Configuración de la asignación de certificados para la autenticación de cliente seguro en FTD mediante FMC

Introducción

Este documento describe cómo configurar Cisco Secure Client con SSL en FTD a través de FMC utilizando la asignación de certificados para la autenticación.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Cisco Firepower Management Center (FMC)
• Firewall Threat Defence (FTD) Virtual
• Flujo de autenticación VPN

Componentes Utilizados

• Cisco Firepower Management Center para VMWare 7.4.1
• Cisco Firewall Threat Defence Virtual 7.4.1

• Cisco Secure Client 5.1.3.62

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

La asignación de certificados es un método utilizado en conexiones VPN en las que un certificado de cliente se asigna a una cuenta de usuario local o los atributos del certificado se utilizan con fines de autorización. Se trata de un proceso en el que un certificado digital se utiliza como medio de identificar a un usuario o dispositivo. Mediante la asignación de certificados, aprovecha el protocolo SSL para autenticar a los usuarios sin necesidad de que introduzcan credenciales.

Este documento describe cómo autenticar Cisco Secure Client utilizando el nombre común de un certificado SSL.

Estos certificados contienen un nombre común que se utiliza para fines de autorización.

• CA: ftd-ra-ca-common-name
• Certificado de cliente VPN del ingeniero: vpnEngineerClientCN
• Certificado de cliente VPN del administrador: vpnManagerClientCN
• Certificado de servidor: 192.168.1.200

Diagrama de la red

Esta imagen muestra la topología utilizada para el ejemplo de este documento.

Diagrama de la red

Configuraciones

Configuración en FMC

Paso 1. Configuración de la interfaz FTD

Vaya a Devices > Device Management, edite el dispositivo FTD de destino, configure la interfaz externa para FTD en la ficha Interfaces.

Para GigabitEthernet0/0,

• Nombre: fuera
• Zona de seguridad: outsideZone
• Dirección IP: 192.168.1.200/24

Interfaz FTD

Paso 2. Confirmar licencia de cliente seguro de Cisco

Vaya a Devices > Device Management, edite el dispositivo FTD de destino y confirme la licencia de Cisco Secure Client en la ficha Device.

Licencia de cliente seguro

Paso 3. Agregar conjunto de direcciones IPv4

Vaya aObjeto > Administración de objetos > Conjuntos de direcciones > Conjuntos IPv4, haga clic en el botón Agregar grupos IPv4.

Agregar conjunto de direcciones IPv4

Introduzca la información necesaria para crear un conjunto de direcciones IPv4 para el cliente VPN de ingeniería.

• Nombre: ftd-vpn-engineering-pool
• Intervalo de direcciones IPv4: 172.16.1.100-172.16.1.110
• Máscara: 255.255.255.0

Grupo de direcciones IPv4 para cliente VPN de ingeniero

Introduzca la información necesaria para crear un conjunto de direcciones IPv4 para el cliente VPN del administrador.

• Nombre: ftd-vpn-manager-pool
• Intervalo de direcciones IPv4: 172.16.1.120-172.16.1.130
• Máscara: 255.255.255.0

Pool de Direcciones IPv4 para el Cliente VPN Manager

Confirme los nuevos conjuntos de direcciones IPv4.

Nuevos grupos de direcciones IPv4

Paso 4. Agregar directiva de grupo

Vaya aObjeto > Administración de objetos > VPN > Directiva de grupo, haga clic enAgregar directiva de grupo.

Agregar directiva de grupo

Introduzca la información necesaria para crear una directiva de grupo para el cliente VPN de ingeniero.

• Nombre: ftd-vpn-engineering-grp
• Protocolos VPN: SSL

Directiva de grupo para el cliente VPN del ingeniero

Introduzca la información necesaria para crear una directiva de grupo para el cliente VPN de administrador.

• Nombre: ftd-vpn-manager-grp
• Protocolos VPN: SSL

Directiva de grupo para Manager VPN Client

Confirme las nuevas directivas de grupo.

Nuevas políticas de grupo

Paso 5. Agregar certificado FTD

Navegue hastaObjeto > Administración de objetos > PKI > Inscripción de certificados, haga clic en el botón Agregar inscripción de certificados.

Agregar inscripción de certificados

Introduzca la información necesaria para el certificado de FTD e importe un archivo PKCS12 desde el equipo local.

• Nombre: ftd-vpn-cert
• Tipo de inscripción: archivo PKCS12

Detalles de la inscripción de certificados

Confirme la inscripción del nuevo certificado.

Inscripción de nuevos certificados

Navegue hasta Dispositivos > Certificados, haga clic en el botón Agregar.

Agregar certificado FTD

Introduzca la información necesaria para enlazar la inscripción del nuevo certificado al FTD.

• Dispositivo: 1.x.x.49
• Inscripción de certificados: ftd-vpn-cert

Enlazar certificado a FTD

Confirme el estado del enlace del certificado.

Estado de vinculación de certificados

Paso 6. Agregar asignación de directiva para perfil de conexión de ingeniero

Navegue hasta Devices > VPN > Remote Access, haga clic enAddbutton.

Agregar VPN de acceso remoto

Introduzca la información necesaria y haga clic enSiguiente botón.

• Nombre: ftd-vpn-engineering
• Protocolos VPN: SSL
• Dispositivos objetivo: 1.x.x.49

Asignación de políticas

Paso 7. Configurar detalles para el perfil de conexión del ingeniero

Introduzca la información necesaria y haga clic enSiguiente botón.

• Método de autenticación: sólo certificado de cliente
• Nombre de usuario del certificado: campo específico de asignación
• Campo principal: CN (nombre común)
• Campo secundario: OU (unidad organizativa)

• Conjuntos de direcciones IPv4: ftd-vpn-engineering-pool
• Política de grupo: ftd-vpn-engineering-grp

Detalles del perfil de conexión

Paso 8. Configurar imagen de cliente seguro para perfil de conexión de ingeniero

Seleccione archivo de imagen de cliente seguro y haga clic en el botón Siguiente.

Seleccionar cliente seguro

Paso 9. Configurar acceso y certificado para el perfil de conexión del ingeniero

Seleccione el valor para los elementos Grupo de interfaz/Zona de seguridad y Inscripción de certificados, haga clic en el botón Siguiente.

• Grupo de interfaz/Zona de seguridad: outsideZone
• Inscripción de certificados: ftd-vpn-cert

Detalles de acceso y certificado

Paso 10. Confirmar resumen para perfil de conexión de ingeniero

Confirme la información especificada para la directiva VPN de acceso remoto y haga clic en el botón Finish.

Detalles de la directiva VPN de acceso remoto

Paso 11. Agregar perfil de conexión para Manager VPN Client

Navegue hasta Devices > VPN > Remote Access > Connection Profile, haga clic en el botón +.

Agregar perfil de conexión para Manager VPN Client

Introduzca la información necesaria para el perfil de conexión y haga clic en el botón Save.

• Nombre: ftd-vpn-manager
• Política de grupo: ftd-vpn-manager-grp
• Conjuntos de direcciones IPv4: ftd-vpn-manager-pool

Detalles del perfil de conexión para Manager VPN Client

Confirme los nuevos perfiles de conexión agregados.

Confirmar perfiles de conexión agregados

Paso 12. Agregar mapa de certificado

Navegue hasta Objetos > Administración de objetos > VPN > Mapa de certificado, haga clic en el botón Agregar mapa de certificado.

Agregar mapa de certificado

Introduzca la información necesaria para el mapa de certificado del cliente VPN del ingeniero y haga clic en el botón Save.

• Nombre del mapa: cert-map-engineering
• Regla de asignación: CN (nombre común) es igual a vpnEngineerClientCN

Mapa de certificado para cliente de ingeniero

Introduzca la información necesaria para el mapa de certificados del cliente VPN del administrador y haga clic en el botón Save.

• Nombre del mapa: cert-map-manager
• Regla de asignación: CN (nombre común) es igual a vpnManagerClientCN

Mapa de certificado para Manager Client

Confirme los nuevos mapas de certificados agregados.

Nuevos mapas de certificados

Paso 13. Enlazar mapa de certificado a perfil de conexión

Vaya a Devices > VPN > Remote Access, edit ftd-vpn-engineering. Luego, navegue hasta Advanced > Certificate Maps, haga clic en el botón Add Mapping.

Enlazar mapa de certificado

Enlace de mapa de certificado al perfil de conexión para el cliente VPN del ingeniero.

• Nombre del mapa de certificado: cert-map-engineering
• Connection Profile: ftd-vpn-engineer

Enlace del mapa de certificado para el cliente VPN del ingeniero

Vinculación del mapa de certificado al perfil de conexión para el cliente VPN del administrador.

• Nombre de mapa de certificado: cert-map-manager
• Perfil de conexión: ftd-vpn-manager

Enlace de Mapa de Certificado para Manager VPN Client

Confirme la configuración del enlace de certificados.

Confirmar vinculación de certificados

Confirmar en CLI de FTD

Confirme la configuración de la conexión VPN en la CLI de FTD después de la implementación desde el FMC.

// Defines IP of interface
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 192.168.1.200 255.255.255.0

// Defines a pool of addresses
ip local pool ftd-vpn-engineer-pool 172.16.1.100-172.16.1.110 mask 255.255.255.0
ip local pool ftd-vpn-manager-pool 172.16.1.120-172.16.1.130 mask 255.255.255.0

// Defines Trustpoint for Server Certificate
crypto ca trustpoint ftd-vpn-cert
keypair ftd-vpn-cert
crl configure

// Server Certificate Chain
crypto ca certificate chain ftd-vpn-cert
certificate 22413df584b6726c
3082037c 30820264 a0030201 02020822 413df584 b6726c30 0d06092a 864886f7 
......
quit

certificate ca 5242a02e0db6f7fd
3082036c 30820254 a0030201 02020852 42a02e0d b6f7fd30 0d06092a 864886f7 
......
quit

// Defines Certificate Map for Engineer VPN Clients
crypto ca certificate map cert-map-engineer 10
subject-name attr cn eq vpnEngineerClientCN

// Defines Certificate Map for Manager VPN Clients
crypto ca certificate map cert-map-manager 10
subject-name attr cn eq vpnManagerClientCN

// Configures the FTD to allow Cisco Secure Client connections and the valid Cisco Secure Client images
webvpn
enable outside
http-headers
hsts-server
enable
max-age 31536000
include-sub-domains
no preload
hsts-client
enable
x-content-type-options
x-xss-protection
content-security-policy
anyconnect image disk0:/csm/cisco-secure-client-win-5.1.3.62-webdeploy-k9.pkg 1 regex "Windows"
anyconnect enable
tunnel-group-list enable
cache
disable
certificate-group-map cert-map-engineer 10 ftd-vpn-engineer
certificate-group-map cert-map-manager 10 ftd-vpn-manager
error-recovery disable

// Configures the group-policy to allow SSL connections from manager VPN clients
group-policy ftd-vpn-manager-grp internal
group-policy ftd-vpn-manager-grp attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
vpn-tunnel-protocol ikev2 ssl-client 
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
split-tunnel-all-dns disable
client-bypass-protocol disable
vlan none
address-pools none
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect firewall-rule client-interface public none
anyconnect firewall-rule client-interface private none
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method none
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression none
anyconnect dtls compression none
anyconnect modules value none
anyconnect ask none default anyconnect
anyconnect ssl df-bit-ignore disable

// Configures the group-policy to allow SSL connections from engineer VPN clients
group-policy ftd-vpn-engineer-grp internal
group-policy ftd-vpn-engineer-grp attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
vpn-tunnel-protocol ssl-client 
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
split-tunnel-all-dns disable
client-bypass-protocol disable
vlan none
address-pools none
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect firewall-rule client-interface public none
anyconnect firewall-rule client-interface private none
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method none
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression none
anyconnect dtls compression none
anyconnect modules value none
anyconnect ask none default anyconnect
anyconnect ssl df-bit-ignore disable

// Configures the tunnel-group to use the certificate authentication for engineer VPN clients
tunnel-group ftd-vpn-engineer type remote-access
tunnel-group ftd-vpn-engineer general-attributes
address-pool ftd-vpn-engineer-pool
default-group-policy ftd-vpn-engineer-grp
tunnel-group ftd-vpn-engineer webvpn-attributes
authentication certificate
group-alias ftd-vpn-engineer enable

// Configures the tunnel-group to use the certificate authentication for manager VPN clients
tunnel-group ftd-vpn-manager type remote-access
tunnel-group ftd-vpn-manager general-attributes
address-pool ftd-vpn-manager-pool
default-group-policy ftd-vpn-manager-grp
tunnel-group ftd-vpn-manager webvpn-attributes
authentication certificate

Confirmar en cliente VPN

Paso 1. Confirmar certificado de cliente

En el cliente de ingeniero VPN, navegue hasta Certificados - Usuario actual > Personal > Certificados, verifique el certificado de cliente utilizado para la autenticación.

Confirmar certificado para cliente de VPN de ingeniero

Haga doble clic en el certificado de cliente, navegue hastaDetalles, verifique los detalles deAsunto.

• Asunto: CN = vpnEngineerClientCN

Detalles del certificado de cliente de ingeniero

En manager VPN client, navegue hasta Certificados - Usuario actual > Personal > Certificados, verifique el certificado de cliente utilizado para la autenticación.

Confirmar certificado para Manager VPN Client

Haga doble clic en el certificado de cliente, navegue hastaDetalles, verifique los detalles deAsunto.

• Asunto: CN = vpnManagerClientCN

Detalles del certificado de cliente del administrador

Paso 2. Confirmar CA

En el cliente VPN del ingeniero y en el cliente VPN del administrador, navegue hasta Certificados - Usuario actual > Entidades de certificación raíz de confianza > Certificados, verifique la CA utilizada para la autenticación.

• Emitido por: ftd-ra-ca-common-name

Confirmar CA

Verificación

Paso 1. Iniciar conexión VPN

En el cliente de ingeniería VPN, inicie la conexión de Cisco Secure Client. No es necesario introducir el nombre de usuario y la contraseña, ya que la VPN se ha conectado correctamente.

Inicio de la conexión VPN desde el cliente de ingeniería

En manager VPN client, inicie la conexión de Cisco Secure Client. No es necesario introducir el nombre de usuario y la contraseña, ya que la VPN se ha conectado correctamente.

Inicio de la conexión VPN desde el cliente Manager

Paso 2. Confirmar sesiones activas en FMC

Vaya a Analysis > Users > Active Sessions, verifique la sesión activa para la autenticación VPN.

Confirmar sesión activa

Paso 3. Confirmar sesiones VPN en CLI de FTD

Ejecuteshow vpn-sessiondb detail anyconnect el comando en la CLI de FTD (Line) para confirmar las sesiones VPN del ingeniero y el administrador.

ftd702# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : vpnEngineerClientCN Index : 13
Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 DTLS-Tunnel: (1)SHA384
Bytes Tx : 14782 Bytes Rx : 12714
Pkts Tx : 2 Pkts Rx : 32
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ftd-vpn-engineer-grp Tunnel Group : ftd-vpn-engineer
Login Time : 02:00:35 UTC Wed Jun 19 2024
Duration : 0h:00m:55s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : cb0071820000d00066723bc3
Security Grp : none Tunnel Zone : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 13.1
Public IP : 192.168.1.11
Encryption : none Hashing : none 
TCP Src Port : 50225 TCP Dst Port : 443 
Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
Client OS : win 
Client OS Ver: 10.0.15063 
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 0 
Pkts Tx : 1 Pkts Rx : 0 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

SSL-Tunnel:
Tunnel ID : 13.2
Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
Encryption : AES-GCM-128 Hashing : SHA256 
Ciphersuite : TLS_AES_128_GCM_SHA256 
Encapsulation: TLSv1.3 TCP Src Port : 50232 
TCP Dst Port : 443 Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
Client OS : Windows 
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 1775 
Pkts Tx : 1 Pkts Rx : 2 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

DTLS-Tunnel:
Tunnel ID : 13.3
Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
Encryption : AES-GCM-256 Hashing : SHA384 
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384 
Encapsulation: DTLSv1.2 UDP Src Port : 50825 
UDP Dst Port : 443 Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
Client OS : Windows 
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 0 Bytes Rx : 10939 
Pkts Tx : 0 Pkts Rx : 30 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

Username : vpnManagerClientCN Index : 14
Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 DTLS-Tunnel: (1)SHA384
Bytes Tx : 14782 Bytes Rx : 13521
Pkts Tx : 2 Pkts Rx : 57
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ftd-vpn-manager-grp Tunnel Group : ftd-vpn-manager
Login Time : 02:01:19 UTC Wed Jun 19 2024
Duration : 0h:00m:11s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : cb0071820000e00066723bef
Security Grp : none Tunnel Zone : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 14.1
Public IP : 192.168.1.21
Encryption : none Hashing : none 
TCP Src Port : 49809 TCP Dst Port : 443 
Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
Client OS : win 
Client OS Ver: 10.0.15063 
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 0 
Pkts Tx : 1 Pkts Rx : 0 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

SSL-Tunnel:
Tunnel ID : 14.2
Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
Encryption : AES-GCM-128 Hashing : SHA256 
Ciphersuite : TLS_AES_128_GCM_SHA256 
Encapsulation: TLSv1.3 TCP Src Port : 49816 
TCP Dst Port : 443 Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
Client OS : Windows 
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 3848 
Pkts Tx : 1 Pkts Rx : 25 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

DTLS-Tunnel:
Tunnel ID : 14.3
Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
Encryption : AES-GCM-256 Hashing : SHA384 
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384 
Encapsulation: DTLSv1.2 UDP Src Port : 65501 
UDP Dst Port : 443 Auth Mode : Certificate 
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes 
Client OS : Windows 
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 0 Bytes Rx : 9673 
Pkts Tx : 0 Pkts Rx : 32 
Pkts Tx Drop : 0 Pkts Rx Drop : 0

Troubleshoot

Puede esperar encontrar información sobre la autenticación VPN en el registro del sistema de depuración del motor de línea y en el archivo DART en la PC con Windows.

Este es un ejemplo de los registros de depuración en el motor de línea durante la conexión VPN desde el cliente de ingeniería.

Jun 19 2024 02:00:35: %FTD-7-717029: Identified client certificate within certificate chain. serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:00:35: %FTD-6-717022: Certificate was successfully validated. serial number: 7AF1C78ADCC8F941, subject name:  CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:00:35: %FTD-7-717038: Tunnel group match found. Tunnel Group: ftd-vpn-engineer, Peer certificate: serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP, issuer_name: CN=ftd-ra-ca-common-name,OU=Cisco,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:00:35: %FTD-6-113009: AAA retrieved default group policy (ftd-vpn-engineer-grp) for user = vpnEngineerClientCN
Jun 19 2024 02:00:46: %FTD-6-725002: Device completed SSL handshake with client outside:192.168.1.11/50825 to 192.168.1.200/443 for DTLSv1.2 session

Este es un ejemplo de los registros de depuración en el motor de línea durante la conexión VPN desde el cliente administrador.

Jun 19 2024 02:01:19: %FTD-7-717029: Identified client certificate within certificate chain. serial number: 1AD1B5EAE28C6D3C, subject name: CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:01:19: %FTD-6-717022: Certificate was successfully validated. serial number: 1AD1B5EAE28C6D3C, subject name:  CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:01:19: %FTD-7-717038: Tunnel group match found. Tunnel Group: ftd-vpn-manager, Peer certificate: serial number: 1AD1B5EAE28C6D3C, subject name: CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP, issuer_name: CN=ftd-ra-ca-common-name,OU=Cisco,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:01:19: %FTD-6-113009: AAA retrieved default group policy (ftd-vpn-manager-grp) for user = vpnManagerClientCN
Jun 19 2024 02:01:25: %FTD-6-725002: Device completed SSL handshake with client outside:192.168.1.21/65501 to 192.168.1.200/443 for DTLSv1.2 session

Información Relacionada

Configuración de la Autenticación Basada en Certificados de Anyconnect para el Acceso Móvil