Configurer le mappage de certificat pour l'authentification client sécurisée sur FTD via FMC

Introduction

Ce document décrit comment configurer Cisco Secure Client avec SSL sur FTD via FMC en utilisant le mappage de certificat pour l'authentification.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Cisco Firepower Management Center (FMC)
• Défense contre les menaces de pare-feu (FTD) virtuelle
• Flux d'authentification VPN

Composants utilisés

• Cisco Firepower Management Center pour VMWare 7.4.1
• Cisco Firewall Threat Defense Virtual 7.4.1

• Cisco Secure Client 5.1.3.62

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Le mappage de certificat est une méthode utilisée dans les connexions VPN où un certificat client est mappé à un compte d'utilisateur local, ou des attributs dans le certificat sont utilisés à des fins d'autorisation.Il s'agit d'un processus où un certificat numérique est utilisé comme moyen d'identifier un utilisateur ou un périphérique. En utilisant le mappage de certificat, il utilise le protocole SSL pour authentifier les utilisateurs sans qu'ils aient besoin d'entrer des informations d'identification.

Ce document décrit comment authentifier le client sécurisé Cisco en utilisant le nom commun d'un certificat SSL.

Ces certificats contiennent un nom commun qui est utilisé à des fins d’autorisation.

• CA : ftd-ra-ca-common-name
• Certificat du client VPN de l'ingénieur : vpnEngineerClientCN
• Certificat du client VPN du gestionnaire : vpnManagerClientCN
• Certificat du serveur : 192.168.1.200

Diagramme du réseau

Cette image présente la topologie utilisée pour l'exemple de ce document.

Diagramme du réseau

Configurations

Configuration dans FMC

Étape 1. Configurer l'interface FTD

Accédez à Périphériques > Gestion des périphériques, modifiez le périphérique FTD cible, configurez l'interface externe pour FTD dans l'onglet Interfaces.

Pour GigabitEthernet0/0,

• Nom : extérieur
• Zone de sécurité : outsideZone
• Adresse IP : 192.168.1.200/24

Interface FTD

Étape 2. Confirmer la licence Cisco Secure Client

Accédez à Périphériques > Gestion des périphériques, modifiez le périphérique FTD cible, confirmez la licence Cisco Secure Client dans l'onglet Périphérique.

Licence client sécurisée

Étape 3. Ajouter un pool d'adresses IPv4

Accédez à Object > Object Management > Address Pools > IPv4 Pools, cliquez sur Add IPv4 Pools.

Ajouter un pool d'adresses IPv4

Entrez les informations nécessaires pour créer un pool d'adresses IPv4 pour le client VPN ingénieur.

• Nom : ftd-vpn-engineering-pool
• Plage d'adresses IPv4 : 172.16.1.100-172.16.1.110
• Masque : 255.255.255.0

Pool d'adresses IPv4 pour le client VPN Engineer

Entrez les informations nécessaires pour créer un pool d'adresses IPv4 pour le client VPN du manager.

• Nom : ftd-vpn-manager-pool
• Plage d'adresses IPv4 : 172.16.1.120-172.16.1.130
• Masque : 255.255.255.0

Pool d'adresses IPv4 pour le client VPN Manager

Confirmez les nouveaux pools d'adresses IPv4.

Nouveaux pools d'adresses IPv4

Étape 4. Ajouter une stratégie de groupe

Accédez à Object > Object Management > VPN > Group Policy, cliquez sur Add Group Policy button.

Ajouter une stratégie de groupe

Entrez les informations nécessaires pour créer une stratégie de groupe pour le client VPN ingénieur.

• Nom : ftd-vpn-engineering-grp
• Protocoles VPN : SSL

Stratégie de groupe pour le client VPN ingénieur

Entrez les informations nécessaires pour créer une stratégie de groupe pour le client VPN du manager.

• Nom : ftd-vpn-manager-grp
• Protocoles VPN : SSL

Stratégie de groupe pour le client VPN du gestionnaire

Confirmez les nouvelles stratégies de groupe.

Nouvelles stratégies de groupe

Étape 5. Ajouter un certificat FTD

Accédez à Object > Object Management > PKI > Cert Enrollment, cliquez sur le bouton Add Cert Enrollment.

