Dit document geeft informatie over hoe u een IPsec-beschermde verbinding kunt bereiken vanaf een apparaat dat AnyConnect-client naar een Cisco IOS® router draait met alleen certificatie door gebruik van FlexVPN-kader.
Cisco raadt kennis van de volgende onderwerpen aan:
FlexVPN
AnyConnect
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Head-end
Cisco IOS-router kan elke router zijn die IKEv2 kan uitvoeren en die op zijn minst 15.2 M&T-release heeft. U dient echter een nieuwere release te gebruiken (zie het bekende gedeelte met voorbehouden), indien beschikbaar.
Clientclient
AnyConnect 3.x release
Certificaatinstantie
In dit voorbeeld, zal de certificeringsinstantie (CA) 15.2(3)T vrijgave uitvoeren.
Het is van cruciaal belang dat één van de nieuwe introducties wordt gebruikt vanwege de noodzaak om het gebruik van de Extended Key Use (EKU) te ondersteunen.
In deze plaatsing, wordt de IOS router gebruikt als CA. Een op standaarden gebaseerde CA-toepassing die gebruik kan maken van EKU moet echter wel in orde zijn.
Als u ervoor kiest om het te gebruiken, kan uw IOS router als CA fungeren.
U moet onthouden dat de CA server de juiste EKU op de client en server certificaten moet plaatsen. In dit geval werden server-auth en client-auth EKU ingesteld voor alle certificaten.
bsns-1941-3#show run | s crypto pki
crypto pki server CISCO
database level complete
database archive pem password 7 00071A1507545A545C
issuer-name cn=bsns-1941-3.cisco.com,ou=TAC,o=cisco
grant auto rollover ca-cert
grant auto
auto-rollover
eku server-auth client-auth
Merk op dat bsns-1941-3 de CA server is terwijl bsns-1941-4 de IPsec head-end is. Gedeelten van de output die zijn weggelaten voor de beknoptheid.
BSNS-1941-4#show crypto pki certificate verbose
Certificate
(...omitted...)
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Signature Algorithm: SHA1 with RSA Encryption
Fingerprint MD5: C3D52BE9 1EE97559 C7323995 3C51DC53
Fingerprint SHA1: 76BC7CD4 F298F8D9 A95338DC E5AF7602 9B57BE31
X509v3 extensions:
X509v3 Key Usage: A0000000
Digital Signature
Key Encipherment
X509v3 Subject Key ID: 83647B09 D3300A97 577C3E2C AAE7F47C F2D88ADF
X509v3 Authority Key ID: B3CC331D 7159C3CD 27487322 88AC02ED FAF2AE2E
Authority Info Access:
Extended Key Usage:
Client Auth
Server Auth
Associated Trustpoints: CISCO2
Storage: nvram:bsns-1941-3c#5.cer
Key Label: BSNS-1941-4.cisco.com
Key storage device: private config
CA Certificate
(...omitted...)
De configuratie van het hoofd bestaat uit twee delen: het PKI-gedeelte en de eigenlijke flex/IKEv2.
Het zal jullie opvallen dat CN van bsns-1941-4.cisco.com wordt gebruikt. Dit moet overeenkomen met een juiste DNS-ingang en moet in het AnyConnect-profiel onder <Hostname> worden opgenomen.
crypto pki trustpoint CISCO2
enrollment url http://10.48.66.14:80
serial-number
ip-address 10.48.66.15
subject-name cn=bsns-1941-4.cisco.com,ou=TAC,o=cisco
revocation-check none
crypto pki certificate map CMAP 10
subject-name co cisco
Merk op dat uw PRF/integriteitsinstelling in het voorstel overeenkomt met wat uw certificaat ondersteunt. Dit is doorgaans SHA-1.
crypto ikev2 authorization policy AC
pool AC
crypto ikev2 proposal PRO
encryption 3des aes-cbc-128
integrity sha1
group 5 2
crypto ikev2 policy POL
match fvrf any
proposal PRO
crypto ikev2 profile PRO
match certificate CMAP
identity local dn
authentication remote rsa-sig
authentication local rsa-sig
pki trustpoint CISCO2
aaa authorization group cert list default AC
virtual-template 1
no crypto ikev2 http-url cert
crypto ipsec transform-set TRA esp-3des esp-sha-hmac
crypto ipsec profile PRO
set transform-set TRA
set ikev2-profile PRO
interface Virtual-Template1 type tunnel
ip unnumbered GigabitEthernet0/0
tunnel mode ipsec ipv4 tunnel protection ipsec profile PRO
Clientconfiguratie voor een succesvolle AnyConnect-verbinding met IKEv2 en certificaten bestaat uit twee delen.
Wanneer het certificaat naar behoren wordt ingevoerd, kunt u controleren of het in machine- of persoonlijke winkel is. Denk eraan dat ook EKU voor cliëntencertificaten nodig is.
Het AnyConnect-profiel is lang en zeer eenvoudig.
Het relevante deel is het definiëren van:
Host waarop u een verbinding maakt
Type protocol
Verificatie die moet worden gebruikt bij aansluiting op die host
Wat wordt gebruikt:
<ServerList>
<HostEntry>
<HostName>bsns-1941-4.cisco.com</HostName>
<PrimaryProtocol>IPsec
<StandardAuthenticationOnly>true
<AuthMethodDuringIKENegotiation>
IKE-RSA
</AuthMethodDuringIKENegotiation>
</StandardAuthenticationOnly>
</PrimaryProtocol>
</HostEntry>
</ServerList>
In het verbindingsveld van AnyConnect moet u de volledige FQDN leveren, de waarde die in <HostName> wordt gezien.
Sommige informatie wordt weggelaten vanwege de beknoptheid.
BSNS-1941-4#show crypto ikev2 sa
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
2 10.48.66.15/4500 10.55.193.212/65311 none/none READY
Encr: AES-CBC, keysize: 128, Hash: SHA96, DH Grp:5,
Auth sign: RSA, Auth verify: RSA
Life/Active Time: 86400/180 sec
IPv6 Crypto IKEv2 SA
BSNS-1941-4#show crypto ipsec sa
interface: Virtual-Access1
Crypto map tag: Virtual-Access1-head-0, local addr 10.48.66.15
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (172.16.1.2/255.255.255.255/0/0)
current_peer 10.55.193.212 port 65311
PERMIT, flags={origin_is_acl,}
#pkts encaps: 2, #pkts encrypt: 2, #pkts digest: 2
#pkts decaps: 26, #pkts decrypt: 26, #pkts verify: 26
local crypto endpt.: 10.48.66.15, remote crypto endpt.: 10.55.193.212
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0x5C171095(1545015445)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x8283D0F0(2189676784)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
conn id: 2003, flow_id: Onboard VPN:3, sibling_flags 80000040,
crypto map: Virtual-Access1-head-0
sa timing: remaining key lifetime (k/sec): (4215478/3412)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound esp sas:
spi: 0x5C171095(1545015445)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
conn id: 2004, flow_id: Onboard VPN:4, sibling_flags 80000040,
crypto map: Virtual-Access1-head-0
sa timing: remaining key lifetime (k/sec): (4215482/3412)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
De bovenstaande configuratie is voorzien om een minimale werkconfiguratie te tonen. Cisco raadt het gebruik van cryptografie van de volgende generatie (NGC) aan wanneer mogelijk.
De huidige aanbevelingen voor migratie zijn hier te vinden: http://www.cisco.com/web/about/security/intelligence/nextgen_crypto.html
Zorg er bij het kiezen van een NGC-configuratie voor dat zowel de clientsoftware als de head-end hardware deze ondersteunen. Routers voor ISR-generatie 2 en ASR 1000 worden aanbevolen als head-end vanwege hun hardwareondersteuning voor NGC.
Aan de AnyConnect-zijde wordt, zoals beschreven in de AnyConnect 3.1-versie, de Suite B-algoritmische reeks van de NSA ondersteund.
Vergeet niet deze lijn op uw IOS-head-end te hebben ingesteld: geen crypto ikev2 http-url cert. De fout die door IOS en AnyConnect wordt gemaakt wanneer dit niet wordt geconfigureerd is misleidend.
Eerdere IOS 15.2M&T-software met IKEv2-sessie kan mogelijk niet voor RSA-SIG verificatie verschijnen. Dit kan worden gerelateerd aan Cisco bug-ID CSCtx31294 (alleen geregistreerde klanten). Draai de nieuwste 15.2M- of 15.2T-software.
In bepaalde scenario's kan IOS niet het juiste betrouwbare punt kiezen om authentiek te verklaren. Cisco is zich bewust van het probleem en het is vastgesteld op 15.2(3)T1 en 15.2(4)M1 releases.
Als AnyConnect een vergelijkbaar bericht meldt:
The client certificate's cryptographic service provider(CSP)
does not support the sha512 algorithm
Vervolgens moet u ervoor zorgen dat de instellingen voor integriteit/PRF in uw IKEv2-voorstellen overeenkomen met wat uw certificaten kunnen verwerken. In het bovenstaande configuratievoorbeeld wordt SHA-1 gebruikt.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
18-Jan-2013 |
Eerste vrijgave |