La fonctionnalité d’inscription SCEP est introduite dans le client autonome AnyConnect 2.4. Au cours de ce processus, vous modifiez le profil XML AnyConnect pour inclure une configuration SCEP et créer une stratégie de groupe et un profil de connexion spécifiques pour l'inscription de certificat. Lorsqu’un utilisateur AnyConnect se connecte à ce groupe spécifique, AnyConnect envoie une demande d’inscription de certificat au serveur AC, qui accepte ou refuse automatiquement la demande.
Aucune exigence spécifique n'est associée à ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Appareils de sécurité adaptatifs de la gamme Cisco ASA 5500 exécutant la version 8.x du logiciel
VPN Cisco AnyConnect version 2.4
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
L'objectif de l'inscription automatique au programme SCEP pour AnyConnect est de délivrer un certificat au client de manière sécurisée et évolutive. Par exemple, les utilisateurs n'ont pas besoin de demander un certificat à un serveur AC. Cette fonctionnalité est intégrée au client AnyConnect. Les certificats sont émis aux clients en fonction des paramètres de certificat mentionnés dans le fichier de profil XML.
La fonctionnalité d'inscription AnyConnect SCEP nécessite la définition de certains paramètres de certificat dans le profil XML. Une stratégie de groupe et un profil de connexion sont créés sur l'ASA pour l'inscription de certificat, et le profil XML est associé à cette stratégie. Le client AnyConnect se connecte au profil de connexion qui utilise cette stratégie spécifique et envoie une demande de certificat avec les paramètres définis dans le fichier XML. L'autorité de certification accepte ou refuse automatiquement la demande. Le client AnyConnect récupère les certificats avec le protocole SCEP si l’élément <CertificateSCEP> est défini dans un profil client.
L'authentification du certificat client doit échouer avant qu'AnyConnect ne tente de récupérer automatiquement les nouveaux certificats. Par conséquent, si vous avez déjà installé un certificat valide, l'inscription n'a pas lieu.
Lorsque les utilisateurs se connectent à un groupe spécifique, ils sont automatiquement inscrits. Il existe également une méthode manuelle pour la récupération des certificats dans laquelle les utilisateurs se voient présenter un bouton Get Certificate. Cela ne fonctionne que lorsque le client a un accès direct au serveur AC, et non via le tunnel.
Référez-vous au Guide de l'administrateur du client VPN Cisco AnyConnect, version 2.4 pour plus d'informations.
Ce sont les éléments importants qui doivent être définis dans le fichier XML AnyConnect. Référez-vous au Guide de l'administrateur du client VPN Cisco AnyConnect, version 2.4 pour plus d'informations.
<AutomaticSCEPHost> : spécifie le nom d'hôte ASA et le profil de connexion (groupe de tunnels) pour lesquels la récupération du certificat SCEP est configurée. La valeur doit être au format du nom de domaine complet du nom de profil ASA\connection ou de l'adresse IP du nom de profil ASA\connection.
<CAURL> : identifie le serveur AC SCEP.
<CertificateSCEP> : définit la manière dont le contenu du certificat est demandé.
<DisplayGetCertButton> : détermine si l'interface utilisateur graphique AnyConnect affiche le bouton Get Certificate. Elle permet aux utilisateurs de demander manuellement le renouvellement ou l'approvisionnement du certificat.
Voici un exemple de profil :
<?xml version="1.0" encoding="UTF-8"?> <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">false</LocalLanAccess> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false"> ReconnectAfterResume </AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="false"> Automatic </RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Automatic <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <CertificateEnrollment> <AutomaticSCEPHost>asa2.cisco.com/certenroll</AutomaticSCEPHost> <CAURL PromptForChallengePW="false"> http://10.11.11.1/certsrv/mscep/mscep.dll </CAURL> <CertificateSCEP> <Name_CN>cisco</Name_CN> <Company_O>Cisco</Company_O> <DisplayGetCertButton>true</DisplayGetCertButton> </CertificateSCEP> </CertificateEnrollment> </ClientInitialization> <ServerList> <HostEntry> <HostName>asa2.cisco.com</HostName> </HostEntry> </ServerList> </AnyConnectProfile>
Afin de fournir l'accès à une autorité d'enregistrement privée (RA), l'administrateur ASA doit créer un alias qui a une ACL qui limite la connectivité du réseau côté privé à l'autorité d'enregistrement souhaitée. Pour récupérer automatiquement un certificat, les utilisateurs se connectent et s'authentifient auprès de cet alias.
Procédez comme suit :
Créez un alias sur l'ASA pour pointer vers le groupe configuré spécifique.
Spécifiez l'alias dans l'élément <AutomaticSCEPHost> du profil client de l'utilisateur.
Associez le profil client qui contient la section <CertificateEnrollment> au groupe configuré spécifique.
Définissez une liste de contrôle d'accès pour le groupe configuré spécifique afin de restreindre le trafic vers l'autorité de résolution côté privé.
Procédez comme suit :
Téléchargez le profil XML sur ASA.
Choisissez Remote Access VPN > Network (client ) access > Advanced > SSL VPN > Client settings.
Sous SSL VPN Client profiles, cliquez sur Add.
Cliquez sur Browse Local Files afin de sélectionner le fichier de profil, et cliquez sur Browse Flash afin de spécifier le nom du fichier flash.
Cliquez sur Upload File.
Configurez une stratégie de groupe certenroll pour l'inscription de certificat.
Choisissez Remote access VPN > Network client access > Group Policy, puis cliquez sur Add.
Ajoutez un tunnel partagé pour le serveur AC.
Développez Advanced, puis sélectionnez Split Tunneling.
Choisissez Tunnel Network List Below dans le menu Policy, et cliquez sur Manage afin d'ajouter la liste de contrôle d'accès.
Sélectionnez SSL VPN Client, et choisissez le profil pour certenroll dans le menu Client Profile to Download.
Créez un autre groupe appelé certauth pour l'authentification de certificat.
Créez un profil de connexion certenroll.
Choisissez Remote access VPN > Network client access > AnyConnect connection profiles, puis cliquez sur Add.
Entrez le groupe certenroll dans le champ Alias.
Remarque : le nom d'alias doit correspondre à la valeur utilisée dans le profil AnyConnect sous AutomaticSCEPHost.
Créez un autre profil de connexion appelé certauth avec authentification de certificat. Il s'agit du profil de connexion réel utilisé après l'inscription.
Afin de vous assurer que l'utilisation de l'alias est activée, cochez Allow user to select connection profile, identifier par son alias, sur la page de connexion. Sinon, DefaultWebVPNGroup est le profil de connexion.
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Lancez le client AnyConnect et connectez-vous au profil certenroll.
AnyConnect transmet la demande d’inscription au serveur AC par l’intermédiaire du SCEP.
AnyConnect transmet directement la demande d’inscription et ne passe pas par le tunnel, si le bouton Get Certificate est utilisé.
Cet avertissement apparaît. Cliquez sur Yes pour installer le certificat utilisateur et le certificat racine
Une fois le certificat inscrit, connectez-vous au profil certauth.
Procédez comme suit :
Cliquez sur Démarrer > Exécuter > mmc.
Cliquez sur Ajouter/supprimer un composant logiciel enfichable.
Cliquez sur Add, et choisissez certificates.
Ajoutez les certificats Mon compte d'utilisateur et Compte d'ordinateur.
Cette image montre le certificat utilisateur installé dans le magasin de certificats Windows :
Cette image montre le certificat CA installé dans le magasin de certificats Windows :
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
L'inscription AnyConnect SCEP fonctionne uniquement lorsque l'authentification du certificat échoue. S'il ne s'inscrit pas, vérifiez le magasin de certificats. Si des certificats sont déjà installés, supprimez-les et testez à nouveau.
L'inscription SCEP ne fonctionne pas à moins que la commande ssl certificate-authentication interface outside port 443 soit utilisée.
Référez-vous à ces ID de bogue Cisco pour plus d'informations :
Bogue Cisco ayant l'ID CSCtf06778 (clients enregistrés uniquement) : l'inscription AnyConnect SCEP ne fonctionne pas avec l'authentification de certification par groupe 2
ID de bogue Cisco CSCtf06844 (clients enregistrés uniquement) : l'inscription AnyConnect SCEP ne fonctionne pas avec l'authentification de certification par groupe ASA
Si le serveur AC est à l'extérieur d'ASA, assurez-vous d'autoriser l'épinglage de cheveux avec la commande same-security-traffic permit intra-interface. Ajoutez également les commandes nat outside et access-list comme indiqué dans cet exemple :
nat (outside) 1 access-list natoutside extended permit ip 172.16.1.0 255.255.255.0 host 171.69.89.87
Où 172.16.1.0 est le pool AnyConnect et 171.69.89.87 est l’adresse IP du serveur AC.
Si le serveur AC se trouve à l'intérieur, assurez-vous de l'inclure dans la liste d'accès du tunnel partagé pour la stratégie de groupe certenroll. Dans ce document, il est supposé que le serveur AC est à l'intérieur.
group-policy certenroll attributes split-tunnel-policy tunnelspecified split-tunnel-network-list value scep access-list scep standard permit 171.69.89.0 255.255.255.0
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
10-Mar-2010 |
Première publication |