Configurazione dell'autenticazione dei certificati client protetti su FTD Gestito da FMC

Opzioni per il download

  • PDF     (2.2 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.1 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.8 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:24 giugno 2024
ID documento:221839

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto il processo di configurazione della VPN ad accesso remoto su Firepower Threat Defense (FTD) gestita da Firepower Management Center (FMC) con autenticazione del certificato.

    Contributo di Dolly Jain e Rishabh Aggarwal, Cisco TAC Engineer.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:


    · Registrazione manuale dei certificati e nozioni di base di SSL
    · FMC
    · Conoscenze base di autenticazione per VPN ad accesso remoto
    · CA (Certification Authority) di terze parti come Entrust, Geotrust, GoDaddy, Thawte e VeriSign

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software:


    · Secure Firepower Threat Defense versione 7.4.1
    · Firepower Management Center (FMC) versione 7.4.1
    · Secure Client versione 5.0.05040
    · Microsoft Windows Server 2019 come server CA

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Esempio di rete

    Esempio di reteEsempio di rete

    Configurazioni

    a. Creazione/importazione di un certificato utilizzato per l'autenticazione server

    note-icon

    Nota: nel CCP è necessario un certificato CA prima di poter generare il CSR. Se CSR viene generato da un'origine esterna (OpenSSL o di terze parti), il metodo manuale ha esito negativo ed è necessario utilizzare il formato del certificato PKCS12.


    Passaggio 1. Individuare Devices > Certificatese fare clic su Add. Selezionare Device (Dispositivo) e fare clic sul segno più (+) in Cert Enrollment (Registrazione certificato).

    Aggiungi registrazione certificatoAggiungi registrazione certificato

    Passaggio 2. In Tipo di registrazione selezionare comeCA Information Manual e incollare il certificato dell'Autorità di certificazione (CA) utilizzato per firmare il CSR.

    Aggiungi informazioni sulla CAAggiungi informazioni sulla CA

    Passaggio 3. Per Uso convalida, selezionare IPsec Client, SSL Client e Skip Check for CA flag in basic constraints of the CA Certificate.

    Passaggio 4. In Certificate Parameters, immettere i dettagli relativi al nome dell'oggetto.

    Aggiungi parametri certificatoAggiungi parametri certificato

    Passaggio 5. In Keyselezionare il tipo di chiave come RSA con un nome e una dimensione per la chiave. Fare clic su Save.

    note-icon

    Nota: per il tipo di chiave RSA, le dimensioni minime della chiave sono 2048 bit.

    Aggiungi chiave RSAAggiungi chiave RSA


    Passaggio 6. In Cert Enrollment, selezionare il trust point dall'elenco a discesa appena creato e fare clic su Add.

    Aggiungi nuovo certificatoAggiungi nuovo certificato

    Passaggio 7. Fare clic su ID, quindi fare clic su inYes un'ulteriore richiesta per generare il CSR.

    Genera CSRGenera CSR

    Passaggio 8. Copiare il CSR e ottenerne la firma da parte dell'Autorità di certificazione. Una volta che il certificato di identità è stato rilasciato dalla CA, importarlo facendo clic su Browse Identity Certificate e fare clic su Import .

    Importa certificato IDImporta certificato ID

    note-icon

    Nota: se il rilascio del certificato ID richiede tempo, è possibile ripetere il passaggio 7 in seguito. In questo modo verrà generato lo stesso CSR e sarà possibile importare il certificato ID.

    b. Aggiungere un certificato CA attendibile/interno

    note-icon

    Nota: se l'Autorità di certificazione (CA) utilizzata nel passaggio (a), "Crea/importa un certificato utilizzato per l'autenticazione server" emette anche certificati utente, è possibile ignorare il passaggio (b), "Aggiungi un certificato CA attendibile/interno". Non è necessario aggiungere di nuovo lo stesso certificato CA e deve essere evitato. Se lo stesso certificato CA viene aggiunto di nuovo, il trust point è configurato con "validation-usage none" che può influire sull'autenticazione del certificato per RAVPN.

    Passaggio 1. Individuare Devices > Certificates e fare clic su Add.

    Selezionare Device (Dispositivo) e fare clic sul segno più (+) in Cert Enrollment (Registrazione certificato).

    In questo caso, per il rilascio dei certificati di identità/utente viene utilizzato "auth-risaggar-ca".

    auth-risaggar-caauth-risaggar-ca

    Passaggio 2. Immettere un nome di trust e selezionareManual come tipo di iscrizione in CA information.

