Configurazione dell'autenticazione basata sul certificato Anyconnect per l'accesso mobile

Opzioni per il download

  • PDF     (1.8 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.7 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:6 settembre 2024
ID documento:217966

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive un esempio di implementazione dell'autenticazione basata su certificati su dispositivi mobili.

    Prerequisiti

    Gli strumenti e i dispositivi utilizzati nella guida sono:

    • Cisco Firepower Threat Defense (FTD) 
    • Firepower Management Center (FMC)
    • Dispositivo Apple iOS (iPhone, iPad)
    • CA (Certificate Authority)
    • Software Cisco Anyconnect Client

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • VPN di base
    • SSL/TLS
    • Infrastruttura a chiave pubblica
    • Esperienza con FMC
    • OpenSSL
    • Cisco Anyconnect

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco FTD
    • Cisco FMC
    • Server CA Microsoft
    • XCA
    • Cisco Anyconnect
    • Ipad Apple

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione di Cisco Anyconnect su FTD

    In questa sezione viene descritto come configurare Anyconnect tramite FMC. Prima di iniziare, assicurarsi di distribuire tutte le configurazioni.


    Esempio di rete

    Lab Topology with Five Devices

    Aggiungi certificato a FTD

    Passaggio 1. Creare un certificato per l'FTD sull'accessorio FMC. Passare a Dispositivi > Certificato e scegliere Aggiungi, come mostrato nell'immagine:

    Graphical User Interface, Webpage FMC. Image of Certificates on Firepower Management Center.


    Passaggio 2. Scegliere l'FTD desiderato per la connessione VPN. Selezionare l'accessorio FTD dal menu a discesa dei dispositivi. Fare clic sull'icona + per aggiungere un nuovo metodo di registrazione dei certificati, come mostrato nell'immagine seguente:

    Graphical User Interface, Webpage FMC. Image of Add New Certificate.

    Passaggio 3. Aggiungere i certificati al dispositivo. Scegliere l'opzione che rappresenta il metodo preferito per ottenere i certificati nell'ambiente.

    Suggerimento: le opzioni disponibili sono: Certificato autofirmato - Genera un nuovo certificato localmente, SCEP - Usa protocollo SCEP (Simple Certificate Enrollment Protocol) per ottenere un certificato da una CA, Manuale - Installa manualmente il certificato radice e identità, PKCS12 - Carica il bundle di certificati crittografati con radice, identità e chiave privata.

    Passaggio 4. Caricare il certificato sul dispositivo FTD. Immettere il passcode (solo PKCS12) e fare clic su Save (Salva), come mostrato nell'immagine:

    Graphical User Interface, Webpage FMC. Image of Add Cert Enrollment.

    Nota: una volta salvato il file, la distribuzione dei certificati viene eseguita immediatamente. Per visualizzare i dettagli del certificato, scegliere l'ID.

    Configurazione Di Cisco Anyconnect

    Configurare Anyconnect tramite FMC con la procedura guidata di accesso remoto.

    Passaggio 1. Avvia la Configurazione guidata criteri VPN di Accesso remoto per configurare Anyconnect.

    Passare a Dispositivi > Accesso remoto e scegliere Aggiungi.

    Graphical User Interface, Webpage FMC. Image of Remote Access Page on FMC.

    Passaggio 2. Assegnazione criteri.

    Completare l'assegnazione dei criteri:
    a. Assegnare un nome al criterio.

    b. Scegliere i protocolli VPN desiderati.

    c. Scegliere il dispositivo di destinazione per applicare la configurazione.

    Graphical User Interface, Webpage FMC. Image of Remote Access VPN Policy Wizard.

    Passaggio 3. Profilo di connessione.

    a. Assegnare un nome al profilo di connessione.
    b. Impostare il metodo di autenticazione su Solo certificato client.

    c. Assegnare un pool di indirizzi IP e, se necessario, creare un nuovo oggetto Criteri di gruppo.

    d. Fare clic su Next (Avanti).

    Graphical User Interface, Webpage FMC. Remote Access VPN Policy Wizard Step 2. Connection Profile.

    Nota: scegliere il campo Principale da utilizzare per immettere il nome utente per le sessioni di autenticazione. In questa guida viene utilizzato il CN del certificato.

    Passaggio 4. AnyConnect.

    Aggiungere un'immagine Anyconnect all'accessorio. Caricare la versione preferita di Anyconnect e fare clic su Avanti.

    Nota: i pacchetti Cisco Anyconnect possono essere scaricati da Software.Cisco.com.

    Passaggio 5. Accesso e certificato.

    Applicare il certificato a un'interfaccia e abilitare Anyconnect a livello di interfaccia, come mostrato nell'immagine, e fare clic su Avanti.

    Graphical User Interface, Webpage FMC. Image of Step 4. of Remote Access VPN Policy Wizard.

    Passaggio 6. Riepilogo.

    Esaminare le configurazioni. Se tutte le estrazioni sono state eseguite, fare clic su fine, quindi su distribuisci.

    Crea certificato per utenti mobili

    Creare un certificato da aggiungere al dispositivo mobile utilizzato nella connessione.

    Passaggio 1. XCA

    a. Apri XCA

    b. Avvia un nuovo database

    Passaggio 2. Creare CSR.

    a. Scegliere Richiesta firma certificato (CSR)

    b. Scegli nuova richiesta

    c. Inserire il valore con tutte le informazioni necessarie per il certificato

    d. Genera una nuova chiave

    e. Al termine, fare clic su OK

    Graphical User Interface, Application XCA. Image of Certificate and Key Management on XCA.

    Nota: questo documento utilizza il CN del certificato.

    Passaggio 3. Inviare CSR.

    a. Esportazione del CSR

    b. Inviare CSR a CA per ottenere un nuovo certificato

    Graphical User Interface, AnyConnect Application

    Nota: utilizzare il formato PEM del CSR.

    Installa nel dispositivo mobile

    Passaggio 1. Aggiungere il certificato del dispositivo al dispositivo mobile.
    Passaggio 2. Condividere il certificato con l'applicazione Anyconnect per aggiungere la nuova applicazione di certificato.

    Attenzione: l'installazione manuale richiede la condivisione del certificato con l'applicazione. Ciò non si applica ai certificati sottoposti a push tramite MDM.

    Graphical User Interface, Application Files. Image of Certificate File on IOS Device.

    Passaggio 3. Immettere la password del certificato per il file PKCS12.

    Passaggio 4. Creare una nuova connessione su Anyconnect.

    Passaggio 5. Passare a nuove connessioni; Connessioni > Aggiungi connessione VPN.

    Graphical User Interface, Application AnyConnect. Image of AnyConnect Application on IOS Device.

    Passaggio 6. Immettere le informazioni per la nuova connessione. 

    Descrizione: assegnare un nome alla connessione

    Indirizzo server: indirizzo IP o FQDN FTD

    Avanzate: configurazioni aggiuntive

    Passaggio 7. Scegliere Avanzate.

    Passaggio 8. Scegliere Certificato e scegliere il certificato appena aggiunto.

    Graphical User Interface, Application AnyConnect. Image of Select Certificate on AnyConnect Application.

    Passaggio 9. Tornare a Connessioni e verificare.

    Se l'operazione ha esito positivo, l'interruttore rimane acceso e i dettagli mostrano la connessione nello stato.

    Graphical User Interface, Website. Image of AnyConnect Application. Status Connected - Graph showing Traffic being Generated.

    Verifica

    Il comando show vpn-sessiondb detail Anyconnect permette di visualizzare tutte le informazioni sull'host connesso.

    Suggerimento: l'opzione per filtrare ulteriormente il comando è rappresentata dalle parole chiave 'filter' o 'sort' aggiunte al comando.

    Ad esempio:

    Tcoutrie-FTD3# show vpn-sessiondb detail Anyconnect


Username : Cisco_Test Index : 23
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Protocol : Anyconnect-Parent SSL-Tunnel DTLS-Tunnel
License : Anyconnect Premium, Anyconnect for Mobile
Encryption : Anyconnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hash : Anyconnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 8627 Bytes Rx : 220
Pkts Tx : 4 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : SSL Tunnel Group : SSL
Login Time : 13:03:28 UTC Mon Aug 2 2021
Duration : 0h:01m:49s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a7aa95d000170006107ed20
Security Grp : none Tunnel Zone : 0

Anyconnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

Anyconnect-Parent:
Tunnel ID : 23.1
Public IP : 10.118.18.168
Encryption : none Hashing : none
TCP Src Port : 64983 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : apple-ios
Client OS Ver: 14.6
Client Type : Anyconnect
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 6299 Bytes Rx : 220
Pkts Tx : 2 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 23.2
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 64985
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Apple iOS
Client Type : SSL VPN Client
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 2328 Bytes Rx : 0
Pkts Tx : 2 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 23.3
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 51003
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Apple iOS
Client Type : DTLS VPN Client
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 0 Bytes Rx : 0
Pkts Tx : 0 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

    Risoluzione dei problemi

    Debug

    I debug necessari per risolvere il problema sono:

    Debug crypto ca 14

Debug webvpn 255

Debug webvpn Anyconnect 255

    Se la connessione è IPSEC e non SSL:

    Debug crypto ikev2 platform 255

Debug crypto ikev2 protocol 255

debug crypto CA 14

    Registri dall'applicazione Anyconnect per dispositivi mobili:

    Selezionare Diagnostica > Log di debug VPN > Log di condivisione.

    Graphical User Interface, Application AnyConnect. Image of Diagnostics Page.

    Immettere le informazioni:

    • Problema
    • Passi da riprodurre

    Passare quindi a Invia > Condividi con.

    Graphical User Interface, Application AnyConnect. Image of Share Logs Page.

    In questo documento viene presentata l'opzione per l'utilizzo di un client di posta elettronica per l'invio dei log.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    3.0
    06-Sep-2024
    Allarmi CCW verificati e risolti Controllo ortografia/grammatica
    2.0
    10-Aug-2023
    Tag MDF, requisiti di stile, testo alternativo e formattazione aggiornati.
    1.0
    14-Jul-2022
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Terrell Coutrier
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti