在FMC管理的FTD上配置安全客戶端證書身份驗證

簡介

本檔案介紹在Firepower管理中心(FMC)管理的Firepower威脅防禦(FTD)上使用憑證驗證來設定遠端存取VPN。

必要條件

需求

思科建議您瞭解以下主題：

• 手動證書註冊和安全套接字層(SSL)基礎知識
• FMC
• 遠端訪問VPN的基本身份驗證知識
• 第三方證書頒發機構(CA)，如Entrust、Geotrust、GoDaddy、Thawte和VeriSign

採用元件

本檔案中的資訊是根據以下軟體版本：

• 安全Firepower威脅防禦版本7.4.1
• FMC版本7.4.1
• 安全使用者端版本5.0.05040
• 作為CA伺服器的Microsoft Windows Server 2019

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

網路圖表

網路圖表

組態

 建立/匯入用於伺服器身份驗證的證書

附註：在FMC上，需要先取得憑證授權單位(CA)憑證，才能產生CSR。如果從外部源（OpenSSL或第三方）生成CSR，則手動方法失敗，必須使用PKCS12證書格式。

步驟1。導覽至並Devices > Certificates按一下Add。選擇Device，然後按一下Cert Enrollment下的加號(+)。

新增證書註冊

步驟2.在CA InformationManual下，選擇Enrollment Type並貼上用於對CSR進行簽名的CA證書。

新增CA資訊

步驟3.選擇 Skip Check for CA flag in basic constraints of the CA Certificate as shown in the earlier image.

步驟4.在Certificate Parameters下，填寫主題名稱詳細資訊。

新增證書引數

步驟5.在下Key選擇金鑰型別為RSA，並指定金鑰名稱和大小。按一下Save。

附註：對於RSA金鑰型別，最小金鑰大小為2048位。

新增RSA金鑰

步驟6.在Cert Enrollment下，從剛建立的下拉選單中選擇信任點，然後按一下Add。

新增新證書

步驟7.按一下ID，然後按一下Yes「incoming prompt」（進一步的提示）以產生CSR。

產生CSR

步驟8.複製CSR並由憑證授權機構簽署。一旦由CA頒發身份證書，通過按一下然後按一下Browse Identity Certificate匯入身份證書Import。

匯入ID證書

附註：如果ID證書的頒發需要時間，則可以稍後重複步驟7。這將生成相同的CSR，並且您可以匯入ID證書。

新增受信任/內部CA證書

步驟1。導覽至Devices > Certificates，然後按一下Add。

選擇Device，然後按一下Cert Enrollment下的加號(+)。

此處，auth-risaggar-ca用於頒發身份/使用者證書。

auth-risaggar-ca

步驟2.輸入信任點名稱Manual,然後選擇作為註冊類CA information。

步驟3.檢查並CA Only以pem格式貼上受信任/內部CA憑證。

步驟4.檢Skip Check for CA flag in basic constraints of the CA Certificate查並單Save擊。

新增信任點

步驟5.在Cert Enrollment下，從剛建立的下拉選單中選擇信任點，然後按一下Add。

新增內部CA

步驟6.前面新增的憑證顯示如下：

已新增證書

為VPN使用者配置地址池

步驟1。導覽至Objects > Object Management > Address Pools > IPv4 Pools。

步驟2.輸入名稱和帶有掩碼的IPv4地址範圍。

新增IPv4池

上傳安全客戶端映像

步驟1.從思科軟體站點按作業系統下載webdeploy安全使用者端映像。

步驟2.導航至Objects > Object Management > VPN > Secure Client File > Add Secure Client File。

步驟3.輸入名稱，然後從磁碟中選擇Secure Client檔案。

步驟4.選擇檔案型別作為Secure Client Image，然後按一下Save。

新增安全客戶端映像

建立和上傳XML配置檔案

步驟1.從思科軟體站點下載Profile Editor並安裝Secure Client。

步驟2.建立新配置檔案並從AllClient Certificate Selection下拉選單中選擇。它主要控制Secure Client可以使用哪些證書儲存區來儲存和讀取證書。

另外兩個可用選項是：

1. 電腦 — 安全客戶端僅限於Windows本地電腦證書儲存中的證書查詢。
2. 使用者 — 安全客戶端僅限於在本地Windows使用者證書儲存上查詢證書。

將Certificate Store Override設定為True。

這允許管理員指示Secure Client使用Windows電腦（本地系統）證書儲存中的證書進行客戶端證書身份驗證。證書儲存覆蓋僅適用於預設情況下由UI進程發起連線的SSL。使用IPSec/IKEv2時，安全客戶端配置檔案中的此功能不適用。

