SCEP-inschrijvingsfunctionaliteit wordt geïntroduceerd in AnyConnect standalone client 2.4. Tijdens dit proces wijzigt u het AnyConnect XML-profiel om een SCEP-gerelateerde configuratie op te nemen en maakt u een specifiek groepsbeleid en verbindingsprofiel voor certificaatinschrijving. Wanneer een AnyConnect-gebruiker verbinding maakt met deze specifieke groep, stuurt AnyConnect een certificaatinschrijvingsverzoek naar de CA-server en accepteert of ontkent de CA-server automatisch het verzoek.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco ASA 5500 Series adaptieve security applicaties die softwareversie 8.x uitvoeren
Cisco AnyConnect VPN versie 2.4
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Het doel van Automatische SCEP-inschrijving voor AnyConnect is om een certificaat aan de client op een veilige en schaalbare manier af te geven. Gebruikers hoeven bijvoorbeeld geen certificaat aan te vragen bij een CA-server. Deze functionaliteit is geïntegreerd in de AnyConnect-client. De certificaten worden aan de cliënten verstrekt op basis van de in het XML-profielbestand vermelde certificeringsparameters.
Voor AnyConnect SCEP-inschrijvingsfunctie moeten bepaalde certificaatparameters worden gedefinieerd in het XML-profiel. Op de ASA voor certificaatinschrijving wordt een Group Policy and Connection Profile gemaakt en het XML-profiel wordt aan dat beleid gekoppeld. De AnyConnect-client maakt verbinding met het verbindingsprofiel dat dit specifieke beleid gebruikt en stuurt een aanvraag voor een certificaat met de parameters die in het XML-bestand zijn gedefinieerd. Certificaatautoriteit (CA) accepteert of weigert automatisch het verzoek. De AnyConnect-client haalt certificaten op met het SCEP-protocol als het <CertificateSCEP>-element in een clientprofiel is gedefinieerd.
Verificatie van clientcertificaten moet mislukken voordat AnyConnect probeert automatisch de nieuwe certificaten op te halen. Als u dus al een geldig certificaat hebt geïnstalleerd, wordt de inschrijving niet uitgevoerd.
Wanneer gebruikers zich bij de specifieke groep aanmelden, worden ze automatisch ingeschreven. Er is ook een handmatige methode beschikbaar voor het ophalen van certificaten waarin gebruikers worden voorzien van een Get Certificate knop. Dit werkt alleen als de client directe toegang heeft tot de CA-server, niet via de tunnel.
Raadpleeg Cisco AnyConnect VPN-clientbeheerdershandleiding, release 2.4 voor meer informatie.
Dit zijn de belangrijke elementen die in het AnyConnect XML-bestand moeten worden gedefinieerd. Raadpleeg Cisco AnyConnect VPN-clientbeheerdershandleiding, release 2.4 voor meer informatie.
<AutomaticSCEPHost>-Specificeert de naam van de ASA-host en het verbindingsprofiel (tunnelgroep) waarvoor SCEP-certificaatophalen is geconfigureerd. De waarde moet worden opgegeven in de indeling van de volledig gekwalificeerde domeinnaam van de naam van het ASA\connection-profiel of IP-adres van de naam van het ASA\connection-profiel.
<URL>—Hier wordt de SCEP-CA-server geïdentificeerd.
<CertificateSCEP>-definieert hoe de inhoud van het certificaat wordt aangevraagd.
<DisplayGetCertButton>—Hiermee wordt bepaald of in de AnyConnect GUI de knop Certificaat verkrijgen wordt weergegeven. Hiermee kunnen gebruikers handmatig een verlenging of levering van het certificaat aanvragen.
Hier is een voorbeeldprofiel:
<?xml version="1.0" encoding="UTF-8"?> <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">false</LocalLanAccess> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false"> ReconnectAfterResume </AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="false"> Automatic </RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Automatic <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <CertificateEnrollment> <AutomaticSCEPHost>asa2.cisco.com/certenroll</AutomaticSCEPHost> <CAURL PromptForChallengePW="false"> http://10.11.11.1/certsrv/mscep/mscep.dll </CAURL> <CertificateSCEP> <Name_CN>cisco</Name_CN> <Company_O>Cisco</Company_O> <DisplayGetCertButton>true</DisplayGetCertButton> </CertificateSCEP> </CertificateEnrollment> </ClientInitialization> <ServerList> <HostEntry> <HostName>asa2.cisco.com</HostName> </HostEntry> </ServerList> </AnyConnectProfile>
Om toegang te verlenen tot een private registratieautoriteit (RA), moet de ASA-beheerder een alias maken dat een ACL heeft die de connectiviteit van het privézijnetwerk beperkt tot de gewenste RA. Om automatisch een certificaat op te halen, maken gebruikers verbinding met deze alias en verifiëren ze deze.
Voer de volgende stappen uit:
Maak een alias op de ASA om naar de specifieke geconfigureerde groep te wijzen.
Specificeer het alias in het <AutomaticSCEPHost>-element in het clientprofiel van de gebruiker.
Hang het clientprofiel dat de sectie <CertificateEnrollment> bevat aan de specifieke geconfigureerde groep.
Stel een ACL in voor de specifieke geconfigureerde groep om het verkeer tot de private kant RA te beperken.
Voer de volgende stappen uit:
Upload het XML-profiel naar ASA.
Kies voor Remote Access VPN > Toegang tot netwerk (client) > Geavanceerd > SSL VPN > Clientinstellingen.
Klik onder SSL VPN-clientprofielen op Toevoegen.
Klik op Bladeren door lokale bestanden om het profielbestand te selecteren en klik op Bladeren door Flash om de naam van het flitsbestand op te geven.
Klik op Uploadbestand.
Stel een certenroll groepsbeleid in voor certificaatinschrijving.
Kies Externe toegang VPN > Netwerkclienttoegang > Groepsbeleid en klik op Toevoegen.
Voeg een gesplitste tunnel toe voor CA-server.
Breid Geavanceerd uit en selecteer vervolgens Split-tunneling.
Kies hieronder de Lijst van het Netwerk van de Tunnel van het menu van het Beleid, en klik leiden om de toegangscontrolelijst toe te voegen.
Selecteer SSL VPN Client en kies het profiel voor certenroll in het menu Clientprofiel om te downloaden.
Maak een andere groep genaamd zekerheid voor certificaat verificatie.
Maak een profiel voor een vaste verbinding.
Kies Externe toegang VPN > Netwerkclienttoegang > AnyConnect-verbindingsprofielen en klik op Toevoegen.
Voer in het veld Aliassen de certenroll-groep in.
Opmerking: de aliasnaam moet overeenkomen met de waarde die in het AnyConnect-profiel wordt gebruikt onder AutomaticSCEPHost.
Maak een ander verbindingsprofiel met de naam zekerheid met certificaatverificatie. Dit is het werkelijke verbindingsprofiel dat na de inschrijving wordt gebruikt.
Om er zeker van te zijn dat het gebruik van een alias is ingeschakeld, controleert u Toestaan dat de gebruiker op de inlogpagina het verbindingsprofiel, geïdentificeerd met de bijbehorende alias, selecteert. Anders is DefaultWebVPNGGroup het verbindingsprofiel.
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Start de AnyConnect-client en maak verbinding met het installatieprofiel.
AnyConnect gaat het inschrijvingsverzoek via SCEP over naar de CA-server.
AnyConnect gaat direct over op de inschrijvingsaanvraag en gaat niet door de tunnel, als de knop Certificaat verkrijgen wordt gebruikt.
Deze waarschuwing verschijnt. Klik op Ja om het gebruiks- en basiscertificaat te installeren
Zodra het certificaat is ingeschreven, maakt u verbinding met het beveiligingsprofiel.
Voer de volgende stappen uit:
Klik op Start > Uitvoeren > mmc.
Klik op Magnetisch toevoegen of verwijderen.
Klik op Add en kies certificaten.
Voeg de certificaten van Mijn gebruikersaccount en computeraccount toe.
Deze afbeelding toont het gebruikerscertificaat dat in het Windows-certificaatarchief is geïnstalleerd:
Deze afbeelding toont het CA-certificaat dat is geïnstalleerd in het Windows-certificaatarchief:
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
AnyConnect SCEP-inschrijving werkt alleen wanneer de certificaatverificatie mislukt. Als u zich niet inschrijft, controleert u het certificaatarchief. Als er al certificaten zijn geïnstalleerd, verwijdert u deze en test u deze opnieuw.
SCEP-inschrijving werkt niet tenzij de opdracht SSL-certificaat-verificatie buiten poort 443 wordt gebruikt.
Raadpleeg deze Cisco Bug-id’s voor meer informatie:
Cisco Bug-id CSCtf06778 (alleen geregistreerde klanten) —AnyConnect SCEP-inschrijving werkt niet met Auth 2 per groep Cert
Cisco Bug-id CSCtf06844 (alleen geregistreerde klanten) —AnyConnect SCEP-inschrijving werkt niet met ASA Per Group Cert Auth
Als de CA-server zich buiten ASA bevindt, zorg er dan voor dat het vastpinnen met de opdracht intra-interface voor dezelfde security verkeersvergunning is toegestaan. Voeg ook de opdrachten nat buitenkant en toegangslijst toe zoals in dit voorbeeld:
nat (outside) 1 access-list natoutside extended permit ip 172.16.1.0 255.255.255.0 host 171.69.89.87
Waar 172.16.1.0 de AnyConnect-pool is en 171.69.89.87 het IP-adres van de CA-server.
Als de CA-server zich aan de binnenkant bevindt, zorg er dan voor dat deze wordt opgenomen in de lijst met gesplitste tunneltoegang voor het bepaalde groepsbeleid. In dit document wordt aangenomen dat de CA-server zich aan de binnenkant bevindt.
group-policy certenroll attributes split-tunnel-policy tunnelspecified split-tunnel-network-list value scep access-list scep standard permit 171.69.89.0 255.255.255.0
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
10-Mar-2010 |
Eerste vrijgave |