ASA 8.X: AnyConnect SCEP-configuratievoorbeeld

Downloadopties

  • PDF     (593.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (525.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (888.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 mei 2010
Document-id:111850

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

SCEP-inschrijvingsfunctionaliteit wordt geïntroduceerd in AnyConnect standalone client 2.4. Tijdens dit proces wijzigt u het AnyConnect XML-profiel om een SCEP-gerelateerde configuratie op te nemen en maakt u een specifiek groepsbeleid en verbindingsprofiel voor certificaatinschrijving. Wanneer een AnyConnect-gebruiker verbinding maakt met deze specifieke groep, stuurt AnyConnect een certificaatinschrijvingsverzoek naar de CA-server en accepteert of ontkent de CA-server automatisch het verzoek.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco ASA 5500 Series adaptieve security applicaties die softwareversie 8.x uitvoeren

  • Cisco AnyConnect VPN versie 2.4

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Het doel van Automatische SCEP-inschrijving voor AnyConnect is om een certificaat aan de client op een veilige en schaalbare manier af te geven. Gebruikers hoeven bijvoorbeeld geen certificaat aan te vragen bij een CA-server. Deze functionaliteit is geïntegreerd in de AnyConnect-client. De certificaten worden aan de cliënten verstrekt op basis van de in het XML-profielbestand vermelde certificeringsparameters.

Overzicht van vereiste wijzigingen

Voor AnyConnect SCEP-inschrijvingsfunctie moeten bepaalde certificaatparameters worden gedefinieerd in het XML-profiel. Op de ASA voor certificaatinschrijving wordt een Group Policy and Connection Profile gemaakt en het XML-profiel wordt aan dat beleid gekoppeld. De AnyConnect-client maakt verbinding met het verbindingsprofiel dat dit specifieke beleid gebruikt en stuurt een aanvraag voor een certificaat met de parameters die in het XML-bestand zijn gedefinieerd. Certificaatautoriteit (CA) accepteert of weigert automatisch het verzoek. De AnyConnect-client haalt certificaten op met het SCEP-protocol als het <CertificateSCEP>-element in een clientprofiel is gedefinieerd.

Verificatie van clientcertificaten moet mislukken voordat AnyConnect probeert automatisch de nieuwe certificaten op te halen. Als u dus al een geldig certificaat hebt geïnstalleerd, wordt de inschrijving niet uitgevoerd.

Wanneer gebruikers zich bij de specifieke groep aanmelden, worden ze automatisch ingeschreven. Er is ook een handmatige methode beschikbaar voor het ophalen van certificaten waarin gebruikers worden voorzien van een Get Certificate knop. Dit werkt alleen als de client directe toegang heeft tot de CA-server, niet via de tunnel.

Raadpleeg Cisco AnyConnect VPN-clientbeheerdershandleiding, release 2.4 voor meer informatie.

XML-instellingen om de AnyConnect SCEP-functie in te schakelen

Dit zijn de belangrijke elementen die in het AnyConnect XML-bestand moeten worden gedefinieerd. Raadpleeg Cisco AnyConnect VPN-clientbeheerdershandleiding, release 2.4 voor meer informatie.

  • <AutomaticSCEPHost>-Specificeert de naam van de ASA-host en het verbindingsprofiel (tunnelgroep) waarvoor SCEP-certificaatophalen is geconfigureerd. De waarde moet worden opgegeven in de indeling van de volledig gekwalificeerde domeinnaam van de naam van het ASA\connection-profiel of IP-adres van de naam van het ASA\connection-profiel.

  • <URL>—Hier wordt de SCEP-CA-server geïdentificeerd.

  • <CertificateSCEP>-definieert hoe de inhoud van het certificaat wordt aangevraagd.

  • <DisplayGetCertButton>—Hiermee wordt bepaald of in de AnyConnect GUI de knop Certificaat verkrijgen wordt weergegeven. Hiermee kunnen gebruikers handmatig een verlenging of levering van het certificaat aanvragen.

Hier is een voorbeeldprofiel:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/AnyConnectProfile.xsd">
	<ClientInitialization>
		<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
		<AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection>
		<ShowPreConnectMessage>false</ShowPreConnectMessage>
		<CertificateStore>All</CertificateStore>
		<CertificateStoreOverride>false</CertificateStoreOverride>
		<ProxySettings>Native</ProxySettings>
		<AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart>
		<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
		<LocalLanAccess UserControllable="true">false</LocalLanAccess>
		<AutoReconnect UserControllable="false">true
			<AutoReconnectBehavior UserControllable="false">
     ReconnectAfterResume
   </AutoReconnectBehavior>
		</AutoReconnect>
		<AutoUpdate UserControllable="false">true</AutoUpdate>
		<RSASecurIDIntegration UserControllable="false">
    Automatic
  </RSASecurIDIntegration>
		<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
		<WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
		<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
		<PPPExclusion UserControllable="false">Automatic
			<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
		</PPPExclusion>
		<EnableScripting UserControllable="false">false</EnableScripting>
		<CertificateEnrollment>
			<AutomaticSCEPHost>asa2.cisco.com/certenroll</AutomaticSCEPHost>
			<CAURL PromptForChallengePW="false">
     http://10.11.11.1/certsrv/mscep/mscep.dll
   </CAURL>
			<CertificateSCEP>
				<Name_CN>cisco</Name_CN>
				<Company_O>Cisco</Company_O>
				<DisplayGetCertButton>true</DisplayGetCertButton>
			</CertificateSCEP>
		</CertificateEnrollment>
	</ClientInitialization>
	<ServerList>
		<HostEntry>
			<HostName>asa2.cisco.com</HostName>
		</HostEntry>
	</ServerList>
</AnyConnectProfile>

Configureer de ASA om SCEP Protocol voor AnyConnect te ondersteunen

Om toegang te verlenen tot een private registratieautoriteit (RA), moet de ASA-beheerder een alias maken dat een ACL heeft die de connectiviteit van het privézijnetwerk beperkt tot de gewenste RA. Om automatisch een certificaat op te halen, maken gebruikers verbinding met deze alias en verifiëren ze deze.

Voer de volgende stappen uit:

  1. Maak een alias op de ASA om naar de specifieke geconfigureerde groep te wijzen.

  2. Specificeer het alias in het <AutomaticSCEPHost>-element in het clientprofiel van de gebruiker.

  3. Hang het clientprofiel dat de sectie <CertificateEnrollment> bevat aan de specifieke geconfigureerde groep.

  4. Stel een ACL in voor de specifieke geconfigureerde groep om het verkeer tot de private kant RA te beperken.

Voer de volgende stappen uit:

  1. Upload het XML-profiel naar ASA.

    1. Kies voor Remote Access VPN > Toegang tot netwerk (client) > Geavanceerd > SSL VPN > Clientinstellingen.

    2. Klik onder SSL VPN-clientprofielen op Toevoegen.

    3. Klik op Bladeren door lokale bestanden om het profielbestand te selecteren en klik op Bladeren door Flash om de naam van het flitsbestand op te geven.

    4. Klik op Uploadbestand.

      scep-01.gif

  2. Stel een certenroll groepsbeleid in voor certificaatinschrijving.

    1. Kies Externe toegang VPN > Netwerkclienttoegang > Groepsbeleid en klik op Toevoegen.

      scep-02.gif

    2. Voeg een gesplitste tunnel toe voor CA-server.

      1. Breid Geavanceerd uit en selecteer vervolgens Split-tunneling.

      2. Kies hieronder de Lijst van het Netwerk van de Tunnel van het menu van het Beleid, en klik leiden om de toegangscontrolelijst toe te voegen.

        scep-03.gif

        scep-04.gif

    3. Selecteer SSL VPN Client en kies het profiel voor certenroll in het menu Clientprofiel om te downloaden.

      scep-05.gif

  3. Maak een andere groep genaamd zekerheid voor certificaat verificatie.

    scep-06.gif

  4. Maak een profiel voor een vaste verbinding.

    1. Kies Externe toegang VPN > Netwerkclienttoegang > AnyConnect-verbindingsprofielen en klik op Toevoegen.

    2. Voer in het veld Aliassen de certenroll-groep in.

      Opmerking: de aliasnaam moet overeenkomen met de waarde die in het AnyConnect-profiel wordt gebruikt onder AutomaticSCEPHost.

      scep-07.gif

  5. Maak een ander verbindingsprofiel met de naam zekerheid met certificaatverificatie. Dit is het werkelijke verbindingsprofiel dat na de inschrijving wordt gebruikt.

    scep-08.gif

  6. Om er zeker van te zijn dat het gebruik van een alias is ingeschakeld, controleert u Toestaan dat de gebruiker op de inlogpagina het verbindingsprofiel, geïdentificeerd met de bijbehorende alias, selecteert. Anders is DefaultWebVPNGGroup het verbindingsprofiel.

    scep-09.gif

AnyConnect SCEP testen

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

  1. Start de AnyConnect-client en maak verbinding met het installatieprofiel.

    scep-10.gif

    AnyConnect gaat het inschrijvingsverzoek via SCEP over naar de CA-server.

    scep-11.gif

    AnyConnect gaat direct over op de inschrijvingsaanvraag en gaat niet door de tunnel, als de knop Certificaat verkrijgen wordt gebruikt.

    scep-15.gif

  2. Deze waarschuwing verschijnt. Klik op Ja om het gebruiks- en basiscertificaat te installeren

    scep-12.gif

  3. Zodra het certificaat is ingeschreven, maakt u verbinding met het beveiligingsprofiel.

Certificaatopslag op Microsoft Windows na SCEP-aanvraag

Voer de volgende stappen uit:

  1. Klik op Start > Uitvoeren > mmc.

  2. Klik op Magnetisch toevoegen of verwijderen.

  3. Klik op Add en kies certificaten.

  4. Voeg de certificaten van Mijn gebruikersaccount en computeraccount toe.

    Deze afbeelding toont het gebruikerscertificaat dat in het Windows-certificaatarchief is geïnstalleerd:

    scep-13.gif

    Deze afbeelding toont het CA-certificaat dat is geïnstalleerd in het Windows-certificaatarchief:

    scep-14.gif

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

  • AnyConnect SCEP-inschrijving werkt alleen wanneer de certificaatverificatie mislukt. Als u zich niet inschrijft, controleert u het certificaatarchief. Als er al certificaten zijn geïnstalleerd, verwijdert u deze en test u deze opnieuw.

  • SCEP-inschrijving werkt niet tenzij de opdracht SSL-certificaat-verificatie buiten poort 443 wordt gebruikt.

    Raadpleeg deze Cisco Bug-id’s voor meer informatie:

    • Cisco Bug-id CSCtf06778 (alleen geregistreerde klanten) —AnyConnect SCEP-inschrijving werkt niet met Auth 2 per groep Cert

    • Cisco Bug-id CSCtf06844 (alleen geregistreerde klanten) —AnyConnect SCEP-inschrijving werkt niet met ASA Per Group Cert Auth

  • Als de CA-server zich buiten ASA bevindt, zorg er dan voor dat het vastpinnen met de opdracht intra-interface voor dezelfde security verkeersvergunning is toegestaan. Voeg ook de opdrachten nat buitenkant en toegangslijst toe zoals in dit voorbeeld:

    nat (outside) 1
access-list natoutside extended permit ip 172.16.1.0 255.255.255.0 host 171.69.89.87

    Waar 172.16.1.0 de AnyConnect-pool is en 171.69.89.87 het IP-adres van de CA-server.

  • Als de CA-server zich aan de binnenkant bevindt, zorg er dan voor dat deze wordt opgenomen in de lijst met gesplitste tunneltoegang voor het bepaalde groepsbeleid. In dit document wordt aangenomen dat de CA-server zich aan de binnenkant bevindt.

    group-policy certenroll attributes
split-tunnel-policy tunnelspecified
 split-tunnel-network-list value scep

access-list scep standard permit 171.69.89.0 255.255.255.0

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
10-Mar-2010
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten