ASA 8.X: ejemplo de configuración de inscripción de AnyConnect SCEP

Opciones de descarga

  • PDF     (593.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (527.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (891.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:12 de mayo de 2010
ID del documento:111850

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

La funcionalidad de inscripción SCEP se introduce en el cliente independiente AnyConnect 2.4. En este proceso, se modifica el perfil XML de AnyConnect para incluir una configuración relacionada con SCEP y crear una política de grupo y un perfil de conexión específicos para la inscripción de certificados. Cuando un usuario de AnyConnect se conecta a este grupo específico, AnyConnect envía una solicitud de inscripción de certificado al servidor de la CA, y el servidor de la CA acepta o deniega automáticamente la solicitud.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco ASA 5500 Series Adaptive Security Appliances que ejecutan la versión de software 8.x

  • Cisco AnyConnect VPN versión 2.4

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

El objetivo de la inscripción SCEP automática para AnyConnect es emitir un certificado para el cliente de una manera segura y escalable. Por ejemplo, los usuarios no necesitan solicitar un certificado de un servidor de la CA. Esta funcionalidad está integrada en el cliente AnyConnect. Los certificados se emiten a los clientes en función de los parámetros de certificado mencionados en el archivo de perfil XML.

Descripción general de los cambios necesarios

La función de inscripción SCEP de AnyConnect requiere que se definan ciertos parámetros de certificado en el perfil XML. Se crea una directiva de grupo y un perfil de conexión en el ASA para la inscripción de certificados, y el perfil XML se asocia a esa directiva. El cliente AnyConnect se conecta al perfil de conexión que utiliza esta política específica y envía una solicitud de certificado con los parámetros definidos en el archivo XML. La autoridad de certificación (CA) acepta o deniega automáticamente la solicitud. El cliente AnyConnect recupera certificados con el protocolo SCEP si el elemento <CertificateSCEP> está definido en un perfil de cliente.

La autenticación de certificados de cliente debe fallar antes de que AnyConnect intente recuperar automáticamente los nuevos certificados, por lo que si ya tiene instalado un certificado válido, no se realizará la inscripción.

Cuando los usuarios inician sesión en el grupo específico, se inscriben automáticamente. También hay un método manual disponible para la recuperación de certificados en el que se presenta a los usuarios un botón Obtener certificado. Esto sólo funciona cuando el cliente tiene acceso directo al servidor de la CA, no a través del túnel.

Consulte Guía del Administrador de Cisco AnyConnect VPN Client, Versión 2.4 para obtener más información.

Configuración XML para habilitar la función SCEP de Anyconnect

Estos son los elementos importantes que deben definirse en el archivo XML de AnyConnect. Consulte Guía del Administrador de Cisco AnyConnect VPN Client, Versión 2.4 para obtener más información.

  • <AutomaticSCEPHost>: especifica el nombre de host de ASA y el perfil de conexión (grupo de túnel) para los que se ha configurado la recuperación de certificados de SCEP. El valor debe estar en el formato del nombre de dominio completamente calificado del nombre de perfil de conexión\ASA o la dirección IP del nombre de perfil de conexión\ASA.

  • <CAURL>: identifica el servidor de la CA SCEP.

  • <CertificateSCEP>: define cómo se solicita el contenido del certificado.

  • <DisplayGetCertButton>: determina si la GUI de AnyConnect muestra el botón Obtener certificado. Permite a los usuarios solicitar manualmente la renovación o el aprovisionamiento del certificado.

Este es un ejemplo de perfil:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/AnyConnectProfile.xsd">
	<ClientInitialization>
		<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
		<AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection>
		<ShowPreConnectMessage>false</ShowPreConnectMessage>
		<CertificateStore>All</CertificateStore>
		<CertificateStoreOverride>false</CertificateStoreOverride>
		<ProxySettings>Native</ProxySettings>
		<AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart>
		<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
		<LocalLanAccess UserControllable="true">false</LocalLanAccess>
		<AutoReconnect UserControllable="false">true
			<AutoReconnectBehavior UserControllable="false">
     ReconnectAfterResume
   </AutoReconnectBehavior>
		</AutoReconnect>
		<AutoUpdate UserControllable="false">true</AutoUpdate>
		<RSASecurIDIntegration UserControllable="false">
    Automatic
  </RSASecurIDIntegration>
		<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
		<WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
		<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
		<PPPExclusion UserControllable="false">Automatic
			<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
		</PPPExclusion>
		<EnableScripting UserControllable="false">false</EnableScripting>
		<CertificateEnrollment>
			<AutomaticSCEPHost>asa2.cisco.com/certenroll</AutomaticSCEPHost>
			<CAURL PromptForChallengePW="false">
     http://10.11.11.1/certsrv/mscep/mscep.dll
   </CAURL>
			<CertificateSCEP>
				<Name_CN>cisco</Name_CN>
				<Company_O>Cisco</Company_O>
				<DisplayGetCertButton>true</DisplayGetCertButton>
			</CertificateSCEP>
		</CertificateEnrollment>
	</ClientInitialization>
	<ServerList>
		<HostEntry>
			<HostName>asa2.cisco.com</HostName>
		</HostEntry>
	</ServerList>
</AnyConnectProfile>

Configuración de ASA para admitir el protocolo SCEP para AnyConnect

Para proporcionar acceso a una autoridad de registro (RA) privada, el administrador de ASA debe crear un alias que tenga una ACL que restrinja la conectividad de red del lado privado al RA deseado. Para recuperar automáticamente un certificado, los usuarios se conectan y autentican con este alias.

Complete estos pasos:

  1. Cree un alias en el ASA para señalar al grupo configurado específico.

  2. Especifique el alias en el elemento <AutomaticSCEPHost> del perfil de cliente del usuario.

  3. Adjunte el perfil de cliente que contiene la sección <CertificateEnrollment> al grupo configurado específico.

  4. Establezca una ACL para el grupo configurado específico para restringir el tráfico al lado privado RA.

Complete estos pasos:

  1. Cargue el perfil XML en ASA.

    1. Elija Remote Access VPN > Network (client ) access > Advanced > SSL VPN > Client settings.

    2. En SSL VPN Client profiles, haga clic en Add.

    3. Haga clic en Examinar Archivos Locales para seleccionar el archivo de perfil, y haga clic en Examinar Flash para especificar el nombre del archivo flash.

    4. Haga clic en Cargar archivo.

      scep-01.gif

  2. Configure una directiva de grupo certenroll para la inscripción de certificados.

    1. Elija Remote access VPN > Network client access > Group Policy, y haga clic en Add.

      scep-02.gif

    2. Agregue un túnel dividido para el servidor de la CA.

      1. Expanda Avanzado y, a continuación, seleccione Dividir túnel.

      2. Elija Tunnel Network List Below en el menú Policy, y haga clic en Manage para agregar la lista de control de acceso.

        scep-03.gif

        scep-04.gif

    3. Seleccione SSL VPN Client, y elija el perfil para certenroll del menú Client Profile to Download.

      scep-05.gif

  3. Cree otro grupo llamado certauth para la autenticación de certificados.

    scep-06.gif

  4. Cree un perfil de conexión de certenroll.

    1. Elija Remote access VPN > Network client access > AnyConnect connection profiles, y haga clic en Add.

    2. Introduzca el grupo certenroll en el campo Alias.

      Nota: El nombre de alias debe coincidir con el valor utilizado en el perfil de AnyConnect en AutomaticSCEPHost.

      scep-07.gif

  5. Haga otro perfil de conexión llamado certauth con autenticación de certificado. Este es el perfil de conexión real que se utiliza después de la inscripción.

    scep-08.gif

  6. Para asegurarse de que el uso de alias está habilitado, marque Permitir al usuario seleccionar el perfil de conexión, identificado por su alias, en la página de inicio de sesión. De lo contrario, DefaultWebVPNGroup es el perfil de conexión.

    scep-09.gif

Prueba de AnyConnect SCEP

Utilize esta sección para confirmar que su configuración funcione correctamente.

  1. Inicie el cliente AnyConnect y conéctese al perfil certenroll.

    scep-10.gif

    AnyConnect pasa la solicitud de inscripción al servidor de la CA a través de SCEP.

    scep-11.gif

    AnyConnect pasa la solicitud de inscripción directamente y no pasa a través del túnel, si se utiliza el botón Get Certificate.

    scep-15.gif

  2. Aparecerá esta advertencia. Haga clic en Yes para instalar el usuario y el certificado raíz

    scep-12.gif

  3. Una vez inscrito el certificado, conéctese al perfil certauth.

Almacenamiento de certificados en Microsoft Windows después de una solicitud SCEP

Complete estos pasos:

  1. Haga clic en Inicio > ejecutar > mmc.

  2. Haga clic en Agregar o quitar complemento.

  3. Haga clic en Agregar y elija certificados.

  4. Agregue los certificados Mi cuenta de usuario y Cuenta de equipo.

    Esta imagen muestra el certificado de usuario instalado en el almacén de certificados de Windows:

    scep-13.gif

    Esta imagen muestra el certificado de CA instalado en el almacén de certificados de Windows:

    scep-14.gif

Troubleshoot

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

  • La inscripción SCEP de AnyConnect solo funciona cuando falla la autenticación del certificado. Si no se está inscribiendo, compruebe el almacén de certificados. Si los certificados ya están instalados, elimínelos y vuelva a realizar la prueba.

  • La inscripción SCEP no funciona a menos que se utilice el comando ssl certificate-authentication interface outside port 443.

    Consulte estas ID de bug de Cisco para obtener más información:

    • ID de error de Cisco CSCtf06778 (solo para clientes registrados) —La inscripción de AnyConnect SCEP no funciona con la autenticación de certificado por grupo 2

    • ID de error de Cisco CSCtf06844 (solo para clientes registrados) —La inscripción en AnyConnect SCEP no funciona con ASA Per Group Cert Auth

  • Si el servidor CA está en el exterior de ASA, asegúrese de permitir el establecimiento de conexiones entre nodos con el comando same-security-traffic permit intra-interface. Agregue también los comandos nat outside y access-list como se muestra en este ejemplo:

    nat (outside) 1
access-list natoutside extended permit ip 172.16.1.0 255.255.255.0 host 171.69.89.87

    Donde 172.16.1.0 es el conjunto de AnyConnect y 171.69.89.87 es la dirección IP del servidor de la CA.

  • Si el servidor de la CA está en el interior, asegúrese de incluirlo en la lista de acceso de túnel dividido para la política de grupo certenroll. En este documento, se supone que el servidor de la CA está en el interior.

    group-policy certenroll attributes
split-tunnel-policy tunnelspecified
 split-tunnel-network-list value scep

access-list scep standard permit 171.69.89.0 255.255.255.0

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
10-Mar-2010
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos