在FMC管理的FTD上配置安全客户端证书身份验证

简介

本文档介绍在Firepower威胁防御(FTD)上配置远程访问VPN的过程，该威胁防御(FTD)由Firepower管理中心(FMC)通过证书身份验证进行管理。

作者：Dolly Jain和Rishabh Aggarwal，思科TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题：

·手动证书注册和SSL基础知识
· FMC
·远程访问VPN的基本身份验证知识
·第三方证书颁发机构(CA)，如Entrust、Geotrust、GoDaddy、Thawte和VeriSign。

使用的组件

本文档中的信息基于以下软件版本：

·安全Firepower威胁防御版本7.4.1
· Firepower管理中心(FMC)版本7.4.1
·安全客户端5.0.05040版
·作为CA服务器的Hydrant/IdentTrust

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

网络图

网络图

配置

要在FMC中使用证书身份验证配置远程访问VPN，您需要：

·创建用于服务器身份验证的证书。

·通过FMC在FTD上添加受信任或内部CA证书，以对用户证书进行身份验证。
·为VPN用户创建地址池。
·上传不同平台的安全客户端映像。

·创建和上传XML配置文件。

1.导入用于服务器身份验证的证书

步骤1:导航到Devices > Certificates并单击Add Cert Enrollment。选择Device，然后点击Cert Enrollment下的加号(+)。

添加证书注册

第二步： 在下CA Information，选择Enrollment TypeManual，然后粘贴用于签署CSR的证书颁发机构(CA)证书。

添加CA信息

第三步：对于Validation Usage，选择IPsec Client, SSL Client和Skip Check for CA flag in basic constraints of the CA Certificate。

第四步：在Certificate Parameters下，填写主题名称详细信息。

添加证书参数

第五步：在Key下，选择密钥类型为RSA和密钥名称和大小。 点击Save。

添加RSA密钥


第六步：在Cert Enrollment下，从刚创建的下拉列表中选择信任点，然后点击Add。

添加新证书

步骤 7.点击ID，然后点击Yes“进一步”提示以生成CSR。

生成 CSR

步骤 8复制CSR并由证书颁发机构签名。一旦身份证书由CA颁发，通过点击并点击Browse Identity Certificate导入身份证书Import。

导入ID证书

2.添加受信任/内部CA证书

步骤1:导航至Devices > Certificates，然后点击Add Cert Enrollment。

选择Device，然后点击Cert Enrollment下的加号(+)。

此处，HydrantID Server CA 01用于颁发身份/用户证书。

HydrantID服务器CA 01

第二步：输入信任点名称，然后Manual选择作为注册类型CA information。

第三步：检查并CA Only以pem格式粘贴受信任/内部CA证书。

第四步：选中Skip Check for CA flag in basic constraints of the CA Certificate并单击Save。

添加信任点

第五步： 在Cert Enrollment下，从刚创建的下拉列表中选择信任点，然后点击Add。

添加内部CA

第六步：之前添加的证书显示为：

已添加证书

3.配置VPN用户的地址池


步骤1:导航至Objects > Object Management > Address Pools > IPv4 Pools。


第二步：输入名称和带有掩码的IPv4地址范围。

添加IPv4池

4.上传安全客户端映像

步骤1:从思科软件站点按操作系统下载webdeploy安全客户端映像。


第二步：导航至Objects > Object Management > VPN > Secure Client File > Add Secure Client File。


第三步：输入名称，然后从磁盘中选择Secure Client文件。


第四步：将文件类型选择为Secure Client Image，然后单击Save。

添加安全客户端映像

5.创建和上传XML配置文件

步骤1:从思科软件站点下载Profile Editor并安装安全客户端。

第二步：创建新配置文件并从AllClient Certificate Selection下拉列表中选择。它主要控制Secure Client可以使用哪些证书存储区来存储和读取证书。 

另外两个可用选项是：

1. 计算机 — 安全客户端仅限于Windows本地计算机证书存储区上的证书查找。
2. 用户 — 安全客户端仅限于在本地Windows用户证书存储区中进行证书查找。

