Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer Cisco Secure Client avec SSL sur FTD via FDM en utilisant la correspondance de certificat pour l'authentification.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
CertificateMatch est une fonctionnalité qui permet aux administrateurs de configurer des critères que le client doit utiliser pour sélectionner un certificat client pour l'authentification avec le serveur VPN. Cette configuration est spécifiée dans le profil client, qui est un fichier XML pouvant être géré à l'aide de l'Éditeur de profil ou modifié manuellement. La fonctionnalité CertificateMatch peut être utilisée pour améliorer la sécurité des connexions VPN en s'assurant que seul un certificat avec des attributs spécifiques est utilisé pour la connexion VPN.
Ce document décrit comment authentifier le client sécurisé Cisco en utilisant le nom commun d'un certificat SSL.
Ces certificats contiennent un nom commun qui est utilisé à des fins d’autorisation.
Cette image présente la topologie utilisée pour l'exemple de ce document.
Accédez à Device > Interfaces > View All Interfaces, configurez l'interface interne et externe pour FTD dans l'onglet Interfaces.
Pour GigabitEthernet0/0,
Accédez à Device > Smart License > View Configuration, confirmez la licence Cisco Secure Client dans l'élément RA VPN License.
Accédez à Objets > Réseaux, cliquez sur + bouton.
Entrez les informations nécessaires pour ajouter un nouveau pool d'adresses IPv4. Cliquez sur le bouton OK.
Téléchargez et installez Secure Client Profile Editor à partir du site Cisco Software. Accédez à Server List, cliquez sur Add button. Entrez les informations nécessaires pour ajouter une entrée de liste de serveurs et cliquez sur le bouton OK.
Accédez à Certificate Matching, cliquez sur Add button. Entrez les informations nécessaires pour ajouter une entrée de nom unique et cliquez sur le bouton OK.
Remarque : cochez l'option MatchCase dans ce document.
Enregistrez le profil client sécurisé sur l'ordinateur local et confirmez les détails du profil.
Accédez à Objets > Profil client sécurisé, cliquez sur le bouton CREATE SECURE CLIENT PROFILE.
Entrez les informations nécessaires pour ajouter un profil client sécurisé et cliquez sur le bouton OK.
Accédez à Device > Remote Access VPN > View Configuration > Group Policies, cliquez sur + button.
Entrez les informations nécessaires pour ajouter une stratégie de groupe et cliquez sur OK.
Accédez à Objets > Certificats, cliquez sur Ajouter un certificat interne à partir de l'élément +.
Cliquez sur Télécharger le certificat et la clé.
Entrez les informations nécessaires pour le certificat FTD, importez un certificat et une clé de certificat depuis l'ordinateur local, puis cliquez sur le bouton OK.
Accédez à Objets > Certificats, cliquez sur Ajouter un certificat CA approuvé à partir de l'élément +.
Entrez les informations nécessaires pour l'autorité de certification, importez un certificat depuis l'ordinateur local.
Accédez à Device > Remote Access VPN > View Configuration > Connection Profiles, cliquez sur le bouton CREATE CONNECTION PROFILE.
Entrez les informations nécessaires pour le profil de connexion et cliquez sur Next .
Entrez les informations nécessaires à la stratégie de groupe et cliquez sur Next .
Sélectionnez Certificate of Device Identity, Outside Interface, Secure Client Package pour la connexion VPN.
Remarque : fonction NAT Exempt désactivée dans ce document.
Confirmez les informations entrées pour la connexion VPN et cliquez sur le bouton FINISH.
Confirmez les paramètres de connexion VPN dans l'interface de ligne de commande du FTD après le déploiement à partir du FDM.
// Defines IP of interface
interface GigabitEthernet0/0
speed auto
nameif outside
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 192.168.1.200 255.255.255.0
// Defines a pool of addresses
ip local pool ftd-cert-match-pool 172.16.1.150-172.16.1.160
// Defines Trustpoint for Server Certificate
crypto ca trustpoint ftd-vpn-cert
enrollment terminal
keypair ftd-vpn-cert
crl configure
// Server Certificate
crypto ca certificate chain ftdvpn-ca-cert
certificate ca 5242a02e0db6f7fd
3082036c 30820254 a0030201 02020852 42a02e0d b6f7fd30 0d06092a 864886f7
......
quit
// Defines Trustpoint for CA
crypto ca trustpoint ftdvpn-ca-cert
enrollment terminal
validation-usage ssl-client
crl configure
// CA
crypto ca certificate chain ftdvpn-ca-cert
certificate ca 5242a02e0db6f7fd
3082036c 30820254 a0030201 02020852 42a02e0d b6f7fd30 0d06092a 864886f7
......
quit
// Configures the FTD to allow Cisco Secure Client connections and the valid Cisco Secure Client images
webvpn
enable outside
http-headers
hsts-server
enable
max-age 31536000
include-sub-domains
no preload
hsts-client
enable
x-content-type-options
x-xss-protection
content-security-policy
anyconnect image disk0:/anyconnpkgs/cisco-secure-client-win-5.1.4.74-webdeploy-k9.pkg 2
anyconnect profiles secureClientProfile disk0:/anyconncprofs/secureClientProfile.xml
anyconnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
// Configures the group-policy to allow SSL connections
group-policy ftd-cert-match-grp internal
group-policy ftd-cert-match-grp attributes
dhcp-network-scope none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-dns none
split-tunnel-all-dns disable
client-bypass-protocol disable
msie-proxy method no-modify
vlan none
address-pools none
ipv6-address-pools none
webvpn
anyconnect ssl dtls none
anyconnect mtu 1406
anyconnect ssl keepalive none
anyconnect ssl rekey time none
anyconnect ssl rekey method none
anyconnect dpd-interval client none
anyconnect dpd-interval gateway none
anyconnect ssl compression none
anyconnect dtls compression none
anyconnect modules none
anyconnect profiles value secureClientProfile type user
anyconnect ssl df-bit-ignore disable
always-on-vpn profile-setting
// Configures the tunnel-group to use the certificate authentication
tunnel-group ftd-cert-match-vpn type remote-access
tunnel-group ftd-cert-match-vpn general-attributes
address-pool ftd-cert-match-pool
default-group-policy ftd-cert-match-grp
tunnel-group ftd-cert-match-vpn webvpn-attributes
authentication certificate
group-alias ftd-cert-match-vpn enable
Copiez le profil client sécurisé pour concevoir le client VPN et le client VPN du manager.
Remarque : le répertoire du profil client sécurisé sur l'ordinateur Windows : C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile
Dans Engineer VPN Client, accédez à Certificates - Current User > Personal > Certificates, vérifiez le certificat client utilisé pour l'authentification.
Double-cliquez sur le certificat client, accédez à Détails, vérifiez les détails de Objet.
Dans le client VPN du gestionnaire, naviguez vers Certificates - Current User > Personal > Certificates, vérifiez le certificat client utilisé pour l'authentification.
Double-cliquez sur le certificat client, accédez à Détails, vérifiez les détails de Objet.
Dans le client VPN ingénieur et le client VPN gestionnaire, naviguez vers Certificates - Current User > Trusted Root Certification Authorities > Certificates, vérifiez l'autorité de certification utilisée pour l'authentification.
Dans Engineer VPN Client, initiez la connexion Cisco Secure Client. Pas besoin d'entrer le nom d'utilisateur et le mot de passe, le VPN s'est connecté avec succès.
Dans le client VPN du gestionnaire, initiez la connexion du client sécurisé Cisco. Le VPN connecté a échoué en raison d'un échec de validation du certificat.
Exécutez la commandeshow vpn-sessiondb detail anyconnect dans l'interface de ligne de commande FTD (Lina) pour confirmer les sessions VPN de l'ingénieur.
firepower# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : vpnEngineerClientCN Index : 32
Assigned IP : 172.16.1.150 Public IP : 192.168.1.11
Protocol : AnyConnect-Parent SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384
Bytes Tx : 14718 Bytes Rx : 12919
Pkts Tx : 2 Pkts Rx : 51
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ftd-cert-match-grp Tunnel Group : ftd-cert-match-vpn
Login Time : 05:42:03 UTC Tue Jul 2 2024
Duration : 0h:00m:11s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 00000000000200006683932b
Security Grp : none Tunnel Zone : 0
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 32.1
Public IP : 192.168.1.11
Encryption : none Hashing : none
TCP Src Port : 50170 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.17763
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.4.74
Bytes Tx : 7359 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 32.2
Assigned IP : 172.16.1.150 Public IP : 192.168.1.11
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 50177
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.4.74
Bytes Tx : 7359 Bytes Rx : 12919
Pkts Tx : 1 Pkts Rx : 51
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Dépannage
Vous pouvez vous attendre à trouver des informations sur l'authentification VPN dans le syslog de débogage du moteur Lina et dans le fichier DART sur l'ordinateur Windows.
Ceci est un exemple de journaux de débogage dans le moteur Lina pendant la connexion VPN du client ingénieur.
Jul 02 2024 04:16:03: %FTD-7-717029: Identified client certificate within certificate chain. serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jul 02 2024 04:16:03: %FTD-6-717022: Certificate was successfully validated. serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jul 02 2024 04:16:04: %FTD-6-113009: AAA retrieved default group policy (ftd-cert-match-grp) for user = vpnEngineerClientCN
Jul 02 2024 04:16:09: %FTD-6-725002: Device completed SSL handshake with client outside:192.168.1.11/50158 to 192.168.1.200/443 for TLSv1.2 session
Informations connexes
Configuration du service de gestion prêt à l'emploi FDM pour Firepower 2100
Configurer un VPN d'accès à distance sur FTD géré par FDM
Configuration et vérification de Syslog dans le Gestionnaire de périphériques Firepower
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
25-Jul-2024 |
Première publication |