新增首選項（第1部分）

步驟3.（可選）取消選中Disable Automatic Certificate Selection，因為它會避擴音示使用者選擇驗證憑證。

新增首選項（第2部分）

步驟4.在Server List下提供group-alias和group-url，建立用於在安全客戶端VPN中設定配置檔案的配置檔案Server List Entry，並儲存XML配置檔案。

新增伺服器清單

步驟5.最後，XML配置檔案可供使用。

XML配置檔案

各種作業系統的XML配置檔案的位置：

• Windows - C:\ProgramData\Cisco\Cisco安全客戶端\VPN\配置檔案
• MacOS - /opt/cisco/anyconnect/profile
• Linux - /opt/cisco/anyconnect/profile

步驟6.導航至Objects > Object Management > VPN > Secure Client File > Add Secure Client Profile。

輸入檔案的名稱，然後按一下Browse，以選擇XML配置檔案。按一下Save。

新增安全客戶端VPN配置檔案

遠端訪問VPN配置

步驟1.根據要求建立ACL，以便允許存取內部資源。

導航至Objects > Object Management > Access List > Standard，然後點選Add Standard Access List。

新增標準ACL

附註：安全客戶端使用此ACL向內部資源新增安全路由。

步驟2.導覽至Devices > VPN > Remote Access，然後按一下Add。

步驟3.輸入配置檔案的名稱，然後選擇FTD裝置並按一下下一步。

新增配置檔名稱

步驟4.輸入並Connection Profile Name在Authentication， Authorization， and Accounting(AAA)下選擇Authentication MethodClient Certificate Only。

選擇身份驗證方法

步驟5.按一下Use IP Address Pools Client Address Assignment下的IPv4 Address Pool（先前建立的IPv4地址池）。

選擇客戶端地址分配

步驟6.編輯組策略。

編輯組策略

步驟7.導覽至General > Split Tunneling，選擇Tunnel networks specified below，然後在Standard Access ListSplit Tunnel Network List Type下。

選擇之前建立的ACL。

新增拆分隧道

步驟8.導航至Secure Client > Profile，選擇Client Profile 並按一下Save。

新增安全客戶端配置檔案

步驟9.按一下Next，然後選擇Secure Client Image，再按一下Next。

新增安全客戶端映像

步驟10.選擇Network Interface for VPN Access，選擇Device Certificates，並選中sysopt permit-vpn，然後按一下Next。

為VPN流量新增訪問控制

步驟11。最後，檢查所有配置，然後按一下Finish。

遠端訪問VPN策略配置

步驟12.完成遠端訪問VPN的初始設定後，編輯建立的連線配置檔案並導航至Aliases。

步驟13.單擊group-alias+圖示進行配置。

編輯組別名

步驟14.單擊group-url+圖示進行配置。 使用客戶端配置檔案中之前配置的相同組URL。

編輯組URL

步驟15.導航到Access Interfaces。在SSLInterface Truspoint settings下SSL Global Identity Certificate選擇和。

編輯訪問介面

步驟16.按一下Save，然後部署這些更改。

驗證

使用本節內容，確認您的組態是否正常運作。

1.安全客戶端PC必須在使用者PC上安裝包含有效日期、主題和增強型金鑰使用(EKU)的證書。此憑證必須是由其憑證安裝在FTD上的CA核發，如前文所示。此處，身份或使用者證書由auth-risaggar-ca頒發。

證書亮點

附註：客戶端證書必須具有客戶端驗證EKU。

2.安全客戶端必須建立連線。

成功的安全客戶端連線

3.運行show vpn-sessiondb anyconnect，以確認已用隧道組下活動使用者的連線詳細資訊。

firepower# show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username     : dolljain.cisco.com     Index        : 8
Assigned IP  : 10.20.20.1             Public IP    : 72.163.X.X
Protocol     : AnyConnect-Parent SSL-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA256
Bytes Tx     : 14402                  Bytes Rx     : 9652
Group Policy : DfltGrpPolicy          Tunnel Group : RAVPN-CertAuth
Login Time   : 08:32:22 UTC Mon Mar 18 2024
Duration     : 0h:03m:59s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0ac5de050000800065f7fc16
Security Grp : none                   Tunnel Zone  : 0

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

1.可以從FTD的診斷CLI執行偵錯：

debug crypto ca 14
debug webvpn anyconnect 255
debug crypto ike-common 255

2.有關常見問題，請參閱本指南。