在FTD上配置由FMC管理的安全客户端证书身份验证
简介
本文档介绍在由Firepower管理中心(FMC)通过证书身份验证管理的Firepower威胁防御(FTD)上配置远程访问VPN的过程。
作者:Dolly Jain和Rishabh Aggarwal,思科TAC工程师。
先决条件
要求
Cisco 建议您了解以下主题:
· 手动证书注册和SSL基础知识
· FMC
· 远程访问VPN的基本身份验证知识
· 第三方证书颁发机构(CA),如Entrust、Geotrust、GoDaddy、Thawte和VeriSign
使用的组件
本文档中的信息基于以下软件版本:
· 安全Firepower威胁防御7.4.1版
· Firepower管理中心(FMC)版本7.4.1
· 安全客户端5.0.05040版
· Microsoft Windows Server 2019作为CA服务器
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
网络图
配置
a.创建/导入用于服务器身份验证的证书
注意:在FMC上,需要先获取CA证书,然后才能生成CSR。如果从外部源(OpenSSL或第三方)生成CSR,则手动方法失败,必须使用PKCS12证书格式。
步骤1:导航到Devices > Certificates并单击Add。选择Device,然后点击Cert Enrollment下的加号(+)。
添加证书注册
第二步: 在CA Information下,选择“Enrollment Type”作为Manual,并粘贴用于签署CSR的证书颁发机构(CA)证书。
添加认证中心信息
第三步:对于验证用法,选择IPsec Client, SSL Client和Skip Check for CA flag in basic constraints of the CA Certificate。
第四步:在Certificate Parameters下,填写主题名称详细信息。
添加证书参数
第五步:在Key下,选择密钥类型为RSA并具有密钥名称和大小。 单击Save。
注意:对于RSA密钥类型,最小密钥大小为2048位。
添加RSA密钥
第六步:在Cert Enrollment下,从刚创建的下拉列表中选择信任点,然后单击Add。
添加新证书
步骤 7.点击ID,然后点击Yes进一步的提示,生成CSR。
生成 CSR
步骤 8复制CSR并由证书颁发机构对其进行签名。身份证书由CA颁发之后,请通过单击Browse Identity Certificate并单击Import导入它。
导入ID证书
注意:如果ID证书的颁发需要时间,您可以在以后重复第7步。这将生成相同的CSR,我们可以导入ID证书。
b.添加受信任/内部CA证书
b.添加受信任/内部CA证书
注意:如果第(a)步“创建/导入用于服务器身份验证的证书”中使用的证书颁发机构(CA)也颁发用户证书,您可以跳过第(b)步,“添加受信任/内部CA证书”。 无需再次添加相同的CA证书,也必须避免这种情况。如果再次添加同一CA证书,信任点配置为“validation-usage none”,这可能会影响RAVPN的证书身份验证。
步骤1:导航到Devices > Certificates,然后单击Add。
选择Device,然后点击Cert Enrollment下的加号(+)。
此处,“auth-risagar-ca”用于颁发身份/用户证书。
auth-risaggar-ca
第二步:输入信任点名称,然后选择ManualCA information下的注册类型。
第三步:选中CA Only并粘贴pem格式的受信任/内部CA证书。
第四步:选中Skip Check for CA flag in basic constraints of the CA Certificate并单击Save。
添加信任点
第五步: 在Cert Enrollment下方,从刚创建的下拉列表中选择信任点,然后单击Add。
添加内部Ca
第六步:之前添加的证书显示如下:
已添加证书
c.配置VPN用户的地址池
c.配置VPN用户的地址池
步骤1:导航到Objects > Object Management > Address Pools > IPv4 Pools。
第二步:输入名称和带掩码的IPv4地址范围。
添加IPv4池
d.上传安全客户端映像
d.上传安全客户端映像步骤1:从Cisco软件站点按操作系统下载webdeploy安全客户端映像。
第二步:导航到Objects > Object Management > VPN > Secure Client File > Add Secure Client File。
第三步:输入名称,然后从磁盘中选择Secure Client文件。
第四步:将文件类型选择为Secure Client Image,然后单击Save。
添加安全客户端映像
e.创建和上传XML配置文件
e.创建和上传XML配置文件步骤1:从思科软件站点下载并安装安全客户端Profile Editor。
第二步:创建新配置文件并从Client Certificate Selection下拉列表中选择All。它主要控制Secure Client可以使用哪些证书存储区来存储和读取证书。
另外两个可用选项是:
- 计算机 -安全客户端仅限于Windows本地计算机证书存储区中的证书查找。
- 用户- 安全客户端仅限于在本地Windows用户证书存储区查找证书。
将“证书存储区覆盖”设置为True 。
这允许管理员指示安全客户端使用Windows计算机(本地系统)证书存储中的证书进行客户端证书身份验证。证书存储区覆盖仅适用于SSL,默认情况下,UI进程在此启动连接。使用IPSec/IKEv2时,安全客户端配置文件中的此功能不适用。
添加首选项(第1部分)
第3步:(可选)取消选中Disable Automatic Certificate Selection,因为它会避免提示用户选择身份验证证书。
添加首选项(第2部分)
第四步: 在Server List下提供group-alias和group-url,创建Server List Entry以在安全客户端VPN中设置配置文件,并保存XML配置文件。
添加服务器列表
第五步:最后,XML配置文件可供使用。
XML配置文件
各种操作系统的XML配置文件的位置:
- Windows - C:\ProgramData\Cisco\Cisco安全客户端\VPN\配置文件
- MacOS - /opt/cisco/anyconnect/profile
- Linux - /opt/cisco/anyconnect/profile
第六步: 导航到Objects > Object Management > VPN > Secure Client File > Add Secure Client Profile。
输入文件的名称,然后单击Browse选择XML配置文件。单击。Save
添加安全客户端VPN配置文件
远程访问VPN配置
远程访问VPN配置步骤1: 根据需要创建ACL以允许访问内部资源。
导航到Objects > Object Management > Access List > Standard,然后单击Add Standard Access List。
添加标准ACL
注意:安全客户端使用此ACL向内部资源添加安全路由。
第二步:导航到Devices > VPN > Remote Access,然后单击Add。
第三步:输入配置文件的名称,然后选择FTD设备并点击Next。
添加配置文件名称
第四步:输入Connection Profile Name并在“Authentication, Authorization and Accounting (AAA)”下选择“Authentication Method”作为Client Certificate Only。
选择身份验证方法
第五步:点击Client Address Assignment下的Use IP Address Pools 并选择之前创建的IPv4地址池。
选择客户端地址分配
第六步:编辑组策略。
编辑组策略
步骤 7.导航到General > Split Tunneling,选择Tunnel networks specified below并在Split Tunnel Network List Type下选择Standard Access List。
选择之前创建的ACL。
添加拆分隧道
步骤 8导航到Secure Client > Profile(仅路由器),选择Client Profile (默认),然后单击Save。
添加安全客户端配置文件
步骤 9点击Next,然后选择Secure Client Image选项,再点击Next。
添加安全客户端映像
步骤 10选择VPN访问的网络接口,选择Device Certificates并选中sysopt permit-vpn,然后单击Next。
为VPN流量添加访问控制
步骤 11最后,查看所有配置并单击Finish。
远程访问VPN策略配置
步骤 12完成远程访问VPN的初始设置后,编辑创建的连接配置文件并转到Aliases。
步骤 13通过点击加号图标(+)配置group-alias。
编辑组别名
步骤 14通过点击加号图标(+)配置group-url。使用之前在客户端配置文件中配置的相同组URL。
编辑组URL
步骤 15导航至Access Interfaces。选择SSL settings下的Interface Truspoint和SSL Global Identity Certificate。
编辑访问接口
步骤 16点击Save,部署这些更改。
验证
验证使用本部分可确认配置能否正常运行。
1. 安全客户端PC必须在用户PC上安装带有有效日期、主题和EKU的证书。此证书必须由在FTD上安装证书的CA颁发,如前所示。此处,身份或用户证书由“auth-risaggar-ca”颁发。
证书亮点
注意:客户端证书必须具有“客户端身份验证”(Client Authentication)增强型密钥使用(EKU)。
2. 安全客户端必须建立连接。
成功的安全客户端连接
3. 运行show vpn-sessiondb anyconnect以确认所用隧道组下活动用户的连接详细信息。
firepower# show vpn-sessiondb anyconnect Session Type: AnyConnect Username : dolljain.cisco.com Index : 8 Assigned IP : 10.20.20.1 Public IP : 72.163.X.X Protocol : AnyConnect-Parent SSL-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 Bytes Tx : 14402 Bytes Rx : 9652 Group Policy : DfltGrpPolicy Tunnel Group : RAVPN-CertAuth Login Time : 08:32:22 UTC Mon Mar 18 2024 Duration : 0h:03m:59s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0ac5de050000800065f7fc16 Security Grp : none Tunnel Zone : 0故障排除
故障排除本部分提供了可用于对配置进行故障排除的信息。
1. 可以从FTD的诊断CLI运行调试:
debug crypto ca 14
debug webvpn anyconnect 255
debug crypto ike-common 2552. 有关常见问题,请参阅本指南。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
24-Jun-2024 |
为清楚起见,更新了配置步骤。 |
1.0 |
01-Apr-2024 |
初始版本 |
反馈