ASA 8.X：AnyConnect SCEP注册配置示例

简介

AnyConnect独立客户端2.4中引入了SCEP注册功能。在此过程中，您可以修改AnyConnect XML配置文件以包括SCEP相关的配置，并为证书注册创建特定组策略和连接配置文件。当AnyConnect用户连接到此特定组时，AnyConnect向CA服务器发送证书注册请求，并且CA服务器自动接受或拒绝该请求。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行软件版本 8.x 的 Cisco ASA 5500 系列自适应安全设备

• Cisco AnyConnect VPN 2.4 版

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

背景信息

AnyConnect的自动SCEP注册的目标是以安全且可扩展的方式向客户端颁发证书。例如，用户不需要从CA服务器请求证书。此功能已集成到AnyConnect客户端中。证书根据XML配置文件中的证书参数颁发给客户端。

所需更改概述

AnyConnect SCEP注册功能要求在XML配置文件中定义某些证书参数。在ASA上创建用于证书注册的组策略和连接配置文件，并且XML配置文件与该策略相关联。AnyConnect客户端连接到使用此特定策略的连接配置文件，并发送证书请求和在XML文件中定义的参数。证书颁发机构(CA)自动接受或拒绝该请求。如果在客户端配置文件中定义<CertificateSCEP>元素，则AnyConnect客户端检索使用SCEP协议的证书。

在AnyConnect尝试自动检索新证书之前，客户端证书身份验证必须失败，因此，如果已安装有效证书，则不会进行注册。

当用户登录到特定组时，将自动进行注册。还有一种用于证书检索的手动方法，其中向用户提供Get Certificate按钮。仅当客户端可直接访问CA服务器而不是通过隧道时，此操作才有效。

有关详细信息，请参阅Cisco AnyConnect VPN客户端2.4版管理员指南。

启用Anyconnect SCEP功能的XML设置

这些是需要在AnyConnect XML文件中定义的重要元素。有关详细信息，请参阅Cisco AnyConnect VPN客户端2.4版管理员指南。

• <AutomaticSCEPHost> -指定为其配置SCEP证书检索的ASA主机名和连接配置文件（隧道组）。值必须采用ASA\连接配置文件名称的完全限定域名或ASA\连接配置文件名称的IP地址的格式。

• <CAURL> -标识SCEP CA服务器。

• <CertificateSCEP> -定义如何请求证书的内容。

• <DisplayGetCertButton> -确定AnyConnect GUI是否显示Get Certificate按钮。它使用户可以手动请求证书续订或调配。

下面是一个示例配置文件：

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/AnyConnectProfile.xsd">
	<ClientInitialization>
		<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
		<AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection>
		<ShowPreConnectMessage>false</ShowPreConnectMessage>
		<CertificateStore>All</CertificateStore>
		<CertificateStoreOverride>false</CertificateStoreOverride>
		<ProxySettings>Native</ProxySettings>
		<AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart>
		<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
		<LocalLanAccess UserControllable="true">false</LocalLanAccess>
		<AutoReconnect UserControllable="false">true
			<AutoReconnectBehavior UserControllable="false">
     ReconnectAfterResume
   </AutoReconnectBehavior>
		</AutoReconnect>
		<AutoUpdate UserControllable="false">true</AutoUpdate>
		<RSASecurIDIntegration UserControllable="false">
    Automatic
  </RSASecurIDIntegration>
		<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
		<WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
		<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
		<PPPExclusion UserControllable="false">Automatic
			<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
		</PPPExclusion>
		<EnableScripting UserControllable="false">false</EnableScripting>
		<CertificateEnrollment>
			<AutomaticSCEPHost>asa2.cisco.com/certenroll</AutomaticSCEPHost>
			<CAURL PromptForChallengePW="false">
     http://10.11.11.1/certsrv/mscep/mscep.dll
   </CAURL>
			<CertificateSCEP>
				<Name_CN>cisco</Name_CN>
				<Company_O>Cisco</Company_O>
				<DisplayGetCertButton>true</DisplayGetCertButton>
			</CertificateSCEP>
		</CertificateEnrollment>
	</ClientInitialization>
	<ServerList>
		<HostEntry>
			<HostName>asa2.cisco.com</HostName>
		</HostEntry>
	</ServerList>
</AnyConnectProfile>

配置ASA以支持AnyConnect的SCEP协议

为了提供对专用注册机构(RA)的访问，ASA管理员必须创建一个别名，该别名具有将专用侧网络连接限制到所需RA的ACL。为了自动检索证书，用户连接到此别名并进行身份验证。

请完成以下步骤：

1. 在ASA上创建指向特定已配置组的别名。

2. 在用户客户端配置文件的<AutomaticSCEPHost>元素中指定别名。

3. 将包含<CertificateEnrollment>部分的客户端配置文件附加到特定配置的组。

4. 为特定配置组设置ACL，以限制流向专用端RA的流量。

请完成以下步骤：

1. 将XML配置文件上传到ASA。

   1. 选择Remote Access VPN > Network (client ) access > Advanced > SSL VPN > Client settings。

   2. 在SSL VPN Client Profiles下，单击Add。

   3. 单击Browse Local Files以选择配置文件，然后单击Browse Flash以指定闪存文件名。

   4. 单击 Upload File。

      

2. 为证书注册设置certenroll组策略。

   1. 选择Remote access VPN > Network client access > Group Policy，然后单击Add。

      

   2. 为CA服务器添加拆分隧道。

      1. 展开Advanced，然后选择Split Tunneling。

      2. 从Policy菜单中选择Tunnel Network List Below，然后单击Manage以添加访问控制列表。

         

         

   3. 选择SSL VPN Client，然后从Client Profile to Download菜单中选择certenroll的配置文件。

      

3. 为证书身份验证创建另一个名为certauth的组。

   

4. 创建证书连接配置文件。

   1. 选择Remote access VPN > Network client access > AnyConnect connection profiles，然后单击Add。

   2. 在“Aliases”字段中输入certenroll组。

      注意：别名必须与在AutomaticSCEPHost下的AnyConnect配置文件中使用的值匹配。

      

5. 使用证书身份验证，创建另一个名为certauth的连接配置文件。这是注册后使用的实际连接配置文件。

   

6. 为确保启用对别名的使用，请在登录页上选中Allow user to select connection profile， identified by its alias.否则，DefaultWebVPNGroup是连接配置文件。

   

测试AnyConnect SCEP

使用本部分可确认配置能否正常运行。

1. 启动AnyConnect客户端，并连接到certenroll配置文件。

   

   AnyConnect通过SCEP将注册请求传递到CA服务器。

   

   如果使用Get Certificate按钮，AnyConnect将直接传递注册请求而不通过隧道。

   

2. 系统将显示此警告。单击Yes安装使用用户和根证书

   

3. 注册证书后，请连接到certauth配置文件。

SCEP请求后Microsoft Windows上的证书存储

请完成以下步骤：

1. 单击Start > run > mmc。

2. 单击添加/删除管理单元。

3. 单击Add，然后选择certificates。

4. 添加我的用户帐户和计算机帐户证书。

   下图显示安装在Windows证书存储区中的用户证书：

   

   下图显示安装在Windows证书存储区中的CA证书：

   

故障排除

本部分提供的信息可用于对配置进行故障排除。

• AnyConnect SCEP注册仅在证书身份验证失败时有效。如果未注册，请检查证书存储区。如果已经安装了证书，请将其删除并再次测试。

• 除非使用ssl certificate-authentication interface outside port 443命令，否则SCEP注册不起作用。

  有关详细信息，请参阅以下Cisco Bug ID：

  • 思科漏洞ID CSCtf06778(仅限于注册客户)— AnyConnect SCEP注册不适用于Per Group Cert Auth 2

  • 思科漏洞ID CSCtf06844(仅限于注册客户)— AnyConnect SCEP注册不适用于ASA每组证书身份验证

• 如果CA服务器位于ASA的外部，请确保使用same-security-traffic permit intra-interface命令允许发夹连接。此外还要添加nat outside和access-list命令，如本示例所示：

  nat (outside) 1
  access-list natoutside extended permit ip 172.16.1.0 255.255.255.0 host 171.69.89.87

  其中，172.16.1.0是AnyConnect池，171.69.89.87是CA服务器IP地址。

• 如果CA服务器在内部，请确保将其包括在certenroll组策略的分割隧道访问列表中。在本文档中，假设CA服务器位于内部。

  group-policy certenroll attributes
  split-tunnel-policy tunnelspecified
   split-tunnel-network-list value scep
  
  access-list scep standard permit 171.69.89.0 255.255.255.0

相关信息

• Cisco AnyConnect VPN 客户端管理员指南 2.4 版
• 技术支持和文档 - Cisco Systems