為行動存取配置基於Anyconnect證書的身份驗證

下載選項

  • PDF     (1.9 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (1.7 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (1.1 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 9 月 6 日
文件 ID:217966

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹在行動裝置上實作憑證型驗證的範例。

    必要條件

    本指南中使用的工具和裝置有:

    • Cisco Firepower威脅防禦(FTD) 
    • Firepower Management Center (FMC)
    • Apple iOS裝置(iPhone、iPad)
    • 憑證授權單位(CA)
    • Cisco Anyconnect客戶端軟體

    需求

    思科建議您瞭解以下主題:

    • 基本VPN
    • SSL/TLS
    • 公開金鑰基礎架構
    • 體驗FMC
    • OpenSSL
    • Cisco Anyconnect

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • Cisco FTD
    • Cisco FMC
    • Microsoft CA伺服器
    • XCA
    • Cisco Anyconnect
    • Apple ipad

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    在FTD上設定Cisco Anyconnect

    本節介紹透過FMC配置Anyconnect的步驟。開始之前,請務必部署所有配置。


    網路圖表

    Lab Topology with Five Devices

    新增憑證至FTD

    步驟 1.在FMC裝置上為FTD建立憑證。導航到裝置>證書,然後選擇增加,如下圖所示:

    Graphical User Interface, Webpage FMC. Image of Certificates on Firepower Management Center.


    步驟 2.選擇VPN連線所需的FTD。從devices下拉選單中選擇FTD appliance。點選+圖示以增加新的證書註冊方法,如下圖所示:

    Graphical User Interface, Webpage FMC. Image of Add New Certificate.

    步驟 3.將證書增加到裝置。選擇在環境中取得憑證的偏好方法。

    提示:可用選項包括:自簽名證書-本地生成新證書、SCEP -使用簡單證書註冊協定從CA獲取證書、手動-手動安裝根和身份證書、PKCS12 -上傳包含根、身份和私鑰的加密證書捆綁。

    步驟 4.將憑證上傳到FTD裝置。輸入密碼(僅限PKCS12)並按一下Save,如下圖所示:

    Graphical User Interface, Webpage FMC. Image of Add Cert Enrollment.

    注意:儲存檔案後,將立即部署證書。要檢視證書詳細資訊,請選擇ID。

    配置Cisco Anyconnect

    使用遠端訪問嚮導透過FMC配置Anyconnect。

    步驟 1.啟動遠端訪問VPN策略嚮導以配置Anyconnect。

    導航到裝置>遠端訪問,選擇增加

    Graphical User Interface, Webpage FMC. Image of Remote Access Page on FMC.

    步驟 2.策略分配。

    完成策略分配:
    a.命名策略。

    b.選擇所需的VPN協定。

    c.選擇要應用配置的目標裝置。

    Graphical User Interface, Webpage FMC. Image of Remote Access VPN Policy Wizard.

    步驟 3.連線配置檔案。

    a.命名連線配置檔案。
    b.將身份驗證方法設定為「僅客戶端證書」。

    c.分配IP地址池,如果需要,建立新的組策略。

    d.按一下下一步

    Graphical User Interface, Webpage FMC. Remote Access VPN Policy Wizard Step 2. Connection Profile.

    注意:選擇用於輸入認證階段作業之使用者名稱的主要欄位。本指南中使用的是證書的CN。

    步驟 4.AnyConnect.

    將Anyconnect映像增加到裝置。上傳Anyconnect的首選版本,然後按一下下一步

    注意:可以從Software.Cisco.com下載Cisco Anyconnect軟體套件。

    步驟 5.訪問和證書。

    將證書應用於介面並在介面級別啟用Anyconnect,如此圖中所示,然後按一下Next

    Graphical User Interface, Webpage FMC. Image of Step 4. of Remote Access VPN Policy Wizard.

    步驟 6.摘要.

    檢視配置。如果全部都簽出,請按一下finish然後按一下deploy

    為移動使用者建立證書

    建立要增加到連線中使用的流動裝置的證書。

    步驟 1.XCA

    a.打開XCA

    b.啟動新資料庫

    步驟 2.建立CSR。

    a.選擇證書簽名請求(CSR)

    b.選擇新請求

    c.輸入包含證書所需所有資訊的值

    d.生成新金鑰

    e.完成後,按一下確定

    Graphical User Interface, Application XCA. Image of Certificate and Key Management on XCA.

    附註:本檔案使用憑證的CN。

    步驟 3.提交CSR。

    a.導出CSR

    b.將CSR提交給CA以獲取新的證書

    Graphical User Interface, AnyConnect Application

    附註:使用CSR的PEM格式。

    在流動裝置上安裝

    步驟 1.將裝置證書增加到流動裝置。
    步驟 2.與Anyconnect應用共用證書以增加新的證書應用。

    注意:手動安裝需要使用者與應用程式共用證書。這不適用於透過MDM推送的證書。

    Graphical User Interface, Application Files. Image of Certificate File on IOS Device.

    步驟 3.輸入PKCS12檔案的證書密碼。

    步驟 4.在Anyconnect上建立新連線。

    步驟 5.導航到新連線;連線>增加VPN連線

    Graphical User Interface, Application AnyConnect. Image of AnyConnect Application on IOS Device.

    步驟 6.輸入新連線的資訊。 

    描述:為連線命名

    伺服器位址:IP位址或FTD FQDN

    高級:其他配置

    步驟 7.選擇Advanced

    步驟 8.選擇證書,然後選擇新增加的證書。

    Graphical User Interface, Application AnyConnect. Image of Select Certificate on AnyConnect Application.

    步驟 9.導航回連線並進行測試。

    一旦成功,切換將保持開啟狀態,詳細資訊將顯示為已連線。

    Graphical User Interface, Website. Image of AnyConnect Application. Status Connected - Graph showing Traffic being Generated.

    驗證

    命令show vpn-sessiondb detail Anyconnect顯示關於連線的主機的所有資訊。

    提示:進一步過濾此命令的選項是增加到命令中的「filter」或「sort」關鍵字。

    舉例來說:

    Tcoutrie-FTD3# show vpn-sessiondb detail Anyconnect


Username : Cisco_Test Index : 23
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Protocol : Anyconnect-Parent SSL-Tunnel DTLS-Tunnel
License : Anyconnect Premium, Anyconnect for Mobile
Encryption : Anyconnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hash : Anyconnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 8627 Bytes Rx : 220
Pkts Tx : 4 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : SSL Tunnel Group : SSL
Login Time : 13:03:28 UTC Mon Aug 2 2021
Duration : 0h:01m:49s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a7aa95d000170006107ed20
Security Grp : none Tunnel Zone : 0

Anyconnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

Anyconnect-Parent:
Tunnel ID : 23.1
Public IP : 10.118.18.168
Encryption : none Hashing : none
TCP Src Port : 64983 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : apple-ios
Client OS Ver: 14.6
Client Type : Anyconnect
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 6299 Bytes Rx : 220
Pkts Tx : 2 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 23.2
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 64985
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Apple iOS
Client Type : SSL VPN Client
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 2328 Bytes Rx : 0
Pkts Tx : 2 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 23.3
Assigned IP : 10.71.1.2 Public IP : 10.118.18.168
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 51003
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Apple iOS
Client Type : DTLS VPN Client
Client Ver : Cisco Anyconnect VPN Agent for Apple iPad 4.10.01099
Bytes Tx : 0 Bytes Rx : 0
Pkts Tx : 0 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

    疑難排解

    調試

    排除此問題故障所需的調試是:

    Debug crypto ca 14

Debug webvpn 255

Debug webvpn Anyconnect 255

    如果連線是IPSEC而不是SSL:

    Debug crypto ikev2 platform 255

Debug crypto ikev2 protocol 255

debug crypto CA 14

    來自Anyconnect移動應用的日誌:

    導航到診斷> VPN調試日誌>共用日誌

    Graphical User Interface, Application AnyConnect. Image of Diagnostics Page.

    輸入以下資訊:

    • 問題
    • 重現步驟

    然後導航到傳送>共用

    Graphical User Interface, Application AnyConnect. Image of Share Logs Page.

    此選項提供使用電子郵件客戶端傳送日誌的選項。

    修訂記錄

    修訂 發佈日期 意見
    3.0
    06-Sep-2024
    已驗證並解決CCW警報 已檢查拼寫/語法
    2.0
    10-Aug-2023
    更新的MDF標籤、樣式需求、替代文字和格式設定。
    1.0
    14-Jul-2022
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Terrell Coutrier
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品