将Certificate Store Override设置为True。

这允许管理员指示安全客户端使用Windows计算机（本地系统）证书存储中的证书进行客户端证书身份验证。证书存储区覆盖仅适用于SSL，默认情况下，连接由UI进程发起。使用IPSec/IKEv2时，安全客户端配置文件中的此功能不适用。

添加首选项（第1部分）

第三步： 取消选中Disable Automatic Certificate Selection，因为它会避免提示用户选择身份验证证书。

添加首选项（第2部分）

第四步： 通过在Server List下提供group-alias和group-url创建用于在安全客户端VPN中设置配置文件，并保存XML配置文件Server List Entry。

添加服务器列表

第五步：最后，XML配置文件可供使用。

XML配置文件

各种操作系统的XML配置文件的位置：

• Windows - C:\ProgramData\Cisco\Cisco安全客户端\VPN\配置文件

• MacOS - /opt/cisco/anyconnect/profile

• Linux - /opt/cisco/anyconnect/profile

第六步： 导航至Objects > Object Management > VPN > Secure Client File > Add Secure Client Profile。

输入文件的名称，然后点击Browse，选择XML配置文件。单击。Save

添加安全客户端VPN配置文件

远程访问VPN配置

步骤1: 根据需要创建ACL以允许访问内部资源。

导航至Objects > Object Management > Access List > Standard，然后点Add Standard Access List击。

添加标准ACL

第二步：导航至Devices > VPN > Remote Access，然后点Add击。


第三步：输入配置文件的名称，然后选择FTD设备并点击Next。

添加配置文件名称

第四步：输入并Connection Profile Name在Authentication、Authorization and Accounting(AAAClient Certificate Only)下选择Authentication Method。

选择身份验证方法

第五步：点击Use IP Address Pools Client Address Assignment下方，并选择之前创建的IPv4地址池。

选择客户端地址分配

第六步：编辑组策略。 

编辑组策略

步骤 7.导航到General > Split Tunneling，选择Tunnel networks specified below，然后在Split Tunnel Network List Type下选择Standard Access List。

选择之前创建的ACL。

添加拆分隧道

步骤 8导航至Secure Client > Profile，选择并Client Profile 点击Save。

添加安全客户端配置文件

步骤 9点击Next，然后选择并Secure Client Image点击Next。

添加安全客户端映像

步骤 10选择Network Interface for VPN Access，选择并选中Device Certificates sysopt permit-vpn，然后单击Next。

为VPN流量添加访问控制

步骤 11最后，检查所有配置，然后单击Finish。 

远程访问VPN策略配置

步骤 12完成远程访问VPN的初始设置后，编辑已创建的连接配置文件，然后转至Aliases。 

步骤 13单击加号图标(+)进行配置group-alias。

编辑组别名

步骤 14单击加号图标(+)进行配置group-url。使用之前在客户端配置文件中配置的相同组URL。

编辑组URL

步骤 15导航至Access Interfaces。在SSLInterface Truspoint settings下SSL Global Identity Certificate，选择和。

编辑访问接口

步骤 16点击Save，部署这些更改。

验证

1.安全客户端PC必须在用户PC上安装包含有效日期、主题和EKU的证书。此证书必须由其证书安装在FTD上的CA颁发，如前所述。此处，身份或用户证书由“HydrontID Server CA 01”颁发。

证书亮点

2.安全客户端必须建立连接。



成功的安全客户端连接

3.运行show vpn-sessiondb anyconnect，确认已使用的隧道组下活动用户的连接详细信息。

firepower# show vpn-sessiondb anyconnect Session Type: AnyConnect Username : dolljain.cisco.com Index : 8 Assigned IP : 10.20.20.1 Public IP : 72.163.X.X Protocol : AnyConnect-Parent SSL-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 Bytes Tx : 14402 Bytes Rx : 9652 Group Policy : DfltGrpPolicy Tunnel Group : RAVPN-CertAuth Login Time : 08:32:22 UTC Mon Mar 18 2024 Duration : 0h:03m:59s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0ac5de050000800065f7fc16 Security Grp : none Tunnel Zone : 0

故障排除

1.可以从FTD的诊断CLI运行调试：

debug crypto ca 14
debug webvpn anyconnect 255
debug crypto ike-common 255

2.有关常见问题，请参阅本指南。