Configurar o mapeamento de certificados para autenticação de cliente seguro no FTD via FMC
Contents
Introdução
Este documento descreve como configurar o Cisco Secure Client com SSL no FTD via FMC usando o mapeamento de certificado para autenticação.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Cisco Firepower Management Center (FMC)
- Firewall Threat Defense (FTD) Virtual
- Fluxo de autenticação de VPN
Componentes Utilizados
- Cisco Firepower Management Center para VMWare 7.4.1
- Cisco Firewall Threat Defense Virtual 7.4.1
- Cisco Secure Client 5.1.3.62
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
O mapeamento de certificado é um método usado em conexões VPN em que um certificado de cliente é mapeado para uma conta de usuário local, ou os atributos dentro do certificado são usados para fins de autorização. Esse é um processo em que um certificado digital é usado como meio de identificar um usuário ou dispositivo. Ao usar o mapeamento de certificado, ele aproveita o protocolo SSL para autenticar usuários sem a necessidade de inserir credenciais.
Este documento descreve como autenticar o Cisco Secure Client usando o nome comum de um certificado SSL.
Estes certificados contêm um nome comum, que é utilizado para efeitos de autorização.
- CA: ftd-ra-ca-common-name
- Certificado de cliente VPN do engenheiro: vpnEngineerClientCN
- Certificado de cliente VPN do gerenciador: vpnManagerClientCN
- Certificado do servidor: 192.168.1.200
Diagrama de Rede
Esta imagem mostra a topologia usada para o exemplo deste documento.
Diagrama de Rede
Configurações
Configuração no FMC
Etapa 1. Configurar a interface FTD
Navegue até Dispositivos > Gerenciamento de dispositivos, edite o dispositivo FTD de destino, configure a interface externa para FTD na guia Interfaces.
Para GigabitEthernet0/0,
- Nome: externo
- Zona de segurança: outsideZone
- Endereço IP: 192.168.1.200/24
Interface FTD
Etapa 2. Confirmar licença do Cisco Secure Client
Navegue até Dispositivos > Gerenciamento de dispositivos, edite o dispositivo FTD de destino, confirme a licença do Cisco Secure Client na guia Dispositivo.
Licença de cliente seguro
Etapa 3. Adicionar Pool de Endereços IPv4
Navegue atéObject > Object Management > Address Pools > IPv4 Pools, clique no botão Add IPv4 Pools.
Adicionar Pool de Endereços IPv4
Insira as informações necessárias para criar um pool de endereços IPv4 para o cliente VPN do engenheiro.
- Nome: ftd-vpn-engineering-pool
- Intervalo de endereços IPv4: 172.16.1.100-172.16.1.110
- Máscara: 255.255.255.0
Pool de Endereços IPv4 para o VPN Client do Engenheiro
Insira as informações necessárias para criar um pool de endereços IPv4 para o cliente VPN do gerenciador.
- Nome: ftd-vpn-manager-pool
- Intervalo de endereços IPv4: 172.16.1.120-172.16.1.130
- Máscara: 255.255.255.0
Pool de Endereços IPv4 para o Cliente VPN do Gerenciador
Confirme os novos pools de endereços IPv4.
Novos pools de endereços IPv4
Etapa 4. Adicionar Política de Grupo
Navegue atéObject > Object Management > VPN > Group Policy, clique em Add Group Policy.
Adicionar Política de Grupo
Insira as informações necessárias para criar uma política de grupo para o cliente VPN do engenheiro.
- Nome: ftd-vpn-engineering-grp
- Protocolos VPN: SSL
Política de Grupo para o VPN Client do Engenheiro
Insira as informações necessárias para criar uma política de grupo para o cliente VPN do gerenciador.
- Nome: ftd-vpn-manager-grp
- Protocolos VPN: SSL
Política de Grupo para o Cliente VPN do Gerente
Confirme as novas diretivas de grupo.
Novas políticas de grupo
Etapa 5. Adicionar Certificado FTD
Navegue atéObject > Object Management > PKI > Cert Enrollment, clique no botão Add Cert Enrollment.
Adicionar Registro de Certificado
Insira as informações necessárias para o certificado FTD e importe um arquivo PKCS12 do computador local.
- Nome: ftd-vpn-cert
- Tipo de inscrição: PKCS12 File
Detalhes da Inscrição de Certificado
Confirme a inscrição do novo certificado.
Nova inscrição de certificado
Navegue até Dispositivos > Certificados, clique no botão Adicionar.
Adicionar Certificado FTD
Insira as informações necessárias para associar o novo registro de certificado ao FTD.
- Dispositivo: 1.x.x.49
- Registro de certificado: ftd-vpn-cert
Vincular certificado ao FTD
Confirme o status da associação de certificado.
Status da Associação de Certificado
Etapa 6. Adicionar Atribuição de Política para Perfil de Conexão do Engenheiro
Navegue até Dispositivos > VPN > Acesso remoto e clique no botão Adicionar.
Adicionar VPN de acesso remoto
Insira as informações necessárias e clique no botão Avançar.
- Nome: ftd-vpn-engineering
- Protocolos VPN: SSL
- Dispositivos de destino: 1.x.x.49
Atribuição de política
Passo 7. Configurar Detalhes do Perfil de Conexão do Engenheiro
Insira as informações necessárias e clique no botão Avançar.
- Método de Autenticação: Somente Certificado do Cliente
- Nome de usuário do certificado: Mapear campo específico
- Campo Primário: CN (Nome Comum)
- Campo Secundário: OU (Unidade Organizacional)
- Pools de Endereços IPv4: ftd-vpn-engineering-pool
- Política de Grupo: ftd-vpn-engineering-grp
Detalhes do Perfil de Conexão
Etapa 8. Configurar Imagem de Cliente Segura para Perfil de Conexão do Engenheiro
Selecione secure client image file e clique no botão Next.
Selecionar cliente seguro
Etapa 9. Configurar acesso e certificado para o perfil de conexão do engenheiro
Selecione o valor para os itens Grupo de interface/Zona de segurança e Registro de certificado, clique no botão Avançar.
- Grupo de interface/Zona de segurança: outsideZone
- Inscrição de certificado: ftd-vpn-cert
Detalhes de acesso e certificado
Etapa 10. Confirmar resumo do perfil de conexão do engenheiro
Confirme as informações inseridas para a política de VPN de acesso remoto e clique no botão Finish.
Detalhes da Política de VPN de Acesso Remoto
Etapa 11. Adicionar perfil de conexão para o Manager VPN Client
Navegue até Devices > VPN > Remote Access > Connection Profile, clique no botão +.
Adicionar perfil de conexão para o Manager VPN Client
Insira as informações necessárias para o perfil de conexão e clique no botão Save.
- Nome: ftd-vpn-manager
- Política de Grupo: ftd-vpn-manager-grp
- Pools de Endereços IPv4: ftd-vpn-manager-pool
Detalhes do perfil de conexão para o Manager VPN Client
Confirme os novos perfis de conexão adicionados.
Confirmar perfis de conexão adicionados
Etapa 12. Adicionar mapa de certificado
Navegue até Objetos > Gerenciamento de objetos > VPN > Mapa de certificados, clique no botão Adicionar mapa de certificados.
Adicionar mapa de certificado
Insira as informações necessárias para o mapa do certificado do cliente VPN do engenheiro e clique no botão Save.
- Nome do mapa: cert-map-engineering
- Regra de Mapeamento: CN (Nome Comum) Igual a vpnEngineerClientCN
Mapa do certificado para o cliente do engenheiro
Insira as informações necessárias para o mapa de certificado do cliente VPN do gerenciador e clique no botão Save.
- Nome do mapa: cert-map-manager
- Regra de Mapeamento: CN (Nome Comum) Igual a vpnManagerClientCN
Mapa de Certificado para Cliente do Gerenciador
Confirme os novos mapas de certificados adicionados.
Novos Mapas de Certificados
Etapa 13. Associar Mapa de Certificado ao Perfil de Conexão
Navegue até Devices > VPN > Remote Access, edite ftd-vpn-engineering. Em seguida, navegue até Avançado > Mapas de certificados, clique no botão Adicionar mapeamento.
Associar Mapa de Certificado
Associando mapa de certificado ao perfil de conexão do cliente VPN do engenheiro.
- Nome do mapa do certificado: cert-map-engineering
- Conexão Profile: ftd-vpn-engineer
Mapa do certificado de vinculação para o cliente VPN do engenheiro
Associando mapa de certificado ao perfil de conexão do cliente VPN do gerenciador.
- Nome do mapa do certificado: cert-map-manager
- Perfil de conexão: ftd-vpn-manager
Mapa do Certificado de Vinculação para o Cliente VPN do Manager
Confirme a configuração da associação de certificado.
Confirmar Associação de Certificado
Confirmar na CLI do FTD
Confirme as configurações de conexão VPN na CLI do FTD após a implantação do FMC.
// Defines IP of interface
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 192.168.1.200 255.255.255.0
// Defines a pool of addresses
ip local pool ftd-vpn-engineer-pool 172.16.1.100-172.16.1.110 mask 255.255.255.0
ip local pool ftd-vpn-manager-pool 172.16.1.120-172.16.1.130 mask 255.255.255.0
// Defines Trustpoint for Server Certificate
crypto ca trustpoint ftd-vpn-cert
keypair ftd-vpn-cert
crl configure
// Server Certificate Chain
crypto ca certificate chain ftd-vpn-cert
certificate 22413df584b6726c
3082037c 30820264 a0030201 02020822 413df584 b6726c30 0d06092a 864886f7
......
quit
certificate ca 5242a02e0db6f7fd
3082036c 30820254 a0030201 02020852 42a02e0d b6f7fd30 0d06092a 864886f7
......
quit
// Defines Certificate Map for Engineer VPN Clients
crypto ca certificate map cert-map-engineer 10
subject-name attr cn eq vpnEngineerClientCN
// Defines Certificate Map for Manager VPN Clients
crypto ca certificate map cert-map-manager 10
subject-name attr cn eq vpnManagerClientCN
// Configures the FTD to allow Cisco Secure Client connections and the valid Cisco Secure Client images
webvpn
enable outside
http-headers
hsts-server
enable
max-age 31536000
include-sub-domains
no preload
hsts-client
enable
x-content-type-options
x-xss-protection
content-security-policy
anyconnect image disk0:/csm/cisco-secure-client-win-5.1.3.62-webdeploy-k9.pkg 1 regex "Windows"
anyconnect enable
tunnel-group-list enable
cache
disable
certificate-group-map cert-map-engineer 10 ftd-vpn-engineer
certificate-group-map cert-map-manager 10 ftd-vpn-manager
error-recovery disable
// Configures the group-policy to allow SSL connections from manager VPN clients
group-policy ftd-vpn-manager-grp internal
group-policy ftd-vpn-manager-grp attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
split-tunnel-all-dns disable
client-bypass-protocol disable
vlan none
address-pools none
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect firewall-rule client-interface public none
anyconnect firewall-rule client-interface private none
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method none
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression none
anyconnect dtls compression none
anyconnect modules value none
anyconnect ask none default anyconnect
anyconnect ssl df-bit-ignore disable
// Configures the group-policy to allow SSL connections from engineer VPN clients
group-policy ftd-vpn-engineer-grp internal
group-policy ftd-vpn-engineer-grp attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
split-tunnel-all-dns disable
client-bypass-protocol disable
vlan none
address-pools none
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect firewall-rule client-interface public none
anyconnect firewall-rule client-interface private none
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method none
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression none
anyconnect dtls compression none
anyconnect modules value none
anyconnect ask none default anyconnect
anyconnect ssl df-bit-ignore disable
// Configures the tunnel-group to use the certificate authentication for engineer VPN clients
tunnel-group ftd-vpn-engineer type remote-access
tunnel-group ftd-vpn-engineer general-attributes
address-pool ftd-vpn-engineer-pool
default-group-policy ftd-vpn-engineer-grp
tunnel-group ftd-vpn-engineer webvpn-attributes
authentication certificate
group-alias ftd-vpn-engineer enable
// Configures the tunnel-group to use the certificate authentication for manager VPN clients
tunnel-group ftd-vpn-manager type remote-access
tunnel-group ftd-vpn-manager general-attributes
address-pool ftd-vpn-manager-pool
default-group-policy ftd-vpn-manager-grp
tunnel-group ftd-vpn-manager webvpn-attributes
authentication certificate
Confirmar no cliente VPN
Etapa 1. Confirmar certificado do cliente
No cliente VPN do engenheiro, navegue paraCertificates - Current User > Personal > Certificates, verifique o certificado do cliente usado para autenticação.
Confirmar certificado para cliente VPN do engenheiro
Clique duas vezes no certificado do cliente, navegue paraDetails, verifique os detalhes deSubject.
- Assunto: CN = vpnEngineerClientCN
Detalhes do certificado de cliente do engenheiro
No cliente VPN do gerenciador, navegue paraCertificates - Current User > Personal > Certificates, verifique o certificado do cliente usado para autenticação.
Confirmar Certificado para Cliente VPN do Manager
Clique duas vezes no certificado do cliente, navegue paraDetails, verifique os detalhes deSubject.
- Assunto: CN = vpnManagerClientCN
Detalhes do Certificado de Cliente do Gerenciador
Etapa 2. Confirmar CA
No cliente VPN do engenheiro e no cliente VPN do gerente, navegue paraCertificates - Current User > Trusted Root Certification Authorities > Certificates, verifique a CA usada para autenticação.
- Emitido por: ftd-ra-ca-common-name
Confirmar CA
Verificar
Etapa 1. Iniciar conexão VPN
No cliente VPN do engenheiro, inicie a conexão do Cisco Secure Client. Não há necessidade de inserir o nome de usuário e a senha, a VPN se conectou com êxito.
Iniciar conexão VPN do cliente do engenheiro
No cliente VPN do gerenciador, inicie a conexão do Cisco Secure Client. Não há necessidade de inserir o nome de usuário e a senha, a VPN se conectou com êxito.
Iniciar conexão VPN a partir do cliente gerenciador
Etapa 2. Confirmar sessões ativas no FMC
Navegue até Analysis > Users > Ative Sessions, verifique a sessão ativa quanto à autenticação de VPN.
Confirmar sessão ativa
Etapa 3. Confirmar sessões VPN na CLI FTD
Executeshow vpn-sessiondb detail anyconnect o comando na CLI do FTD (Lina) para confirmar as sessões de VPN do engenheiro e do gerente.
ftd702# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : vpnEngineerClientCN Index : 13
Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 DTLS-Tunnel: (1)SHA384
Bytes Tx : 14782 Bytes Rx : 12714
Pkts Tx : 2 Pkts Rx : 32
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ftd-vpn-engineer-grp Tunnel Group : ftd-vpn-engineer
Login Time : 02:00:35 UTC Wed Jun 19 2024
Duration : 0h:00m:55s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : cb0071820000d00066723bc3
Security Grp : none Tunnel Zone : 0
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 13.1
Public IP : 192.168.1.11
Encryption : none Hashing : none
TCP Src Port : 50225 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 13.2
Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
Encryption : AES-GCM-128 Hashing : SHA256
Ciphersuite : TLS_AES_128_GCM_SHA256
Encapsulation: TLSv1.3 TCP Src Port : 50232
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 1775
Pkts Tx : 1 Pkts Rx : 2
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 13.3
Assigned IP : 172.16.1.101 Public IP : 192.168.1.11
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 50825
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 0 Bytes Rx : 10939
Pkts Tx : 0 Pkts Rx : 30
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Username : vpnManagerClientCN Index : 14
Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 DTLS-Tunnel: (1)SHA384
Bytes Tx : 14782 Bytes Rx : 13521
Pkts Tx : 2 Pkts Rx : 57
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ftd-vpn-manager-grp Tunnel Group : ftd-vpn-manager
Login Time : 02:01:19 UTC Wed Jun 19 2024
Duration : 0h:00m:11s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : cb0071820000e00066723bef
Security Grp : none Tunnel Zone : 0
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 14.1
Public IP : 192.168.1.21
Encryption : none Hashing : none
TCP Src Port : 49809 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 14.2
Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
Encryption : AES-GCM-128 Hashing : SHA256
Ciphersuite : TLS_AES_128_GCM_SHA256
Encapsulation: TLSv1.3 TCP Src Port : 49816
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7391 Bytes Rx : 3848
Pkts Tx : 1 Pkts Rx : 25
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 14.3
Assigned IP : 172.16.1.120 Public IP : 192.168.1.21
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 65501
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 0 Bytes Rx : 9673
Pkts Tx : 0 Pkts Rx : 32
Pkts Tx Drop : 0 Pkts Rx Drop : 0Troubleshooting
Você pode esperar encontrar informações sobre a autenticação VPN no syslog de depuração do mecanismo Lina e no arquivo DART no PC com Windows.
Este é um exemplo de logs de depuração no mecanismo Lina durante a conexão VPN do cliente do engenheiro.
Jun 19 2024 02:00:35: %FTD-7-717029: Identified client certificate within certificate chain. serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:00:35: %FTD-6-717022: Certificate was successfully validated. serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:00:35: %FTD-7-717038: Tunnel group match found. Tunnel Group: ftd-vpn-engineer, Peer certificate: serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP, issuer_name: CN=ftd-ra-ca-common-name,OU=Cisco,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:00:35: %FTD-6-113009: AAA retrieved default group policy (ftd-vpn-engineer-grp) for user = vpnEngineerClientCN
Jun 19 2024 02:00:46: %FTD-6-725002: Device completed SSL handshake with client outside:192.168.1.11/50825 to 192.168.1.200/443 for DTLSv1.2 sessionEste é um exemplo de logs de depuração no mecanismo Lina durante a conexão VPN do cliente gerenciador.
Jun 19 2024 02:01:19: %FTD-7-717029: Identified client certificate within certificate chain. serial number: 1AD1B5EAE28C6D3C, subject name: CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:01:19: %FTD-6-717022: Certificate was successfully validated. serial number: 1AD1B5EAE28C6D3C, subject name: CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:01:19: %FTD-7-717038: Tunnel group match found. Tunnel Group: ftd-vpn-manager, Peer certificate: serial number: 1AD1B5EAE28C6D3C, subject name: CN=vpnManagerClientCN,OU=vpnManagerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP, issuer_name: CN=ftd-ra-ca-common-name,OU=Cisco,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 19 2024 02:01:19: %FTD-6-113009: AAA retrieved default group policy (ftd-vpn-manager-grp) for user = vpnManagerClientCN
Jun 19 2024 02:01:25: %FTD-6-725002: Device completed SSL handshake with client outside:192.168.1.21/65501 to 192.168.1.200/443 for DTLSv1.2 sessionInformações Relacionadas
Configurar Autenticação Baseada em Certificado do Anyconnect para Acesso Móvel
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
22-Jul-2024 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)