ASA 8.X : Exemple de configuration d'inscription AnyConnect SCEP

Options de téléchargement

  • PDF     (593.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (527.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (891.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:12 mai 2010
ID du document:111850

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

La fonctionnalité d’inscription SCEP est introduite dans le client autonome AnyConnect 2.4. Au cours de ce processus, vous modifiez le profil XML AnyConnect pour inclure une configuration SCEP et créer une stratégie de groupe et un profil de connexion spécifiques pour l'inscription de certificat. Lorsqu’un utilisateur AnyConnect se connecte à ce groupe spécifique, AnyConnect envoie une demande d’inscription de certificat au serveur AC, qui accepte ou refuse automatiquement la demande.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Appareils de sécurité adaptatifs de la gamme Cisco ASA 5500 exécutant la version 8.x du logiciel

  • VPN Cisco AnyConnect version 2.4

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Informations générales

L'objectif de l'inscription automatique au programme SCEP pour AnyConnect est de délivrer un certificat au client de manière sécurisée et évolutive. Par exemple, les utilisateurs n'ont pas besoin de demander un certificat à un serveur AC. Cette fonctionnalité est intégrée au client AnyConnect. Les certificats sont émis aux clients en fonction des paramètres de certificat mentionnés dans le fichier de profil XML.

Présentation des modifications requises

La fonctionnalité d'inscription AnyConnect SCEP nécessite la définition de certains paramètres de certificat dans le profil XML. Une stratégie de groupe et un profil de connexion sont créés sur l'ASA pour l'inscription de certificat, et le profil XML est associé à cette stratégie. Le client AnyConnect se connecte au profil de connexion qui utilise cette stratégie spécifique et envoie une demande de certificat avec les paramètres définis dans le fichier XML. L'autorité de certification accepte ou refuse automatiquement la demande. Le client AnyConnect récupère les certificats avec le protocole SCEP si l’élément <CertificateSCEP> est défini dans un profil client.

L'authentification du certificat client doit échouer avant qu'AnyConnect ne tente de récupérer automatiquement les nouveaux certificats. Par conséquent, si vous avez déjà installé un certificat valide, l'inscription n'a pas lieu.

Lorsque les utilisateurs se connectent à un groupe spécifique, ils sont automatiquement inscrits. Il existe également une méthode manuelle pour la récupération des certificats dans laquelle les utilisateurs se voient présenter un bouton Get Certificate. Cela ne fonctionne que lorsque le client a un accès direct au serveur AC, et non via le tunnel.

Référez-vous au Guide de l'administrateur du client VPN Cisco AnyConnect, version 2.4 pour plus d'informations.

Paramètres XML pour activer la fonctionnalité Anyconnect SCEP

Ce sont les éléments importants qui doivent être définis dans le fichier XML AnyConnect. Référez-vous au Guide de l'administrateur du client VPN Cisco AnyConnect, version 2.4 pour plus d'informations.

  • <AutomaticSCEPHost> : spécifie le nom d'hôte ASA et le profil de connexion (groupe de tunnels) pour lesquels la récupération du certificat SCEP est configurée. La valeur doit être au format du nom de domaine complet du nom de profil ASA\connection ou de l'adresse IP du nom de profil ASA\connection.

  • <CAURL> : identifie le serveur AC SCEP.

  • <CertificateSCEP> : définit la manière dont le contenu du certificat est demandé.

  • <DisplayGetCertButton> : détermine si l'interface utilisateur graphique AnyConnect affiche le bouton Get Certificate. Elle permet aux utilisateurs de demander manuellement le renouvellement ou l'approvisionnement du certificat.

Voici un exemple de profil :

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/AnyConnectProfile.xsd">
	<ClientInitialization>
		<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
		<AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection>
		<ShowPreConnectMessage>false</ShowPreConnectMessage>
		<CertificateStore>All</CertificateStore>
		<CertificateStoreOverride>false</CertificateStoreOverride>
		<ProxySettings>Native</ProxySettings>
		<AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart>
		<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
		<LocalLanAccess UserControllable="true">false</LocalLanAccess>
		<AutoReconnect UserControllable="false">true
			<AutoReconnectBehavior UserControllable="false">
     ReconnectAfterResume
   </AutoReconnectBehavior>
		</AutoReconnect>
		<AutoUpdate UserControllable="false">true</AutoUpdate>
		<RSASecurIDIntegration UserControllable="false">
    Automatic
  </RSASecurIDIntegration>
		<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
		<WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
		<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
		<PPPExclusion UserControllable="false">Automatic
			<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
		</PPPExclusion>
		<EnableScripting UserControllable="false">false</EnableScripting>
		<CertificateEnrollment>
			<AutomaticSCEPHost>asa2.cisco.com/certenroll</AutomaticSCEPHost>
			<CAURL PromptForChallengePW="false">
     http://10.11.11.1/certsrv/mscep/mscep.dll
   </CAURL>
			<CertificateSCEP>
				<Name_CN>cisco</Name_CN>
				<Company_O>Cisco</Company_O>
				<DisplayGetCertButton>true</DisplayGetCertButton>
			</CertificateSCEP>
		</CertificateEnrollment>
	</ClientInitialization>
	<ServerList>
		<HostEntry>
			<HostName>asa2.cisco.com</HostName>
		</HostEntry>
	</ServerList>
</AnyConnectProfile>

Configurer l'ASA pour prendre en charge le protocole SCEP pour AnyConnect

Afin de fournir l'accès à une autorité d'enregistrement privée (RA), l'administrateur ASA doit créer un alias qui a une ACL qui limite la connectivité du réseau côté privé à l'autorité d'enregistrement souhaitée. Pour récupérer automatiquement un certificat, les utilisateurs se connectent et s'authentifient auprès de cet alias.

Procédez comme suit :

  1. Créez un alias sur l'ASA pour pointer vers le groupe configuré spécifique.

  2. Spécifiez l'alias dans l'élément <AutomaticSCEPHost> du profil client de l'utilisateur.

  3. Associez le profil client qui contient la section <CertificateEnrollment> au groupe configuré spécifique.

  4. Définissez une liste de contrôle d'accès pour le groupe configuré spécifique afin de restreindre le trafic vers l'autorité de résolution côté privé.

Procédez comme suit :

  1. Téléchargez le profil XML sur ASA.

    1. Choisissez Remote Access VPN > Network (client ) access > Advanced > SSL VPN > Client settings.

    2. Sous SSL VPN Client profiles, cliquez sur Add.

    3. Cliquez sur Browse Local Files afin de sélectionner le fichier de profil, et cliquez sur Browse Flash afin de spécifier le nom du fichier flash.

    4. Cliquez sur Upload File.

      scep-01.gif

  2. Configurez une stratégie de groupe certenroll pour l'inscription de certificat.

    1. Choisissez Remote access VPN > Network client access > Group Policy, puis cliquez sur Add.

      scep-02.gif

    2. Ajoutez un tunnel partagé pour le serveur AC.

      1. Développez Advanced, puis sélectionnez Split Tunneling.

      2. Choisissez Tunnel Network List Below dans le menu Policy, et cliquez sur Manage afin d'ajouter la liste de contrôle d'accès.

        scep-03.gif

        scep-04.gif

    3. Sélectionnez SSL VPN Client, et choisissez le profil pour certenroll dans le menu Client Profile to Download.

      scep-05.gif

  3. Créez un autre groupe appelé certauth pour l'authentification de certificat.

    scep-06.gif

  4. Créez un profil de connexion certenroll.

    1. Choisissez Remote access VPN > Network client access > AnyConnect connection profiles, puis cliquez sur Add.

    2. Entrez le groupe certenroll dans le champ Alias.

      Remarque : le nom d'alias doit correspondre à la valeur utilisée dans le profil AnyConnect sous AutomaticSCEPHost.

      scep-07.gif

  5. Créez un autre profil de connexion appelé certauth avec authentification de certificat. Il s'agit du profil de connexion réel utilisé après l'inscription.

    scep-08.gif

  6. Afin de vous assurer que l'utilisation de l'alias est activée, cochez Allow user to select connection profile, identifier par son alias, sur la page de connexion. Sinon, DefaultWebVPNGroup est le profil de connexion.

    scep-09.gif

Tester AnyConnect SCEP

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

  1. Lancez le client AnyConnect et connectez-vous au profil certenroll.

    scep-10.gif

    AnyConnect transmet la demande d’inscription au serveur AC par l’intermédiaire du SCEP.

    scep-11.gif

    AnyConnect transmet directement la demande d’inscription et ne passe pas par le tunnel, si le bouton Get Certificate est utilisé.

    scep-15.gif

  2. Cet avertissement apparaît. Cliquez sur Yes pour installer le certificat utilisateur et le certificat racine

    scep-12.gif

  3. Une fois le certificat inscrit, connectez-vous au profil certauth.

Stockage de certificats sur Microsoft Windows après la demande SCEP

Procédez comme suit :

  1. Cliquez sur Démarrer > Exécuter > mmc.

  2. Cliquez sur Ajouter/supprimer un composant logiciel enfichable.

  3. Cliquez sur Add, et choisissez certificates.

  4. Ajoutez les certificats Mon compte d'utilisateur et Compte d'ordinateur.

    Cette image montre le certificat utilisateur installé dans le magasin de certificats Windows :

    scep-13.gif

    Cette image montre le certificat CA installé dans le magasin de certificats Windows :

    scep-14.gif

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  • L'inscription AnyConnect SCEP fonctionne uniquement lorsque l'authentification du certificat échoue. S'il ne s'inscrit pas, vérifiez le magasin de certificats. Si des certificats sont déjà installés, supprimez-les et testez à nouveau.

  • L'inscription SCEP ne fonctionne pas à moins que la commande ssl certificate-authentication interface outside port 443 soit utilisée.

    Référez-vous à ces ID de bogue Cisco pour plus d'informations :

    • Bogue Cisco ayant l'ID CSCtf06778 (clients enregistrés uniquement) : l'inscription AnyConnect SCEP ne fonctionne pas avec l'authentification de certification par groupe 2

    • ID de bogue Cisco CSCtf06844 (clients enregistrés uniquement) : l'inscription AnyConnect SCEP ne fonctionne pas avec l'authentification de certification par groupe ASA

  • Si le serveur AC est à l'extérieur d'ASA, assurez-vous d'autoriser l'épinglage de cheveux avec la commande same-security-traffic permit intra-interface. Ajoutez également les commandes nat outside et access-list comme indiqué dans cet exemple :

    nat (outside) 1
access-list natoutside extended permit ip 172.16.1.0 255.255.255.0 host 171.69.89.87

    Où 172.16.1.0 est le pool AnyConnect et 171.69.89.87 est l’adresse IP du serveur AC.

  • Si le serveur AC se trouve à l'intérieur, assurez-vous de l'inclure dans la liste d'accès du tunnel partagé pour la stratégie de groupe certenroll. Dans ce document, il est supposé que le serveur AC est à l'intérieur.

    group-policy certenroll attributes
split-tunnel-policy tunnelspecified
 split-tunnel-network-list value scep

access-list scep standard permit 171.69.89.0 255.255.255.0

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
10-Mar-2010
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits