AnyConnect-certificaatgebaseerde verificatie voor mobiele toegang configureren

Downloadopties

  • PDF     (1.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.7 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 augustus 2023
Document-id:217966

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft een voorbeeld van de implementatie van op certificaten gebaseerde verificatie op mobiele apparaten.

    Voorwaarden

    De gereedschappen en apparaten die worden gebruikt in deze handleiding zijn:

    • Cisco Firepower Threat Defence (FTD) 
    • Firepower Management Center (FMC)
    • Apple iOS-apparaat (iPhone, iPad)
    • Certificaatautoriteit (CA)
    • Cisco AnyConnect-clientsoftware

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basis VPN
    • SSL/TLS
    • Public Key infrastructuur
    • Ervaring met het VCC
    • OpenSSL
    • Cisco AnyConnect

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco FTD
    • Cisco VCC
    • Microsoft CA-server
    • XCA
    • Cisco AnyConnect
    • Apple iPad

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Cisco AnyConnect op FTD configureren

    In dit deel worden de stappen beschreven voor het configureren van AnyConnect via FMC. Alvorens u begint, ben zeker om alle configuraties op te stellen.


    Netwerkdiagram

    Lab Topology with Five Devices

    Certificaat toevoegen aan FTD

    Stap 1. Maak een certificaat voor het FTD op de FMC-applicatie. Navigeer naar Apparaten > Certificaat en kies Toevoegen, zoals in deze afbeelding:

    Graphical User Interface, Webpage FMC. Image of Certificates on Firepower Management Center.


    Stap 2. Kies de FTD die u wenst voor de VPN-verbinding. Kies het FTD-apparaat in de keuzelijst Apparaten. Klik op het pictogram + om een nieuwe methode voor certificaatinschrijving toe te voegen, zoals in deze afbeelding wordt weergegeven:

    Graphical User Interface, Webpage FMC. Image of Add New Certificate.

    Stap 3. Voeg de certificaten toe aan het apparaat. Kies de optie die de voorkeursmethode is om certificaten in de omgeving te verkrijgen.

    Tip: De beschikbare opties zijn: Self Signed Certificate - Generate a new certificate lokaal, SCEP - Use Simple Certificate Enrollment Protocol om een certificaat te verkrijgen van een CA, Handmatig- handmatig installeren van het Root and Identity certificaat, PKCS12 - Upload versleutelde certificaatbundel met root, identiteit en privé sleutel.

    Stap 4. Upload het certificaat naar het FTD-apparaat. Typ de wachtcode (alleen PKCS12) en klik op Opslaan, zoals in deze afbeelding:

    Graphical User Interface, Webpage FMC. Image of Add Cert Enrollment.

    Opmerking: Zodra u het bestand hebt opgeslagen, vindt de implementatie van de certificaten onmiddellijk plaats. Om certificaatdetails te zien, kies de ID.

    Cisco AnyConnect configureren

    Configureer AnyConnect via FMC met de wizard voor externe toegang.

    Stap 1. Start de Remote Access VPN-beleidswizard om AnyConnect te configureren.

    Navigeer naar Apparaten > Externe toegang en kies Toevoegen.

    Graphical User Interface, Webpage FMC. Image of Remote Access Page on FMC.

    Stap 2. Beleidstoewijzing.

    De beleidstaak voltooien:
    a. Geef het beleid een naam.

    b. Kies de gewenste VPN-protocollen.

    c. Kies het beoogde apparaat om de configuratie toe te passen.

    Graphical User Interface, Webpage FMC. Image of Remote Access VPN Policy Wizard.

    Stap 3. Verbindingsprofiel.

    a. Geef het verbindingsprofiel een naam.
    b. Stel de verificatiemethode in op Alleen clientcertificaat.

    c. Wijs een IP-adrespool toe en maak indien nodig een nieuw groepsbeleid.

    d. Klik op Volgende.

    Graphical User Interface, Webpage FMC. Remote Access VPN Policy Wizard Step 2. Connection Profile.

    Opmerking: kies het primaire veld dat moet worden gebruikt om de gebruikersnaam voor verificatiesessies in te voeren. De GN van het certificaat wordt in deze gids gebruikt.

    Stap 4. AnyConnect.

    Voeg een AnyConnect-afbeelding toe aan het apparaat. Upload de voorkeursversie van AnyConnect en klik op Volgende.

    Opmerking: pakketten voor Cisco AnyConnect kunnen worden gedownload van Software.Cisco.com.

    Stap 5. Toegang en certificaat.

    Pas het certificaat toe op een interface en schakel AnyConnect in op interfaceniveau, zoals in deze afbeelding, en klik op Volgende.

    Graphical User Interface, Webpage FMC. Image of Step 4. of Remote Access VPN Policy Wizard.

    Stap 6. Samenvatting.

    Bekijk de configuraties. Als alle controles uit, klik op Voltooien en implementeer vervolgens.

    Certificaat voor mobiele gebruikers maken

    Maak een certificaat dat moet worden toegevoegd aan het mobiele apparaat dat wordt gebruikt in de verbinding.