Ajouter une inscription de certificat

Entrez les informations nécessaires pour le certificat FTD et importez un fichier PKCS12 depuis l'ordinateur local.

• Nom : ftd-vpn-cert
• Type d'inscription : fichier PKCS12

Détails de l'inscription au certificat

Confirmez la nouvelle inscription de certificat.

Nouvelle inscription de certificat

Accédez à Périphériques > Certificats, cliquez sur le bouton Ajouter.

Ajouter un certificat FTD

Entrez les informations nécessaires pour lier la nouvelle inscription de certificat au FTD.

• Périphérique : 1.x.x.49
• Inscription au certificat : ftd-vpn-cert

Lier le certificat au FTD

Confirmez l'état de la liaison de certificat.

État de la liaison de certificat

Étape 6. Ajouter une affectation de stratégie pour le profil de connexion de l'ingénieur

Accédez à Périphériques > VPN > Accès à distance, cliquez sur le bouton Ajouter.

Ajouter un VPN d'accès à distance

Saisissez les informations nécessaires et cliquez surBouton Suivant.

• Nom : ftd-vpn-engineering
• Protocoles VPN : SSL
• Périphériques ciblés : 1.x.x.49

Affectation de stratégie

Étape 7. Configurer les détails du profil de connexion de l'ingénieur

Saisissez les informations nécessaires et cliquez surBouton Suivant.

• Méthode d'authentification : certificat client uniquement
• Nom d'utilisateur du certificat : champ spécifique au mappage
• Champ principal : CN (nom commun)
• Champ secondaire : OU (Unité organisationnelle)

• Pools d'adresses IPv4 : ftd-vpn-engineering-pool
• Stratégie de groupe : ftd-vpn-engineering-grp

Détails du profil de connexion

Étape 8. Configurer l'image client sécurisée pour le profil de connexion de l'ingénieur

Sélectionnez le fichier image client sécurisé et cliquez surBouton Suivant.

Sélectionner le client sécurisé

Étape 9. Configurer l'accès et le certificat pour le profil de connexion d'ingénieur

Sélectionnez une valeur pour les éléments Groupe d'interfaces/Zone de sécurité et Inscription de certificat, cliquez sur Next.

• Groupe d'interfaces/Zone de sécurité : outsideZone
• Inscription au certificat : ftd-vpn-cert

Détails de l'accès et du certificat

Étape 10. Confirmer le résumé du profil de connexion de l'ingénieur

Confirmez les informations entrées pour la stratégie VPN d'accès à distance et cliquez sur Finish button.

Détails de la stratégie VPN d'accès à distance

Étape 11. Ajouter un profil de connexion pour le client VPN Manager

Accédez à Périphériques > VPN > Accès à distance > Profil de connexion, cliquez sur + bouton.

Ajouter un profil de connexion pour le client VPN Manager

Entrez les informations nécessaires pour le profil de connexion et cliquez sur le bouton Save.

• Nom : ftd-vpn-manager
• Stratégie de groupe : ftd-vpn-manager-grp
• Pools d'adresses IPv4 : ftd-vpn-manager-pool

Détails du profil de connexion pour le client VPN Manager

Confirmez les nouveaux profils de connexion ajoutés.

Confirmer les profils de connexion ajoutés

Étape 12. Ajouter un mappage de certificat

Accédez à Objets > Gestion des objets > VPN > Carte de certificat, cliquez sur le bouton Ajouter une carte de certificat.

Ajouter un mappage de certificat

Entrez les informations nécessaires pour le mappage de certificat du client VPN ingénieur et cliquez sur le bouton Save.

• Nom de la carte : cert-map-engineering
• Règle de mappage : CN (nom commun) équivaut à vpnEngineerClientCN

Mappage de certificat pour le client ingénieur

Entrez les informations nécessaires pour le mappage de certificat du client VPN du gestionnaire et cliquez sur le bouton Save.

• Nom de la carte : cert-map-manager
• Règle de mappage : CN (Common Name) équivaut à vpnManagerClientCN

Mappage de certificat pour le client Manager

Confirmez les nouveaux mappages de certificats ajoutés.

Nouveaux mappages de certificats

Étape 13. Lier le mappage de certificat au profil de connexion

Accédez à Devices > VPN > Remote Access, edit ftd-vpn-engineering. Ensuite, accédez à Advanced > Certificate Maps, cliquez sur Add Mapping button.

Lier une carte de certificat

Liaison du mappage de certificat au profil de connexion pour le client VPN ingénieur.

• Nom du mappage de certificat : cert-map-engineering
• Connexion Profile: ftd-vpn-engineer

Mappage de certificat de liaison pour le client VPN ingénieur

Liaison du mappage de certificat au profil de connexion pour le client VPN du gestionnaire.

• Nom du mappage de certificat : cert-map-manager
• Profil de connexion : ftd-vpn-manager

Mappage de certificat de liaison pour le client VPN Manager

Confirmez le paramètre de liaison de certificat.

Confirmer la liaison de certificat

Confirmer dans FTD CLI

Confirmez les paramètres de connexion VPN dans l'interface de ligne de commande du FTD après le déploiement à partir du FMC.

// Defines IP of interface
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 192.168.1.200 255.255.255.0

// Defines a pool of addresses
ip local pool ftd-vpn-engineer-pool 172.16.1.100-172.16.1.110 mask 255.255.255.0
ip local pool ftd-vpn-manager-pool 172.16.1.120-172.16.1.130 mask 255.255.255.0

// Defines Trustpoint for Server Certificate
crypto ca trustpoint ftd-vpn-cert
keypair ftd-vpn-cert
crl configure

// Server Certificate Chain
crypto ca certificate chain ftd-vpn-cert
certificate 22413df584b6726c
3082037c 30820264 a0030201 02020822 413df584 b6726c30 0d06092a 864886f7 
......
quit

certificate ca 5242a02e0db6f7fd
3082036c 30820254 a0030201 02020852 42a02e0d b6f7fd30 0d06092a 864886f7 
......
quit

// Defines Certificate Map for Engineer VPN Clients
crypto ca certificate map cert-map-engineer 10
subject-name attr cn eq vpnEngineerClientCN

// Defines Certificate Map for Manager VPN Clients
crypto ca certificate map cert-map-manager 10
subject-name attr cn eq vpnManagerClientCN

// Configures the FTD to allow Cisco Secure Client connections and the valid Cisco Secure Client images
webvpn
enable outside
http-headers
hsts-server
enable
max-age 31536000
include-sub-domains
no preload
hsts-client
enable
x-content-type-options
x-xss-protection
content-security-policy
anyconnect image disk0:/csm/cisco-secure-client-win-5.1.3.62-webdeploy-k9.pkg 1 regex "Windows"
anyconnect enable
tunnel-group-list enable
cache
disable
certificate-group-map cert-map-engineer 10 ftd-vpn-engineer
certificate-group-map cert-map-manager 10 ftd-vpn-manager
error-recovery disable

// Configures the group-policy to allow SSL connections from manager VPN clients
group-policy ftd-vpn-manager-grp internal
group-policy ftd-vpn-manager-grp attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
vpn-tunnel-protocol ikev2 ssl-client 
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
split-tunnel-all-dns disable
client-bypass-protocol disable
vlan none
address-pools none
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect firewall-rule client-interface public none
anyconnect firewall-rule client-interface private none
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method none
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression none
anyconnect dtls compression none
anyconnect modules value none
anyconnect ask none default anyconnect
anyconnect ssl df-bit-ignore disable

// Configures the group-policy to allow SSL connections from engineer VPN clients
group-policy ftd-vpn-engineer-grp internal
group-policy ftd-vpn-engineer-grp attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
vpn-tunnel-protocol ssl-client 
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
split-tunnel-all-dns disable
client-bypass-protocol disable
vlan none
address-pools none
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect firewall-rule client-interface public none
anyconnect firewall-rule client-interface private none
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method none
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression none
anyconnect dtls compression none
anyconnect modules value none
anyconnect ask none default anyconnect
anyconnect ssl df-bit-ignore disable

// Configures the tunnel-group to use the certificate authentication for engineer VPN clients
tunnel-group ftd-vpn-engineer type remote-access
tunnel-group ftd-vpn-engineer general-attributes
address-pool ftd-vpn-engineer-pool
default-group-policy ftd-vpn-engineer-grp
tunnel-group ftd-vpn-engineer webvpn-attributes
authentication certificate
group-alias ftd-vpn-engineer enable

// Configures the tunnel-group to use the certificate authentication for manager VPN clients
tunnel-group ftd-vpn-manager type remote-access
tunnel-group ftd-vpn-manager general-attributes
address-pool ftd-vpn-manager-pool
default-group-policy ftd-vpn-manager-grp
tunnel-group ftd-vpn-manager webvpn-attributes
authentication certificate

Confirmer dans le client VPN

Étape 1. Confirmer le certificat client

Dans Engineer VPN Client, accédez à Certificates - Current User > Personal > Certificates, vérifiez le certificat client utilisé pour l'authentification.

Confirmer le certificat du client VPN de l'ingénieur

Double-cliquez sur le certificat client, accédez à Détails, vérifiez les détails de Objet.

• Objet : CN = vpnEngineerClientCN

Détails du certificat du client ingénieur

Dans le client VPN du gestionnaire, accédez à Certificates - Current User > Personal > Certificates, vérifiez le certificat client utilisé pour l'authentification.

Confirmer le certificat pour le client VPN Manager

Double-cliquez sur le certificat client, accédez à Détails, vérifiez les détails de Objet.

• Objet : CN = vpnManagerClientCN

Détails du certificat client du manager

Étape 2. Confirmer CA

Dans le client VPN ingénieur et le client VPN gestionnaire, accédez à Certificats - Utilisateur actuel > Autorités de certification racine de confiance > Certificats, vérifiez l'autorité de certification utilisée pour l'authentification.

• Émis par : ftd-ra-ca-common-name

Confirmer CA

Vérifier

Étape 1. Initiation de la connexion VPN

Dans Engineer VPN Client, initiez la connexion Cisco Secure Client. Pas besoin d'entrer le nom d'utilisateur et le mot de passe, le VPN s'est connecté avec succès.

Établir une connexion VPN à partir du client Engineer

Dans le client VPN du manager, lancez la connexion Cisco Secure Client. Pas besoin d'entrer le nom d'utilisateur et le mot de passe, le VPN s'est connecté avec succès.

Initiation de la connexion VPN à partir du client Manager

Étape 2. Confirmer les sessions actives dans FMC

Accédez à Analysis > Users > Active Sessions, vérifiez l'authentification VPN pour la session active.

Confirmer la session active

Étape 3. Confirmer les sessions VPN dans FTD CLI

Exécutezshow vpn-sessiondb detail anyconnect la commande dans l'interface de ligne de commande FTD (Lina) pour confirmer les sessions VPN de l'ingénieur et du gestionnaire.

ftd702# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : vpnEngineerClientCN Index : 13
Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 DTLS-Tunnel: (1)SHA384
Bytes Tx : 14782 Bytes Rx : 12714
Pkts Tx : 2 Pkts Rx : 32
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ftd-vpn-engineer-grp Tunnel Group : ftd-vpn-engineer
Login Time : 02:00:35 UTC Wed Jun 19 2024
Duration : 0h:00m:55s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : cb0071820000d00066723bc3
Security Grp : none Tunnel Zone : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 13.1
Public IP : 192.168.1.11
Encryption : none Hashing : none 
TCP Src Port : 50225 TCP Dst Port : 443 
Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
Client OS : win 
Client OS Ver: 10.0.15063 
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 0 
Pkts Tx : 1 Pkts Rx : 0 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

SSL-Tunnel:
Tunnel ID : 13.2
Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
Encryption : AES-GCM-128 Hashing : SHA256 
Ciphersuite : TLS_AES_128_GCM_SHA256 
Encapsulation: TLSv1.3 TCP Src Port : 50232 
TCP Dst Port : 443 Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
Client OS : Windows 
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 1775 
Pkts Tx : 1 Pkts Rx : 2 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

DTLS-Tunnel:
Tunnel ID : 13.3
Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
Encryption : AES-GCM-256 Hashing : SHA384 
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384 
Encapsulation: DTLSv1.2 UDP Src Port : 50825 
UDP Dst Port : 443 Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
Client OS : Windows 
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 0 Bytes Rx : 10939 
Pkts Tx : 0 Pkts Rx : 30 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

Username : vpnManagerClientCN Index : 14
Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 DTLS-Tunnel: (1)SHA384
Bytes Tx : 14782 Bytes Rx : 13521
Pkts Tx : 2 Pkts Rx : 57
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ftd-vpn-manager-grp Tunnel Group : ftd-vpn-manager
Login Time : 02:01:19 UTC Wed Jun 19 2024
Duration : 0h:00m:11s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : cb0071820000e00066723bef
Security Grp : none Tunnel Zone : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 14.1
Public IP : 192.168.1.21
Encryption : none Hashing : none 
TCP Src Port : 49809 TCP Dst Port : 443 
Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
Client OS : win 
Client OS Ver: 10.0.15063 
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 0 
Pkts Tx : 1 Pkts Rx : 0 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

SSL-Tunnel:
Tunnel ID : 14.2
Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
Encryption : AES-GCM-128 Hashing : SHA256 
Ciphersuite : TLS_AES_128_GCM_SHA256 
Encapsulation: TLSv1.3 TCP Src Port : 49816 
TCP Dst Port : 443 Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
Client OS : Windows 
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 3848 
Pkts Tx : 1 Pkts Rx : 25 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

DTLS-Tunnel:
Tunnel ID : 14.3
Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
Encryption : AES-GCM-256 Hashing : SHA384 
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384 
Encapsulation: DTLSv1.2 UDP Src Port : 65501 
UDP Dst Port : 443 Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes 
Client OS : Windows 
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 0 Bytes Rx : 9673 
Pkts Tx : 0 Pkts Rx : 32 
Pkts Tx Drop : 0 Pkts Rx Drop : 0

Dépannage

Vous pouvez vous attendre à trouver des informations sur l'authentification VPN dans le syslog de débogage du moteur Lina et dans le fichier DART sur le PC Windows.

Ceci est un exemple de journaux de débogage dans le moteur Lina pendant la connexion VPN du client ingénieur.

Jun 19 2024 02:00:35: %FTD-7-717029: Identified client certificate within certificate chain. serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:00:35: %FTD-6-717022: Certificate was successfully validated. serial number: 7AF1C78ADCC8F941, subject name:  CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:00:35: %FTD-7-717038: Tunnel group match found. Tunnel Group: ftd-vpn-engineer, Peer certificate: serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP, issuer_name: CN=ftd-ra-ca-common-name,OU=Cisco,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:00:35: %FTD-6-113009: AAA retrieved default group policy (ftd-vpn-engineer-grp) for user = vpnEngineerClientCN
Jun 19 2024 02:00:46: %FTD-6-725002: Device completed SSL handshake with client outside:192.168.1.11/50825 to 192.168.1.200/443 for DTLSv1.2 session

Ceci est un exemple de journaux de débogage dans le moteur Lina pendant la connexion VPN du client manager.

Jun 19 2024 02:01:19: %FTD-7-717029: Identified client certificate within certificate chain. serial number: 1AD1B5EAE28C6D3C, subject name: CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:01:19: %FTD-6-717022: Certificate was successfully validated. serial number: 1AD1B5EAE28C6D3C, subject name:  CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:01:19: %FTD-7-717038: Tunnel group match found. Tunnel Group: ftd-vpn-manager, Peer certificate: serial number: 1AD1B5EAE28C6D3C, subject name: CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP, issuer_name: CN=ftd-ra-ca-common-name,OU=Cisco,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:01:19: %FTD-6-113009: AAA retrieved default group policy (ftd-vpn-manager-grp) for user = vpnManagerClientCN
Jun 19 2024 02:01:25: %FTD-6-725002: Device completed SSL handshake with client outside:192.168.1.21/65501 to 192.168.1.200/443 for DTLSv1.2 session

Informations connexes

Configurer l'authentification basée sur certificat Anyconnect pour l'accès mobile