如何指导:思科ASA SSLVPN使用证书2因素认证

在过去的一年中，我看到了使用数字证书进行双因素认证的巨大转变。当然，令牌仍然是这一功能的市场份额领导者，但证书由于其低廉的成本和易于管理和部署的进步正在取得进展。思科ASA支持认证已经有很长一段时间了，但直到去年我才看到主流公司开始大量利用这一功能。本技术提示将指导您如何使用证书快速设置用于双因素身份验证的ASA。在此过程中，我将向您展示如何配置ASA的内置证书颁发机构(CA)服务器。当然，您可以在生产环境中始终使用(可能也应该使用)外部CA服务器。我推荐使用microsoft CA服务器;你可以在http://www.Cisco.com/go/asa上找到如何同时使用ASA和MSFT CA的配置示例。我们出发吧!首先，确保您在ASA上设置了基础。配置您的接口，路由，时钟，时区，NTP服务器，域名和NAT豁免sslvpn anyconnect客户端地址池。如果您正在使用NAT控制或池属于现有的NAT规则，则只需配置NAT豁免。在使用基于证书的身份验证时，有一个可靠的时钟是非常重要的。请确保设置了NTP，并检查它是否与显示国家结核控制规划状态命令。

接下来，我们需要配置我们的ASA CA服务器。在ASDM中执行“配置>远程接入VPN >证书管理>本地证书颁发机构”。单击CA服务器。检查是否启用CA服务器。填写表格。1)检查“创建证书颁发机构服务器”2)输入一个强密码短语，以保护您的新根证书3)其余部分的形式在默认值4)在“SMTP服务器”下输入您的企业SMTP邮件服务器的IP地址。这将用于向新用户发送注册电子邮件。它向他们提供如何获得新身份证明的说明。Email方式是获取用户证书的首选方式。但是，可以手动完成，稍后我将描述这一点。5)添加一个“发件人地址”和电子邮件的主题行6)单击应用

在ASA上配置受信任的身份证书。重要的是，您要为ASA使用来自可信CA源的身份证书。ASA身份证书是ASA将分发给连接到它的sslvpn客户端的证书。为了使一切正常工作，证书必须与ASA主机名/IP地址匹配。同样，最终用户客户端必须信任生成ASA的身份证书的CA。自签名或其他不受信任的CA证书适用于测试，但不适用于生产。事实上，我建议您在没有完整的“真正的”ASA身份证书的情况下，甚至不必费心进行测试。当您稍后转换证书时，可能会出现太多错误。在ASDM中，如果你愿意，你可以从Entrust那里注册一个特殊的推广证书，但是任何可信的公共CA都可以做到这一点。要在ASA上配置身份证书，请执行以下步骤:1)首先获取身份证书。确保它是PKCS12格式的。 Also, be sure it includes the complete证书链。2)进入“配置>远程接入VPN >证书管理>身份证书”。3)如果您的ASA将在DNS中，那么您可以使用FQDN作为证书中的标识符。如果它不在DNS中(仅在测试期间，对于生产环境，它必须在DNS中)，那么一定要使用IP地址作为标识符。

这是你做的!但是，如果您需要通过使用证书签名请求的方式来完成，那么请继续进行下面的设置5到结束。5)如果你需要从ASA生成一个证书签名请求，那么不是执行第2步，而是执行下面的操作。

6)如果你将只使用IP地址进入ASA，那么一定要点击高级，填写IP地址字段。7)完成后单击“添加证书”。8)现在点击导出。这将给你一个证书请求，你可以交付给你的CA。9)一旦你的CA给你一个证书，回到这里点击安装。浏览他们给你的文件并安装它。10)你做的!现在我们需要在ASA上设置我们的SSLVPN。在本例中，我将只做Cisco Anyconnect设置。最简单的方法是在ASDM中使用sslvpn向导。所以现在去那里(顶部栏>向导> sslvpn)。我保持简单，使用本地用户数据库，但可以随意使用ldap或radius进行身份验证。

现在我们需要返回到连接配置文件，并使用证书启用双因素身份验证。进入“配置>远程接入VPN >网络(客户端)接入> AnyConnect连接配置文件”。编辑您刚刚创建的配置文件。在Authentication部分选择“Both”。这将启用用户名/密码检查和证书检查。单击Apply。你完成了。

接下来将用户添加到CA服务器。对于创建的每个用户，CA服务器将为该用户创建一个唯一的身份证书。然后用户需要在他们的计算机上安装该证书。进入“配置>远程接入VPN >证书管理>本地证书颁发机构>管理用户数据库”。1)单击“添加”。确保包含主题名称。如果您将使用用户名预填写，那么一定要在主题中包含用户名，即CN=

．

3)下一步点击“电子邮件OTP”。然后ASA将向该用户发送注册电子邮件。然后，他们可以点击电子邮件中的链接，在他们的电脑上安装证书。4)可选:如果您希望手动注册并获得您的证书，而不需要电子邮件，那么可以访问https://

/ + CSCOCA + / enroll.html。然后按照说明去做。不过，你仍然需要随时准备好一次性密码(OTP)。您可以在ASDM中通过选择用户证书并点击“查看OTP”来查看OTP。

可选:从证书中预填写用户名．这个特性对于确保每个身份证书都与用户名/密码匹配非常有用。它阻止某人输出他们的证书并将其交给他们的朋友。当然，即使启用了预填充功能，他们仍然可以这样做，但之后他们还必须给他们密码。大多数用户不愿意分享他们的密码，因为他们的密码可能与许多其他帐户和程序相连。若要启用预填充功能，请跳转到“配置>远程接入VPN > Network (Client) Access > AnyConnect连接配置文件”。突出显示个人资料并点击编辑。进入“Advanced > Authentication”。勾选“从证书中预填写用户名”。然后选择最好的方法在证书中找到确切的用户名属性。 Common ones are CN and UPN.

这是它。玩得开心，如果你有任何问题请告诉我。

这里提供的意见和信息是我个人的观点，而不是我的雇主。我绝不是我雇主的官方发言人。

Jamey Heary报道。 刷信用卡:小偷如何在你不知情的情况下窃取你的信用卡信息 Nexus One vs.十大手机安全要求 你为什么总要把登机牌撕了 视频租赁记录比您的在线数据提供更多的隐私保护 关于新的SSL攻击的真相 2009年IT安全城市传奇/a>去 杰米的博客 更多关于安全的文章。

*

*

*

*

*

*