Inleiding
Dit document beschrijft een voorbeeld van de implementatie van op certificaten gebaseerde verificatie op mobiele apparaten.
Voorwaarden
De gereedschappen en apparaten die worden gebruikt in deze handleiding zijn:
- Cisco Firepower Threat Defence (FTD)
- Firepower Management Center (FMC)
- Apple iOS-apparaat (iPhone, iPad)
- Certificaatautoriteit (CA)
- Cisco AnyConnect-clientsoftware
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Basis VPN
- SSL/TLS
- Public Key infrastructuur
- Ervaring met het VCC
- OpenSSL
- Cisco AnyConnect
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco FTD
- Cisco VCC
- Microsoft CA-server
- XCA
- Cisco AnyConnect
- Apple iPad
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Cisco AnyConnect op FTD configureren
In dit deel worden de stappen beschreven voor het configureren van AnyConnect via FMC. Alvorens u begint, ben zeker om alle configuraties op te stellen.
Netwerkdiagram
![Lab Topology with Five Devices](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-00.png)
Certificaat toevoegen aan FTD
Stap 1. Maak een certificaat voor het FTD op de FMC-applicatie. Navigeer naar Apparaten > Certificaat en kies Toevoegen, zoals in deze afbeelding:
![Graphical User Interface, Webpage FMC. Image of Certificates on Firepower Management Center.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-01.png)
Stap 2. Kies de FTD die u wenst voor de VPN-verbinding. Kies het FTD-apparaat in de keuzelijst Apparaten. Klik op het pictogram + om een nieuwe methode voor certificaatinschrijving toe te voegen, zoals in deze afbeelding wordt weergegeven:
![Graphical User Interface, Webpage FMC. Image of Add New Certificate.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-02.png)
Stap 3. Voeg de certificaten toe aan het apparaat. Kies de optie die de voorkeursmethode is om certificaten in de omgeving te verkrijgen.
Tip: De beschikbare opties zijn: Self Signed Certificate - Generate a new certificate lokaal, SCEP - Use Simple Certificate Enrollment Protocol om een certificaat te verkrijgen van een CA, Handmatig- handmatig installeren van het Root and Identity certificaat, PKCS12 - Upload versleutelde certificaatbundel met root, identiteit en privé sleutel.
Stap 4. Upload het certificaat naar het FTD-apparaat. Typ de wachtcode (alleen PKCS12) en klik op Opslaan, zoals in deze afbeelding:
![Graphical User Interface, Webpage FMC. Image of Add Cert Enrollment.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-03.png)
Opmerking: Zodra u het bestand hebt opgeslagen, vindt de implementatie van de certificaten onmiddellijk plaats. Om certificaatdetails te zien, kies de ID.
Cisco AnyConnect configureren
Configureer AnyConnect via FMC met de wizard voor externe toegang.
Stap 1. Start de Remote Access VPN-beleidswizard om AnyConnect te configureren.
Navigeer naar Apparaten > Externe toegang en kies Toevoegen.
![Graphical User Interface, Webpage FMC. Image of Remote Access Page on FMC.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-04.png)
Stap 2. Beleidstoewijzing.
De beleidstaak voltooien:
a. Geef het beleid een naam.
b. Kies de gewenste VPN-protocollen.
c. Kies het beoogde apparaat om de configuratie toe te passen.
![Graphical User Interface, Webpage FMC. Image of Remote Access VPN Policy Wizard.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-05.png)
Stap 3. Verbindingsprofiel.
a. Geef het verbindingsprofiel een naam.
b. Stel de verificatiemethode in op Alleen clientcertificaat.
c. Wijs een IP-adrespool toe en maak indien nodig een nieuw groepsbeleid.
d. Klik op Volgende.
![Graphical User Interface, Webpage FMC. Remote Access VPN Policy Wizard Step 2. Connection Profile.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-06.png)
Opmerking: kies het primaire veld dat moet worden gebruikt om de gebruikersnaam voor verificatiesessies in te voeren. De GN van het certificaat wordt in deze gids gebruikt.
Stap 4. AnyConnect.
Voeg een AnyConnect-afbeelding toe aan het apparaat. Upload de voorkeursversie van AnyConnect en klik op Volgende.
Opmerking: pakketten voor Cisco AnyConnect kunnen worden gedownload van Software.Cisco.com.
Stap 5. Toegang en certificaat.
Pas het certificaat toe op een interface en schakel AnyConnect in op interfaceniveau, zoals in deze afbeelding, en klik op Volgende.
![Graphical User Interface, Webpage FMC. Image of Step 4. of Remote Access VPN Policy Wizard.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-07.png)
Stap 6. Samenvatting.
Bekijk de configuraties. Als alle controles uit, klik op Voltooien en implementeer vervolgens.
Certificaat voor mobiele gebruikers maken
Maak een certificaat dat moet worden toegevoegd aan het mobiele apparaat dat wordt gebruikt in de verbinding.
Stap 1. XCA.
a. Open XCA
b. Start een nieuwe database
Stap 2. MVO maken
a. Kies aanvraag voor certificaatondertekening (CSR)
b. Kies nieuwe aanvraag
c. Voer de waarde in met alle informatie die nodig is voor het certificaat
d. Een nieuwe toets genereren
e. Klik na het voltooien op OK
![Graphical User Interface, Application XCA. Image of Certificate and Key Management on XCA.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-08.png)
Opmerking: In dit document wordt de GN van het certificaat gebruikt.
Stap 3. CSR indienen.
a. MVO exporteren
b. CSR indienen bij CA om een nieuw certificaat te verkrijgen
![Graphical User Interface, AnyConnect Application](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-09.png)
Opmerking: gebruik het PEM-formaat van de CSR.
Installeren op mobiel apparaat
Stap 1. Voeg het apparaatcertificaat toe aan het mobiele apparaat.
Stap 2. Deel het certificaat met de AnyConnect-toepassing om de nieuwe certificaattoepassing toe te voegen.
Waarschuwing: voor handmatige installatie moet de gebruiker het certificaat delen met de toepassing. Dit geldt niet voor certificaten die via MDM’s worden gedrukt.
![Graphical User Interface, Application Files. Image of Certificate File on IOS Device.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-10.png)
Stap 3. Voer het certificaatwachtwoord in voor PKCS12 File.
Stap 4. Maak een nieuwe connect op AnyConnect.
Stap 5. Navigeer naar nieuwe verbindingen; Verbindingen > VPN-verbinding toevoegen.
![Graphical User Interface, Application AnyConnect. Image of AnyConnect Application on IOS Device.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-11.png)
Stap 6. Voer de informatie in voor de nieuwe verbinding.
Beschrijving: Geef de connect een naam
Serveradres: IP-adres of FQDN-adres van FTD
Geavanceerd: extra configuraties
Stap 7. Kies Geavanceerd.
Stap 8. Kies Certificaat en kies uw nieuw toegevoegd certificaat.
![Graphical User Interface, Application AnyConnect. Image of Select Certificate on AnyConnect Application.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-12.png)
Stap 9. Navigeer terug naar Aansluitingen en test.
Zodra dit gelukt is, blijft de schakelaar aan en worden de details in de status verbonden weergegeven.
![Graphical User Interface, Website. Image of AnyConnect Application. Status Connected - Graph showing Traffic being Generated.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-13.png)
Verifiëren
De opdracht toont vpn-sessiondb detail Anyconnect toont alle informatie over de aangesloten host.
Tip: de optie om deze opdracht verder te filteren is de 'filter'- of 'soort'-trefwoorden die aan de opdracht zijn toegevoegd.
Voorbeeld:
Tcoutrie-FTD3# show vpn-sessiondb detail Anyconnect
Username : Cisco_Test Index : 23
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Protocol : Anyconnect-Parent SSL-Tunnel DTLS-Tunnel
License : Anyconnect Premium, Anyconnect for Mobile
Encryption : Anyconnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hash : Anyconnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 8627 Bytes Rx : 220
Pkts Tx : 4 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : SSL Tunnel Group : SSL
Login Time : 13:03:28 UTC Mon Aug 2 2021
Duration : 0h:01m:49s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a7aa95d000170006107ed20
Security Grp : none Tunnel Zone : 0
Anyconnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
Anyconnect-Parent:
Tunnel ID : 23.1
Public IP : 10.118.18.168
Encryption : none Hashing : none
TCP Src Port : 64983 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : apple-ios
Client OS Ver: 14.6
Client Type : Anyconnect
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 6299 Bytes Rx : 220
Pkts Tx : 2 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 23.2
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 64985
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Apple iOS
Client Type : SSL VPN Client
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 2328 Bytes Rx : 0
Pkts Tx : 2 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 23.3
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 51003
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Apple iOS
Client Type : DTLS VPN Client
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 0 Bytes Rx : 0
Pkts Tx : 0 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Problemen oplossen
Debugs
Debugs die nodig zijn om dit probleem op te lossen, zijn:
Debug crypto ca 14
Debug webvpn 255
Debug webvpn Anyconnect 255
Als de verbinding IPSEC en niet SSL is:
Debug crypto ikev2 platform 255
Debug crypto ikev2 protocol 255
debug crypto CA 14
Logbestanden van de AnyConnect mobiele applicatie:
Navigeer naar Diagnostic > VPN Debug Logs > Share logs.
![Graphical User Interface, Application AnyConnect. Image of Diagnostics Page.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-14.png)
Voer in de informatie de volgende gegevens in:
- Probleem
- Stappen om te reproduceren
Blader vervolgens naar Verzenden > Delen met.
![Graphical User Interface, Application AnyConnect. Image of Share Logs Page.](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client/217966-configure-anyconnect-certificate-based-a-15.png)
Dit stelt de optie voor om een e-mailcliënt te gebruiken om de logboeken te verzenden.