    Passaggio 3. Controllare CA Onlye incollare il certificato CA attendibile/interna in formato pem.

    Passaggio 4. Selezionare Skip Check for CA flag in basic constraints of the CA Certificatee fare clic su Save.

    Aggiungi TrustpointAggiungi Trustpoint

    Passaggio 5. In Cert Enrollment, selezionare il trust point dall'elenco a discesa appena creato e fare clic su Add.

    Aggiungi CA internaAggiungi CA interna

    Passaggio 6. Il certificato aggiunto in precedenza viene visualizzato come segue:

    Certificato aggiuntoCertificato aggiunto

    c. Configurare il pool di indirizzi per gli utenti VPN


    Passaggio 1. Passare a Objects > Object Management > Address Pools > IPv4 Pools .


    Passaggio 2. Immettere il nome e l'intervallo di indirizzi IPv4 con una maschera.

    Aggiungi pool IPv4Aggiungi pool IPv4

    d. Caricamento di immagini client sicure

    Passaggio 1. Scaricare dal sito software Cisco le immagini client sicure distribuite sul Web in base al sistema operativo.


    Passaggio 2. Passare a Objects > Object Management > VPN > Secure Client File > Add Secure Client File .


    Passaggio 3. Immettere il nome e selezionare il file Secure Client dal disco.


    Passaggio 4. Selezionare il tipo di file Secure Client Image e fare clic su Save.

    Aggiungi immagine client sicuraAggiungi immagine client sicura

    e. Crea e carica profilo XML

    Passaggio 1. Scaricare e installare Secure Client Profile Editor dal sito software Cisco.

    Passaggio 2. Creare un nuovo profilo e selezionarlo All dall'elenco a discesa Selezione certificato client. Controlla principalmente gli archivi certificati che Secure Client può utilizzare per archiviare e leggere i certificati. 

    Altre due opzioni disponibili sono:

    1. Computer - Client protetto è limitato alla ricerca di certificati nell'archivio certificati del computer locale di Windows.
    2. Utente - Client protetto è limitato alla ricerca di certificati nell'archivio certificati utente locale di Windows.
      3.

    Imposta sostituzione archivio certificati come True .

    In questo modo un amministratore può indirizzare Secure Client all'utilizzo dei certificati nell'archivio certificati del computer Windows (sistema locale) per l'autenticazione dei certificati client. L'override dell'archivio certificati si applica solo a SSL, in cui la connessione viene avviata per impostazione predefinita dal processo dell'interfaccia utente. Quando si utilizza IPSec/IKEv2, questa funzionalità del profilo client protetto non è applicabile.

    Aggiungi preferenze (Parte1)Aggiungi preferenze (Parte1)

    Passaggio 3. (Facoltativo) Deselezionare l'opzione Disable Automatic Certificate Selection in quanto evita la richiesta all'utente di selezionare il certificato di autenticazione.

    Aggiungi preferenze (Parte2)Aggiungi preferenze (Parte2)

    Passaggio 4. Server List Entry Creare un URL per la configurazione di un profilo nella VPN client sicura fornendo l'alias di gruppo e l'URL di gruppo nell'elenco dei server e salvare il profilo XML.

    Aggiungi elenco serverAggiungi elenco server

    Passaggio 5. Infine, il profilo XML è pronto per essere utilizzato.

    Profilo XMLProfilo XML

    Posizione dei profili XML per vari sistemi operativi:

    • Windows - C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile
      •
    • MacOS - /opt/cisco/anyconnect/profile
      •
    • Linux - /opt/cisco/anyconnect/profile
      •

    Passaggio 6. Passare a Objects > Object Management > VPN > Secure Client File > Add Secure Client Profile .

    Immettere il nome del file e fare clic su Browse per selezionare il profilo XML. Fare clic su .Save

    Aggiungi profilo VPN client sicuroAggiungi profilo VPN client sicuro

    Configurazione VPN di accesso remoto

    Passaggio 1. Creare un ACL in base ai requisiti per consentire l'accesso alle risorse interne.

    Individuare Objects > Object Management > Access List > Standard e fare clic su Add Standard Access List.

    Aggiungi ACL standardAggiungi ACL standard

    note-icon

    Nota: questo ACL viene utilizzato da Secure Client per aggiungere route sicure alle risorse interne.

    Passaggio 2. Individuare Devices > VPN > Remote Access e fare clic su Add.


    Passaggio 3. Immettere il nome del profilo, quindi selezionare il dispositivo FTD e fare clic su Avanti.

    Aggiungi nome profiloAggiungi nome profilo

    Passaggio 4. Immettere il nome del server Connection Profile Namee selezionare il metodo di autenticazione come Client Certificate Only in Autenticazione, autorizzazione e accounting (AAA).

    Seleziona metodo di autenticazioneSeleziona metodo di autenticazione

    Passaggio 5. Fare clic su Use IP Address Pools in Assegnazione indirizzo client e selezionare il pool di indirizzi IPv4 creato in precedenza.

    Seleziona assegnazione indirizzo clientSeleziona assegnazione indirizzo client

    Passaggio 6. Modificare i Criteri di gruppo. 

    Modifica Criteri di gruppoModifica Criteri di gruppo

    Passaggio 7. Passare a General > Split Tunneling, selezionare Tunnel networks specified below e selezionare Standard Access List in Tipo di elenco reti tunnel suddiviso.

    Selezionare l'ACL creato in precedenza.

    Aggiungi tunneling ripartitoAggiungi tunneling ripartito

    Passaggio 8. Passare aSecure Client > Profile, selezionare Client Profile e fare clic su Save.

    Aggiungi profilo client sicuroAggiungi profilo client sicuro

    Passaggio 9. Fare clic su Next, quindi selezionare il Secure Client Image e fare clic su Next.

    Aggiungi immagine client sicuraAggiungi immagine client sicura

    Passaggio 10. Selezionare l'interfaccia di rete per l'accesso VPN, scegliere Device Certificates, selezionare syspot allow-vpn e fare clic su Next.

    Aggiungi controllo di accesso per traffico VPNAggiungi controllo di accesso per traffico VPN

    Passaggio 11. Infine, esaminare tutte le configurazioni e fare clic su Finish. 

    Configurazione criteri VPN di Accesso remotoConfigurazione criteri VPN di Accesso remoto

    Passaggio 12. Al termine della configurazione iniziale della VPN ad accesso remoto, modificare il profilo di connessione creato e passare a Aliases. 

    Passaggio 13. Configurare group-alias facendo clic sull'icona più (+).

    Modifica alias gruppoModifica alias gruppo

    Passaggio 14. Configurare group-url facendo clic sull'icona più (+). Utilizzare lo stesso URL di gruppo configurato in precedenza nel profilo client.

    Modifica URL gruppoModifica URL gruppo

    Passaggio 15. Passare a Interfacce di accesso. Selezionare Interface Truspoint e SSL Global Identity Certificate sotto le impostazioni SSL.

    Modifica interfacce di accessoModifica interfacce di accesso

    Passaggio 16. FareSave clic su e distribuire le modifiche.

    Verifica

    Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

    1. Sul PC client sicuro deve essere installato il certificato con una data, un oggetto e un utilizzo chiavi avanzato validi sul PC dell'utente. Questo certificato deve essere rilasciato dalla CA il cui certificato è installato sull'FTD, come mostrato in precedenza. In questo caso, l'identità o il certificato utente viene rilasciato da "auth-risaggar-ca".

    Caratteristiche principali del certificatoCaratteristiche principali del certificato

    note-icon

    Nota: il certificato client deve disporre dell'utilizzo chiavi avanzato per l'autenticazione client.

    2. Secure Client deve stabilire la connessione.

    Connessione client sicura riuscitaConnessione client sicura riuscita

    3. Eseguire show vpn-sessiondb anyconnect per confermare i dettagli di connessione dell'utente attivo nel gruppo di tunnel utilizzato.

    firepower# show vpn-sessiondb anyconnect Session Type: AnyConnect Username : dolljain.cisco.com Index : 8 Assigned IP : 10.20.20.1 Public IP : 72.163.X.X Protocol : AnyConnect-Parent SSL-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 Bytes Tx : 14402 Bytes Rx : 9652 Group Policy : DfltGrpPolicy Tunnel Group : RAVPN-CertAuth Login Time : 08:32:22 UTC Mon Mar 18 2024 Duration : 0h:03m:59s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0ac5de050000800065f7fc16 Security Grp : none Tunnel Zone : 0

    Risoluzione dei problemi

    Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

    1. I debug possono essere eseguiti dalla CLI diagnostica dell'FTD:

    debug crypto ca 14
    debug webvpn anyconnect 255
    debug crypto ike-common 255

    2. Fare riferimento a questa guida per i problemi comuni.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    24-Jun-2024
    Aggiornamento dei passaggi di configurazione per una maggiore chiarezza.
    1.0
    01-Apr-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Dolly Jain
      Cisco TAC Engineer
    • Rishabh Aggarwal
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti