Introduzione
In questo documento viene descritto il processo di configurazione della VPN ad accesso remoto su Firepower Threat Defense (FTD) gestita da Firepower Management Center (FMC) con autenticazione del certificato.
Contributo di Dolly Jain e Rishabh Aggarwal, Cisco TAC Engineer.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
· Registrazione manuale dei certificati e nozioni di base di SSL
· FMC
· Conoscenze base di autenticazione per VPN ad accesso remoto
· CA (Certification Authority) di terze parti come Entrust, Geotrust, GoDaddy, Thawte e VeriSign
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software:
· Secure Firepower Threat Defense versione 7.4.1
· Firepower Management Center (FMC) versione 7.4.1
· Secure Client versione 5.0.05040
· Microsoft Windows Server 2019 come server CA
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Esempio di rete
Esempio di rete
Configurazioni
a. Creazione/importazione di un certificato utilizzato per l'autenticazione server
Nota: nel CCP è necessario un certificato CA prima di poter generare il CSR. Se CSR viene generato da un'origine esterna (OpenSSL o di terze parti), il metodo manuale ha esito negativo ed è necessario utilizzare il formato del certificato PKCS12.
Passaggio 1. Individuare Devices > Certificatese fare clic su Add. Selezionare Device (Dispositivo) e fare clic sul segno più (+) in Cert Enrollment (Registrazione certificato).
Aggiungi registrazione certificato
Passaggio 2. In Tipo di registrazione selezionare comeCA Information Manual e incollare il certificato dell'Autorità di certificazione (CA) utilizzato per firmare il CSR.
Aggiungi informazioni sulla CA
Passaggio 3. Per Uso convalida, selezionare IPsec Client, SSL Client e Skip Check for CA flag in basic constraints of the CA Certificate.
Passaggio 4. In Certificate Parameters, immettere i dettagli relativi al nome dell'oggetto.
Aggiungi parametri certificato
Passaggio 5. In Keyselezionare il tipo di chiave come RSA con un nome e una dimensione per la chiave. Fare clic su Save.
Nota: per il tipo di chiave RSA, le dimensioni minime della chiave sono 2048 bit.
Aggiungi chiave RSA
Passaggio 6. In Cert Enrollment, selezionare il trust point dall'elenco a discesa appena creato e fare clic su Add.
Aggiungi nuovo certificato
Passaggio 7. Fare clic su ID, quindi fare clic su inYes un'ulteriore richiesta per generare il CSR.
Genera CSR
Passaggio 8. Copiare il CSR e ottenerne la firma da parte dell'Autorità di certificazione. Una volta che il certificato di identità è stato rilasciato dalla CA, importarlo facendo clic su Browse Identity Certificate e fare clic su Import .
Importa certificato ID
Nota: se il rilascio del certificato ID richiede tempo, è possibile ripetere il passaggio 7 in seguito. In questo modo verrà generato lo stesso CSR e sarà possibile importare il certificato ID.
b. Aggiungere un certificato CA attendibile/interno
Nota: se l'Autorità di certificazione (CA) utilizzata nel passaggio (a), "Crea/importa un certificato utilizzato per l'autenticazione server" emette anche certificati utente, è possibile ignorare il passaggio (b), "Aggiungi un certificato CA attendibile/interno". Non è necessario aggiungere di nuovo lo stesso certificato CA e deve essere evitato. Se lo stesso certificato CA viene aggiunto di nuovo, il trust point è configurato con "validation-usage none" che può influire sull'autenticazione del certificato per RAVPN.
Passaggio 1. Individuare Devices > Certificates e fare clic su Add.
Selezionare Device (Dispositivo) e fare clic sul segno più (+) in Cert Enrollment (Registrazione certificato).
In questo caso, per il rilascio dei certificati di identità/utente viene utilizzato "auth-risaggar-ca".
auth-risaggar-ca
Passaggio 2. Immettere un nome di trust e selezionareManual come tipo di iscrizione in CA information.
Passaggio 3. Controllare CA Onlye incollare il certificato CA attendibile/interna in formato pem.
Passaggio 4. Selezionare Skip Check for CA flag in basic constraints of the CA Certificatee fare clic su Save.
Aggiungi Trustpoint
Passaggio 5. In Cert Enrollment, selezionare il trust point dall'elenco a discesa appena creato e fare clic su Add.
Aggiungi CA interna
Passaggio 6. Il certificato aggiunto in precedenza viene visualizzato come segue:
Certificato aggiunto
c. Configurare il pool di indirizzi per gli utenti VPN
Passaggio 1. Passare a Objects > Object Management > Address Pools > IPv4 Pools .
Passaggio 2. Immettere il nome e l'intervallo di indirizzi IPv4 con una maschera.
Aggiungi pool IPv4
d. Caricamento di immagini client sicure
Passaggio 1. Scaricare dal sito software Cisco le immagini client sicure distribuite sul Web in base al sistema operativo.
Passaggio 2. Passare a Objects > Object Management > VPN > Secure Client File > Add Secure Client File .
Passaggio 3. Immettere il nome e selezionare il file Secure Client dal disco.
Passaggio 4. Selezionare il tipo di file Secure Client Image e fare clic su Save.
Aggiungi immagine client sicura
e. Crea e carica profilo XML
Passaggio 1. Scaricare e installare Secure Client Profile Editor dal sito software Cisco.
Passaggio 2. Creare un nuovo profilo e selezionarlo All dall'elenco a discesa Selezione certificato client. Controlla principalmente gli archivi certificati che Secure Client può utilizzare per archiviare e leggere i certificati.
Altre due opzioni disponibili sono:
- Computer - Client protetto è limitato alla ricerca di certificati nell'archivio certificati del computer locale di Windows.
- Utente - Client protetto è limitato alla ricerca di certificati nell'archivio certificati utente locale di Windows.
Imposta sostituzione archivio certificati come True .
In questo modo un amministratore può indirizzare Secure Client all'utilizzo dei certificati nell'archivio certificati del computer Windows (sistema locale) per l'autenticazione dei certificati client. L'override dell'archivio certificati si applica solo a SSL, in cui la connessione viene avviata per impostazione predefinita dal processo dell'interfaccia utente. Quando si utilizza IPSec/IKEv2, questa funzionalità del profilo client protetto non è applicabile.
Aggiungi preferenze (Parte1)
Passaggio 3. (Facoltativo) Deselezionare l'opzione Disable Automatic Certificate Selection in quanto evita la richiesta all'utente di selezionare il certificato di autenticazione.
Aggiungi preferenze (Parte2)
Passaggio 4. Server List Entry Creare un URL per la configurazione di un profilo nella VPN client sicura fornendo l'alias di gruppo e l'URL di gruppo nell'elenco dei server e salvare il profilo XML.
Aggiungi elenco server
Passaggio 5. Infine, il profilo XML è pronto per essere utilizzato.
Profilo XML
Posizione dei profili XML per vari sistemi operativi:
- Windows - C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile
- MacOS - /opt/cisco/anyconnect/profile
- Linux - /opt/cisco/anyconnect/profile
Passaggio 6. Passare a Objects > Object Management > VPN > Secure Client File > Add Secure Client Profile .
Immettere il nome del file e fare clic su Browse per selezionare il profilo XML. Fare clic su .Save
Aggiungi profilo VPN client sicuro
Configurazione VPN di accesso remoto
Passaggio 1. Creare un ACL in base ai requisiti per consentire l'accesso alle risorse interne.
Individuare Objects > Object Management > Access List > Standard e fare clic su Add Standard Access List.
Aggiungi ACL standard
Nota: questo ACL viene utilizzato da Secure Client per aggiungere route sicure alle risorse interne.
Passaggio 2. Individuare Devices > VPN > Remote Access e fare clic su Add.
Passaggio 3. Immettere il nome del profilo, quindi selezionare il dispositivo FTD e fare clic su Avanti.
Aggiungi nome profilo
Passaggio 4. Immettere il nome del server Connection Profile Namee selezionare il metodo di autenticazione come Client Certificate Only in Autenticazione, autorizzazione e accounting (AAA).
Seleziona metodo di autenticazione
Passaggio 5. Fare clic su Use IP Address Pools in Assegnazione indirizzo client e selezionare il pool di indirizzi IPv4 creato in precedenza.
Seleziona assegnazione indirizzo client
Passaggio 6. Modificare i Criteri di gruppo.
Modifica Criteri di gruppo
Passaggio 7. Passare a General > Split Tunneling, selezionare Tunnel networks specified below e selezionare Standard Access List in Tipo di elenco reti tunnel suddiviso.
Selezionare l'ACL creato in precedenza.
Aggiungi tunneling ripartito
Passaggio 8. Passare aSecure Client > Profile, selezionare Client Profile e fare clic su Save.
Aggiungi profilo client sicuro
Passaggio 9. Fare clic su Next, quindi selezionare il Secure Client Image e fare clic su Next.
Aggiungi immagine client sicura
Passaggio 10. Selezionare l'interfaccia di rete per l'accesso VPN, scegliere Device Certificates, selezionare syspot allow-vpn e fare clic su Next.
Aggiungi controllo di accesso per traffico VPN
Passaggio 11. Infine, esaminare tutte le configurazioni e fare clic su Finish.
Configurazione criteri VPN di Accesso remoto
Passaggio 12. Al termine della configurazione iniziale della VPN ad accesso remoto, modificare il profilo di connessione creato e passare a Aliases.
Passaggio 13. Configurare group-alias facendo clic sull'icona più (+).
Modifica alias gruppo
Passaggio 14. Configurare group-url facendo clic sull'icona più (+). Utilizzare lo stesso URL di gruppo configurato in precedenza nel profilo client.
Modifica URL gruppo
Passaggio 15. Passare a Interfacce di accesso. Selezionare Interface Truspoint e SSL Global Identity Certificate sotto le impostazioni SSL.
Modifica interfacce di accesso
Passaggio 16. FareSave clic su e distribuire le modifiche.
Verifica
Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.
1. Sul PC client sicuro deve essere installato il certificato con una data, un oggetto e un utilizzo chiavi avanzato validi sul PC dell'utente. Questo certificato deve essere rilasciato dalla CA il cui certificato è installato sull'FTD, come mostrato in precedenza. In questo caso, l'identità o il certificato utente viene rilasciato da "auth-risaggar-ca".
Caratteristiche principali del certificato
Nota: il certificato client deve disporre dell'utilizzo chiavi avanzato per l'autenticazione client.
2. Secure Client deve stabilire la connessione.
Connessione client sicura riuscita
3. Eseguire show vpn-sessiondb anyconnect per confermare i dettagli di connessione dell'utente attivo nel gruppo di tunnel utilizzato.
firepower# show vpn-sessiondb anyconnect Session Type: AnyConnect Username : dolljain.cisco.com Index : 8 Assigned IP : 10.20.20.1 Public IP : 72.163.X.X Protocol : AnyConnect-Parent SSL-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 Bytes Tx : 14402 Bytes Rx : 9652 Group Policy : DfltGrpPolicy Tunnel Group : RAVPN-CertAuth Login Time : 08:32:22 UTC Mon Mar 18 2024 Duration : 0h:03m:59s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0ac5de050000800065f7fc16 Security Grp : none Tunnel Zone : 0
Risoluzione dei problemi
Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.
1. I debug possono essere eseguiti dalla CLI diagnostica dell'FTD:
debug crypto ca 14
debug webvpn anyconnect 255
debug crypto ike-common 255
2. Fare riferimento a questa guida per i problemi comuni.