Automatic Certificate Selection
,因为它会避免提示用户选择身份验证证书。
添加首选项(第2部分)
步骤4.通过在Server List下提供group-alias和group-url创建用于在安全客户端VPN中设置配置文件的配置文件Server List Entry
,并保存XML配置文件。
添加服务器列表
步骤5.最后,XML配置文件可供使用。
XML配置文件
各种操作系统的XML配置文件的位置:
- Windows - C:\ProgramData\Cisco\Cisco安全客户端\VPN\配置文件
- MacOS - /opt/cisco/anyconnect/profile
- Linux - /opt/cisco/anyconnect/profile
步骤6.导航至Objects > Object Management > VPN > Secure Client File > Add Secure Client Profile
。
输入文件的名称,然后单击Browse
,以选择XML配置文件。单击。Save
添加安全客户端VPN配置文件
远程访问VPN配置
步骤1.根据需要创建ACL以允许访问内部资源。
导航至Objects > Object Management > Access List > Standard
,然后点Add Standard Access List
击。
添加标准ACL
注意:安全客户端使用此ACL向内部资源添加安全路由。
步骤2.导航至Devices > VPN > Remote Access
,然后点Add
击。
步骤3.输入配置文件的名称,然后选择FTD设备并点击下一步。
添加配置文件名称
第4步:输入并Connection Profile Name
选择身份验证方法Client Certificate Only
,在Authentication, Authorization, and Accounting(AAA)下方。
选择身份验证方法
步骤5.点击Use IP Address Pools
Client Address Assignment下方,并选择之前创建的IPv4地址池。
选择客户端地址分配
步骤6.编辑组策略。
编辑组策略
第7步:导航至,选择General > Split Tunneling
,然后Tunnel networks specified below
,在Standard Access List
Split Tunnel Network List Type下选择。
选择之前创建的ACL。
添加拆分隧道
步骤8.导航至Secure Client > Profile
,选择并Client Profile
点击Save
。
添加安全客户端配置文件
步骤9.点击Next
,然后选择并Secure Client Image
点击Next
。
添加安全客户端映像
步骤10.选择Network Interface for VPN Access,选择并选中Device Certificates
sysopt permit-vpn,然后单击Next
。
为VPN流量添加访问控制
步骤11.最后,检查所有配置,然后单击Finish
。
远程访问VPN策略配置
步骤12.完成远程访问VPN的初始设置后,编辑已创建的连接配置文件并导航至Aliases
。
步骤13.点group-alias
击加号图标(+)配置。
编辑组别名
步骤14.点group-url
击加号图标(+)配置。 使用之前在客户端配置文件中配置的相同组URL。
编辑组URL
步骤15.导航到Access Interfaces。在SSLInterface Truspoint
settings下SSL Global Identity Certificate
,选择和。
编辑访问接口
步骤16.点击Save
,部署这些更改。
验证
使用本部分可确认配置能否正常运行。
1.安全客户端PC必须在用户PC上安装包含有效日期、主题和增强型密钥使用(EKU)的证书。此证书必须由其证书安装在FTD上的CA颁发,如前所述。此处,身份或用户证书由auth-risaggar-ca颁发。
证书亮点
注意:客户端证书必须具有Client Authentication EKU。
2.安全客户端必须建立连接。
成功的安全客户端连接
3.运行show vpn-sessiondb anyconnect
,以便确认已使用的隧道组下活动用户的连接详细信息。
firepower# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : dolljain.cisco.com Index : 8
Assigned IP : 10.20.20.1 Public IP : 72.163.X.X
Protocol : AnyConnect-Parent SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256
Bytes Tx : 14402 Bytes Rx : 9652
Group Policy : DfltGrpPolicy Tunnel Group : RAVPN-CertAuth
Login Time : 08:32:22 UTC Mon Mar 18 2024
Duration : 0h:03m:59s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5de050000800065f7fc16
Security Grp : none Tunnel Zone : 0
故障排除
本部分提供了可用于对配置进行故障排除的信息。
1.可以从FTD的诊断CLI运行调试:
debug crypto ca 14
debug webvpn anyconnect 255
debug crypto ike-common 255
2.有关常见问题,请参阅本指南。