    Stap 1. XCA.

    a. Open XCA

    b. Start een nieuwe database

    Stap 2. MVO maken

    a. Kies aanvraag voor certificaatondertekening (CSR)

    b. Kies nieuwe aanvraag

    c. Voer de waarde in met alle informatie die nodig is voor het certificaat

    d. Een nieuwe toets genereren

    e. Klik na het voltooien op OK

    Graphical User Interface, Application XCA. Image of Certificate and Key Management on XCA.

    Opmerking: In dit document wordt de GN van het certificaat gebruikt.

    Stap 3. CSR indienen.

    a. MVO exporteren

    b. CSR indienen bij CA om een nieuw certificaat te verkrijgen

    Graphical User Interface, AnyConnect Application

    Opmerking: gebruik het PEM-formaat van de CSR.

    Installeren op mobiel apparaat

    Stap 1. Voeg het apparaatcertificaat toe aan het mobiele apparaat.
    Stap 2. Deel het certificaat met de AnyConnect-toepassing om de nieuwe certificaattoepassing toe te voegen.

    Waarschuwing: voor handmatige installatie moet de gebruiker het certificaat delen met de toepassing. Dit geldt niet voor certificaten die via MDM’s worden gedrukt.

    Graphical User Interface, Application Files. Image of Certificate File on IOS Device.

    Stap 3. Voer het certificaatwachtwoord in voor PKCS12 File.

    Stap 4. Maak een nieuwe connect op AnyConnect.

    Stap 5. Navigeer naar nieuwe verbindingen; Verbindingen > VPN-verbinding toevoegen.

    Graphical User Interface, Application AnyConnect. Image of AnyConnect Application on IOS Device.

    Stap 6. Voer de informatie in voor de nieuwe verbinding. 

    Beschrijving: Geef de connect een naam

    Serveradres: IP-adres of FQDN-adres van FTD

    Geavanceerd: extra configuraties

    Stap 7. Kies Geavanceerd.

    Stap 8. Kies Certificaat en kies uw nieuw toegevoegd certificaat.

    Graphical User Interface, Application AnyConnect. Image of Select Certificate on AnyConnect Application.

    Stap 9. Navigeer terug naar Aansluitingen en test.

    Zodra dit gelukt is, blijft de schakelaar aan en worden de details in de status verbonden weergegeven.

    Graphical User Interface, Website. Image of AnyConnect Application. Status Connected - Graph showing Traffic being Generated.

    Verifiëren

    De opdracht toont vpn-sessiondb detail Anyconnect toont alle informatie over de aangesloten host.

    Tip: de optie om deze opdracht verder te filteren is de 'filter'- of 'soort'-trefwoorden die aan de opdracht zijn toegevoegd.

    Voorbeeld:

    Tcoutrie-FTD3# show vpn-sessiondb detail Anyconnect


Username : Cisco_Test Index : 23
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Protocol : Anyconnect-Parent SSL-Tunnel DTLS-Tunnel
License : Anyconnect Premium, Anyconnect for Mobile
Encryption : Anyconnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hash : Anyconnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 8627 Bytes Rx : 220
Pkts Tx : 4 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : SSL Tunnel Group : SSL
Login Time : 13:03:28 UTC Mon Aug 2 2021
Duration : 0h:01m:49s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a7aa95d000170006107ed20
Security Grp : none Tunnel Zone : 0

Anyconnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

Anyconnect-Parent:
Tunnel ID : 23.1
Public IP : 10.118.18.168
Encryption : none Hashing : none
TCP Src Port : 64983 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : apple-ios
Client OS Ver: 14.6
Client Type : Anyconnect
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 6299 Bytes Rx : 220
Pkts Tx : 2 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 23.2
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 64985
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Apple iOS
Client Type : SSL VPN Client
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 2328 Bytes Rx : 0
Pkts Tx : 2 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 23.3
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 51003
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Apple iOS
Client Type : DTLS VPN Client
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 0 Bytes Rx : 0
Pkts Tx : 0 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

    Problemen oplossen

    Debugs

    Debugs die nodig zijn om dit probleem op te lossen, zijn:

    Debug crypto ca 14

Debug webvpn 255

Debug webvpn Anyconnect 255

    Als de verbinding IPSEC en niet SSL is:

    Debug crypto ikev2 platform 255

Debug crypto ikev2 protocol 255

debug crypto CA 14

    Logbestanden van de AnyConnect mobiele applicatie:

    Navigeer naar Diagnostic > VPN Debug Logs > Share logs.

    Graphical User Interface, Application AnyConnect. Image of Diagnostics Page.

    Voer in de informatie de volgende gegevens in:

    • Probleem
    • Stappen om te reproduceren

    Blader vervolgens naar Verzenden > Delen met.

    Graphical User Interface, Application AnyConnect. Image of Share Logs Page.

    Dit stelt de optie voor om een e-mailcliënt te gebruiken om de logboeken te verzenden.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    10-Aug-2023
    Bijgewerkte MDF-tags, stijlvereisten, Alt-tekst en opmaak.
    1.0
    14-Jul-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Terrell Coutrier
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten