ASA 8.X: Exemplo de configuração do registro SCEP de AnyConnect

Documentos relacionados
Legado SCEP com o uso do exemplo da configuração de CLI

FlexVPN: Acesso remoto de AnyConnect IKEv2 com base de dados de usuário local

Cliente VPN e acesso do cliente de AnyConnect ao exemplo de configuração do LAN local

Configurar um server público com Cisco ASDM

Exemplo da configuração de cliente de FlexVPN e de Anyconnect IKEv2

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

AnyConnect SSL sobre IPv4+IPv6 à configuração ASA

Este documento demonstra como configurar o Cisco VPN Client 3.x para obter um certificado digital.

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Secure ACS para Windows v3.2 com autenticação da máquina do EAP-TLS

Configurando o Cisco VPN 3000 Concentrator 4.7.x para obter um certificado digital e um certificado SSL

Utilização de Números de Porta FTP Não- Padrão com NAT

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Configurar o servidor de backup para o gerente das comunicações unificadas de Cisco

Exemplo de configuração de SAML SSO da versão de gerenciador 10.5 das comunicações unificadas

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

Configurar o portal do abastecimento do certificado ISE 2.0

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Este documento descreve o portal da configuração e do abastecimento do certificado do motor dos serviços da funcionalidade de identidade (ISE).

Exemplo de configuração da transmissão da Web do controlador do Wireless LAN

ASA 8.X e mais tarde: Adicionar ou altere uma lista de acessos com o exemplo da configuração GUI ASDM

Este documento descreve como configurar a autenticação da Web a fim trabalhar com uma instalação do proxy.

Configurar Certificados de server de aplicativo CA-assinados do abastecimento para aprontar o abastecimento da Colaboração

Configuração do acesso remoto VPN de AnyConnect em FTD

ACS 5.X: Fixe o exemplo de configuração do servidor ldap

Configurar o CUCM para a conexão IPSec entre Nós

Integração de Cisco ACS 5.X com o servidor de tokens do SecurID RSA

Kerberos com ADFS 2.0 para o utilizador final SAML SSO para o exemplo de configuração do Jabber

Integração de Cisco ACS 5.X com o servidor de tokens do SecurID RSA

Kerberos com ADFS 2.0 para o utilizador final SAML SSO para o exemplo de configuração do Jabber

Desenvolvimento do centro de gerenciamento de FireSIGHT em VMware ESXi

Acesso portal administrativo ISE com exemplo de configuração das credenciais AD

Configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT com o servidor Radius

Configurar server da conexão de unidade para o exemplo de configuração pessoal unificado do comunicador

ASA/PIX: Exemplo de Configuração de Habilitação do Tunelamento Dividido for VPN Clients no ASA

Servidor DNS de Microsoft Windows 2003 para o exemplo de configuração da descoberta do controlador do Wireless LAN (WLC)

Distribuição de segurança da Web de AnyConnect com o ASA

Este documento não se restringe a versões de software e hardware específicas.

Use o cliente VPN macio do musaranho para conectar com o server do IPSec VPN em RV130 e em RV130W

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Transferência de arquivo ASA com exemplo de configuração FXP

Configurando o Cisco Secure ACS for Windows v3.2 com autenticação da máquina PEAP-MS- CHAPv2

Permita notificações do mensagem SMTP no Cisco Unity Connection 8.x

Configurar a decriptografia de SSL no módulo de FirePOWER usando ASDM (o Gerenciamento da Em-caixa)

Configurar o 2.1 ISE e a verificação da postura USB de AnyConnect 4.3

A instalação e configuração do módulo ampère com AnyConnect 4.x e ampère Habilitador

Armazenamento anexado direto UCS e de Zoneamento FC exemplo de configuração

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

Exemplo de configuração de SAML SSO da versão 10.5 da conexão de unidade

Índice. Introdução. As limitações da autenticação remota central UCS incluem:

Ferramenta NAC: Postura do Mac OSX AV no exemplo de configuração da liberação 4.5 de Cisco NAC

CIMC acesso Inband no exemplo de configuração das lâminas da série UCS-b

Usando VNC para instalar o CallManager da Cisco em um servidor remoto

Exemplo de configuração da autenticação LDAP para a central UCS

Cisco Secure Services Client com exemplo da configuração de autenticação do cliente Novell

Encaixe da importação VNC de Cisco ASA 8.x para o uso com WebVPN

VM-FEX com exemplo de configuração hyper-v

PIX/ASA 7.x e mais tarde: Exemplo de configuração do filtro VPN (porta específica ou protocolo da licença) para o L2L e o Acesso remoto

Configurar o acesso HTTPS para a ferramenta diagnóstica do pórtico da estrutura UCCE com certificado assinado do Certificate Authority (CA)

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Migração do conjunto usando o desenvolvimento da Colaboração da prima de Cisco

O ISE com estática reorienta para o exemplo de configuração isolado das redes de convidado

Substituindo o Cisco WebAttendant/a instalação do console de atendimento do CallManager

ACS 5.x: Exemplo de configuração do servidor ldap

Autenticação CS com ACS e autorização com exemplo de configuração local RBAC

Este documento descreve o procedimento para instalar o plug-in de Java múltiplo libera-se a fim alcançar o Cisco Transport Controller (CTC).

Verifique o LDAP sobre SSL/TLS (LDAP) e o certificado de CA usando Ldp.exe

As informações neste documento são baseadas nestas versões de software e hardware:

Este documento não se restringe a versões de software e hardware específicas.

Configurar o Access point de pouco peso como um suplicante do 802.1x

Permita server UC para o conjunto da cruz da mobilidade de extensão (EMCC)

Gateway de voz SPA8800 adicionado a um exemplo de configuração da solução da edição 3000 do negócio de Cisco

Encaixe da importação RDP ASA 8.x para o uso com exemplo de configuração WebVPN

Configurar configurações de rede para o LAN e o DHCP em SPA122

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Configurar o ASA com regras do controle de acesso dos serviços da potência de fogo para filtrar o tráfego do cliente VPN de AnyConnect ao Internet

Manual de configuração EAP-FAST da versão 1.02

Localmente - Certificados significativos (LSC) com exemplo de configuração WLC e de Windows Server 2012

O discador BA não conecta com o CTI Server - ordem de associação NIC

A instalação múltipla do plug-in de Java para alcançar o CTC

O domínio Wireless presta serviços de manutenção ao AP como um exemplo da configuração do servidor AAA

Permita o acesso ao Internet para o módulo ips ASA 5500-X

O domínio Wireless presta serviços de manutenção ao AP como um exemplo da configuração do servidor AAA

Como instalar, configurar e pesquise defeitos? SORVA o App da câmera de vídeo? s

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

ASA 8.X: Começo de AnyConnect antes da configuração da característica do fazer logon

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

SAML SSO Setup com exemplo de configuração da autenticação de Kerberos

Verificação CRL sobre HTTP em um Cisco VPN 3000 Concentrator

Instale a ativação e as chaves de recurso em um IP GW do TelePresence

Configurar o proxy WebRTC com o CMS sobre Expressway com domínio duplo

Aborto do Módulo de serviços TLS NGFW erros devido ao erro da falha ou da validação certificada do aperto de mão

A configuração do equilibrador da carga de Citrix NetScaler para Cisco unificou o centro da inteligência (CUIC)

Mobilidade DHCP interno expresso

Erros de GUI 7.x expressos do gerente das comunicações unificadas

Procedimento de migração para CUACA (10.5.X a 11.X.X)

Verificação CRL sobre HTTP em um Cisco VPN 3000 Concentrator

Índice. Introdução. Pré-requisitos. Requisitos

Transcrição:

ASA 8.X: Exemplo de configuração do registro SCEP de AnyConnect Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Informações de Apoio Vista geral das mudanças exigidas Ajustes XML para permitir a característica de Anyconnect SCEP Configurar o ASA para apoiar o protocolo scep para AnyConnect Teste AnyConnect SCEP Certificate o armazenamento em Microsoft Windows depois que pedido SCEP Troubleshooting Informações Relacionadas Introdução A funcionalidade do registro SCEP foi introduzida no cliente independente 2.4 do AnyConnect. Neste processo, você altera o perfil de AnyConnect XML para incluir uma configuração SCEPrelacionada e para criar uma política e um perfil de conexão específicos do grupo para o certificado de registro. Quando um usuário de AnyConnect conecta a este grupo específico, AnyConnect envia um pedido do certificado de registro ao server de CA, e o server de CA automaticamente aceita ou nega o pedido. Pré-requisitos Requisitos Não existem requisitos específicos para este documento. Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: Dispositivos de segurança adaptáveis Cisco ASA série 5500 essa versão de software 8.x da corrida Versão de VPN 2.4 de Cisco AnyConnect

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Informações de Apoio O objetivo do registro SCEP automático para AnyConnect é emitir um certificado ao cliente em uma maneira segura e escalável. Por exemplo, os usuários não precisam de pedir um certificado de um server de CA. Esta funcionalidade é integrada no cliente de AnyConnect. Os Certificados são emitidos aos clientes baseados nos parâmetros do certificado mencionados no arquivo de perfil XML. Vista geral das mudanças exigidas A característica do registro SCEP de AnyConnect exige determinados parâmetros do certificado ser definida no perfil XML. Uma política e um perfil de conexão do grupo são criados no ASA para o certificado de registro, e o perfil XML é associado com essa política. O cliente de AnyConnect conecta ao perfil de conexão que usa esta política específica e envia um pedido para um certificado com os parâmetros que são definidos no arquivo XML. O Certificate Authority (CA) automaticamente aceita ou nega o pedido. O cliente de AnyConnect recupera Certificados com o protocolo scep se o elemento do <CertificateSCEP> é definido em um perfil do cliente. A autenticação do certificado de cliente deve falhar antes que as tentativas de AnyConnect para recuperar automaticamente os Certificados novos, assim que se você já tenham um certificado válido instalado, o registro não ocorre. Quando os usuários entram ao grupo específico, estão registrados automaticamente. Há igualmente um método manual disponível para a recuperação de certificado em que os usuários são presentado com um botão do certificado da obtenção. Isto trabalha somente quando o cliente tem de acesso direto ao server de CA, não através do túnel. Refira o guia do administrador do Cisco AnyConnect VPN Client, libere 2.4 para mais informação. Ajustes XML para permitir a característica de Anyconnect SCEP Estes são os elementos importantes que precisam de ser definidos no arquivo de AnyConnect XML. Refira o guia do administrador do Cisco AnyConnect VPN Client, libere 2.4 para mais informação. <AutomaticSCEPHost> Especifica o nome de host ASA e o perfil de conexão (grupo de túneis) para que a recuperação de certificado SCEP é configurada. O valor precisa de estar no formato do nome de domínio totalmente qualificado do nome ASA \ perfil de conexão ou do endereço IP de Um ou Mais Servidores Cisco ICM NT do nome ASA \ perfil de conexão.

<CAURL> Identifica o server SCEP CA. <CertificateSCEP> Define como os índices do certificado são pedidos. <DisplayGetCertButton> Determina se o AnyConnect GUI indica o botão do certificado da obtenção. Permite usuários de pedir manualmente a renovação ou o abastecimento do certificado. Está aqui um perfil do exemplo: <?xml version="1.0" encoding="utf-8"?> <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" xsi:schemalocation="http://schemas.xmlsoap.org/encoding/anyconnectprofile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">false</LocalLanAccess> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false"> ReconnectAfterResume </AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="false"> Automatic </RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Automatic <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <CertificateEnrollment> <AutomaticSCEPHost>asa2.cisco.com/certenroll</AutomaticSCEPHost> <CAURL PromptForChallengePW="false"> http://10.11.11.1/certsrv/mscep/mscep.dll </CAURL> <CertificateSCEP> <Name_CN>cisco</Name_CN> <Company_O>Cisco</Company_O> <DisplayGetCertButton>true</DisplayGetCertButton> </CertificateSCEP> </CertificateEnrollment> </ClientInitialization> <ServerList> <HostEntry> <HostName>asa2.cisco.com</HostName> </HostEntry> </ServerList> </AnyConnectProfile> Configurar o ASA para apoiar o protocolo scep para AnyConnect A fim fornecer o acesso a um registration authority (RA autoridade de registro) privado, o administrador ASA deve criar um pseudônimo que tenha um ACL que restrinja a conectividade de

rede lateral privada ao RA desejado. A fim recuperar automaticamente um certificado, os usuários conectam e autenticam ao este aliás. 1. Crie um pseudônimo no ASA para apontar ao grupo configurado específico. 2. Especifique o pseudônimo no elemento do <AutomaticSCEPHost> no perfil do cliente do usuário. 3. Anexe o perfil do cliente que contém a seção do <CertificateEnrollment> ao grupo configurado específico. 4. Ajuste um ACL para que o grupo configurado específico restrinja o tráfego ao lado privado RA. 1. Transfira arquivos pela rede o perfil XML ao ASA.Escolha o acesso do acesso remoto VPN > da rede (cliente) > avançou > SSL VPN > ajustes do cliente.sob perfis do cliente VPN SSL, o clique adiciona.o clique consulta arquivos locais a fim selecionar o arquivo de perfil, e o clique consulta o flash a fim especificar o nome de arquivo instantâneo.arquivo da transferência de arquivo pela rede do clique. 2. Estabelecer uma política do grupo do certenroll para o certificado de registro.escolha o acesso do acesso remoto VPN > de cliente de rede > a política do grupo, e o clique adiciona.adicionar um túnel em divisão para o server de CA.Expanda avançado, e selecione então o Split Tunneling.Escolha a lista da rede de túnel abaixo do menu da política, e o clique controla a fim adicionar o Access Control List.Selecione o cliente VPN SSL, e escolha o perfil para o certenroll do perfil do cliente transferir o menu. 3. Crie um outro grupo chamado certauth para o certificado de autenticação. 4. Crie um perfil de conexão do certenroll.escolha o acesso do acesso remoto VPN > de cliente de rede > os perfis de conexão de AnyConnect, e o clique adiciona.incorpore o grupo do certenroll ao campo dos pseudônimos.nota: O nome de pseudônimo deve combinar o valor usado no perfil de AnyConnect sob AutomaticSCEPHost. 5. Faça um outro perfil de conexão chamado certauth com certificado de autenticação. Este é o perfil de conexão real que é usado após o registro. 6. A fim certificar-se do uso do pseudônimo é permitida, verificação permite que o usuário selecione o perfil de conexão, identificado por seu pseudônimo, na página de login. Se não, DefaultWebVPNGroup é o perfil de conexão. Teste AnyConnect SCEP Use esta seção para confirmar se a sua configuração funciona corretamente. 1. Lance o cliente de AnyConnect, e conecte-o ao perfil do certenroll.anyconnect passa o pedido do registro ao server de CA com o SCEP.AnyConnect passa o pedido do registro diretamente e não atravessa o túnel, se o botão do certificado da obtenção é usado. 2. Este aviso aparece. Clique sim para instalar o usuário e o certificado de raiz do uso 3. Uma vez que o certificado é registrado, conecte ao perfil do certauth. Certificate o armazenamento em Microsoft Windows depois que

pedido SCEP 1. Clique o Iniciar > Executar > o mmc. 2. O clique adiciona/remove a pressão dentro. 3. Clique adicionam, e escolhem Certificados. 4. Adicionar meus Certificados da conta de usuário e da conta do computador.esta imagem mostra o certificado de usuário instalado na loja do certificado de Windows:Esta imagem mostra o certificado de CA instalado na loja do certificado de Windows: Troubleshooting Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração. Trabalhos do registro SCEP de AnyConnect somente quando o certificado de autenticação falhar. Se não se está registrando, verifique a loja do certificado. Se os Certificados são instalados já, suprima d e teste-os outra vez. O registro SCEP não trabalha a menos que o comando da porta de saída 443 da relação do certificado de autenticação SSL for usado.refira estes ao Bug da Cisco ID para mais informação:identificação de bug Cisco CSCtf06778 (clientes registrados somente) AnyConnect SCEP registra-se não trabalha com pelo AUTH 2 CERT do grupoidentificação de bug Cisco CSCtf06844 (clientes registrados somente) Registro SCEP de AnyConnect que não trabalha com o ASA pelo AUTH CERT do grupo Se o server de CA está na parte externa do ASA, certifique-se permitir o Hair-Pinning com o comando intra-interface da licença do same-security-traffic. Igualmente adicionar a parte externa e os comandos access-list nat segundo as indicações deste exemplo:nat (outside) 1 access-list natoutside extended permit ip 172.16.1.0 255.255.255.0 host 171.69.89.87Onde 172.16.1.0 está o pool e 171.69.89.87 de AnyConnect são o endereço IP do servidor de CA. Se o server de CA está no interior, certifique-se inclui-lo na lista de acessos do túnel em divisão para a política do grupo do certenroll. Neste documento, supõe-se que o server de CA está no interior.group-policy certenroll attributes split-tunnel-policy tunnelspecified split-tunnel-network-list value scep access-list scep standard permit 171.69.89.0 255.255.255.0 Informações Relacionadas Guia do administrador do Cisco AnyConnect VPN Client, liberação 2.4 Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback