отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Руководство по распределению нагрузки и кластеризации ASA VPN путем развертывания цифровых сертификатов

”:


В этом документе описываются рекомендуемые методики и альтернативные сценарии развертывания решения для удаленного доступа ASA-5500 VPN в среде распределения нагрузки и кластеризации с использованием аутентификации с помощью цифровых сертификатов.

Для получения дополнительной информации о сервисах распределения нагрузки и кластеризации VPN высокой доступности в устройствах ASA ознакомьтесь с руководством по настройке по адресу http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/vpnsysop.html#wp1048834. Проверить наличие новых версий документа можно на сайте cisco.com.

Для получения дополнительной информации о настройке сертификатов на устройствах ASA ознакомьтесь с руководством по настройке по адресу

http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/cert_cfg.html. Проверить наличие новых версий документа можно на сайте cisco.com.

I. Рекомендуемые процедуры развертывания с одним сертификатом UCC

Основные этапы

1) Получите один сертификат UCC (Unified Client Certificate) с несколькими SAN (Subject Alternative Name extensions) (расширениями для альтернативных имен объектов), включающими имена FQDN и/или IP-адреса для каждой системы ASA.

Таким образом, нужно получить один сертификат UCC с CN для имени FQDN и/или IP-адреса кластера и именами SAN для каждой системы ASA в этом кластере: имя FQDN и/или IP-адрес для ASA-1, имя FQDN и/или IP-адрес для ASA-2 и т. д. Некоторые поставщики PKI и/или сертификатов, такие как Entrust.com, поддерживают UCC (сертификаты SSL на несколько доменов для клиентов Unified Client).

Примечание. Система ASA не может сгенерировать запрос на подпись сертификата (Certificate Signing Request (CSR)) с несколькими именами SAN (CSCso70867 — это запрос на усовершенствование для осуществления этой функциональной возможности), следовательно, необходимо, чтобы поставщик CA/PKI отправил запрос на регистрацию от вашего имени.


2) В мастере настройки ASA сконфигурируйте один центр сертификации <имя>, указывающий на виртуальную систему или кластер.

Пример команд для интерфейса командной строки (Command Lind Interface (CLI)) приведен ниже.

crypto ca trustpoint asa-cluster
subject-name CN=asa-cluster.company.com,OU=Department,O=Company,L=City,ST=Massachusetts,C=US
enrollment terminal



Теперь импортируйте сертификат, полученный от поставщика CA/PKI команда:



crypto ca import certificate command.

Адаптивное устройство обеспечения безопасности требует поместить сертификат в терминал в формате base-64.

3) Затем экспортируйте центр сертификации в формате pkcs12 (экспортируется сертификат и ключ).

crypto ca export asa-cluster pkcs12 <парольная_фраза>


Скопируйте результат выполнения и сохраните его в текстовом файле.

4) Затем импортируйте pkcs12 на каждый член ASA в кластере

crypto ca import asa-cluster pkcs12 <парольная_фраза>

5) Сконфигурируйте все команды ssl <interface и ssl outside vpnloadbalanced, с указанием на импортированный центр сертификации"<имя>".

6) Инициируйте сеанс удаленного доступа VPN (клиенты IPsec, клиент AnyConnect SSL, доступ по технологии SSL VPN без установки клиента с помощью браузера) с виртуальным IP-адресом (VIP) или FQDN с распределением нагрузки.

II. Альтернативное использование нескольких сертификатов или групповых сертификатов

  • A) Требуется n+1 IP-адрес и/или имя DNS-FQDN и n+1 сертификат.

В приведенном ниже примере развертывается кластер на два узла, следовательно, необходимо 3 IP-адреса и/или имени DNS-FQDN.

— Требуется три сертификата (один для кластера ASA, один для ASA1 и один для ASA2).

  • B) Один групповой сертификат

При наличии сертификатов UUC и групповых сертификатов, предпочтение отдается сертификатам UUC. По словам одного из поставщиков, Entrust, для этого есть 2 основные причины.

  1. Сертификат UCC обеспечивает более надежную безопасность, чем групповые сертификаты, поскольку в сертификатах Entrust UC Certificate точно указывается, какие именно хосты и домены защищены.
  2. Сертификат UCC более универсален, чем групповой сертификат, поскольку сертификаты Entrust UC Certificate не ограничены одним доменом.

Процедура использования нескольких сертификатов приведена ниже.

Пример настройки с использованием двух систем ASA, функционирующих как кластер с распределением нагрузки, для которого используется несколько сертификатов.

VPN cluster IP address:     10.10.1.1
ASA1 outside IP:            10.10.1.2
ASA2 outside IP:            10.10.1.3


Конфигурация DNS (домен = company.com):

hostname:          IP:
asa-cluster        10.10.1.1
asa1               10.10.1.2
asa2               10.10.1.3


Конфигурация с распределением нагрузки VPN (на всех системах ASA в кластере)

vpn load-balancing
redirect-fqdn enable
cluster ip address 10.10.1.1
participate

Разрешение имен. Если используется настройка redirect-fqdn enable, система ASA для перенаправления использует вместо IP-адрес имя хоста. Для этого *необходимо*, чтобы в используемой системе DNS для ее функционирования имелись соответствующие обратные записи dns имен хоста, и чтобы разрешение выполнялось системой ASA, а не клиентом. Эта настройка нужна для того, чтобы избежать отображения всплывающего окна с предупреждениями о несоответствии имени хоста.

В том, что разрешение имен выполняется на ASA, можно убедиться, введя команду ping для имен FQDN кластера и всех входящих в него систем. Чтобы перенаправление выполнялось надлежащим образом, все члены кластера ASA должны быть в состоянии разрешить эти имена.

Чтобы обойти эту проблему, можно поместить имена в саму систему ASA для разрешения соответствующих адресов, если использование DNS невозможно.

Пример

name 10.10.1.1 asa-cluster.example.com
name 10.10.1.2 asa1.example.com              
name 10.10.1.3 asa2.example.com    

После этого у системы ASA появится возможность разрешать имена asa-cluster.example.com, asa1.example.com и asa2.example.com. Чтобы убедиться в этом, можно ввести команду ping для всех 3 адресов. ICMP-протокол может не работать, но у системы ASA должна быть возможность предоставить IP-адрес для каждого имени. Если это не так, проверьте разрешение имен снова, поскольку без него конструкция redirect-fqdn работать не будет.


Настройка центров сертификации

1) Центр сертификации для сертификата ID asa1


crypto ca trustpoint myca
subject-name CN=asa1.company.com,OU=Department,O=Company,L=City,ST=Massachusetts,C=US

Также можно добавить CN=<asa1 IPAddress> в указанное выше доменное имя.

2) Центр сертификации для сертификата ID asa2


crypto ca trustpoint myca
subject-name CN=asa2.company.com,OU=Department,O=Company,L=City,ST=Massachusetts,C=US

Также можно добавить CN=<asa2 IPAddress> в указанное выше доменное имя.

3) Центр сертификации для распределения нагрузки — после настройки в любой системе ASA его можно импортировать во все системы ASA в кластере


crypto ca trustpoint asa-cluster
subject-name CN=asa-cluster.company.com,OU=Department,O=Company,L=City,ST=Massachusetts,C=US

Также можно добавить CN=<asa-cluster IPAddress> в указанное выше доменное имя.

4) Экспорт и импорт центра сертификации для распределения нагрузки на компоненты ASA

После аутентификации и регистрации центра сертификации (при наличии обоих сертификатов CA и ID) его можно экспортировать на pkcs12 и импортировать на все компоненты ASA кластера с распределением нагрузки, воспользовавшись для этого следующей процедурой.


а. Экспортируйте центр сертификации (сертификатов и ключей) в защищенный паролем формат pkcs12.

crypto ca export asa-cluster pkcs12 <парольная_фраза>


Скопируйте результат выполнения и сохраните его в текстовом файле.


б. Импортируйте pkcs12 в другие системы ASA

crypto ca import asa-cluster pkcs12 <парольная_фраза>


Для завершения процесса скопируйте в командную строку данные pkcs12 и введите команду quit.

Примечание. В процессе экспорта и импорта выполняется только миграция сертификатов и пары ключей с одного устройства на другое. Все необходимые настройки центра сертификации (такие как проверка отзыва, параметры CRL и т. п.) нужно задать вручную повторно.

Важное примечание. В версиях, предшествующих версии 8.0(3)6, центр сертификации только с сертификатом ID, невозможно было экспортировать надлежащим образом. Это создавало проблему, поскольку в ASDM сертификаты ID и CA помещались в 2 разные центра сертификации. Наиболее вероятная проблема, которая может возникнуть при импорте сертификата кластера в компонент кластера: импорт выполняется успешно, но сертификат не отображается. Вернитесь в систему ASA, которая выдала CSR для сертификата кластера, и выполните аутентификацию соответствующего центра cертификации, выдав сертификат, а затем повторив его экспорт. Дополнительную информацию см. в документе CSCsl59266.


На этом этапе сертификаты кластера ASA установлены и их можно использовать для надлежащей идентификации SSL-зaпросов, которые поступают на IP-адрес или имя хоста кластера.

Настройка SSL для использования сертификата для распределения нагрузки

ssl trust-point myca outside
ssl trust-point asa-cluster outside vpnlb-ip

III.  Возможность подключения клиента с помощью браузера для SSL VPN без предварительной установки программ-клиентов


Клиент можно подключить с помощью браузера (SSL VPN без установки программ-клиентов), как описано ниже

а. На клиенте выполняется переход по адресу https://asa-cluster.company.com, а система ASA отправляет свой сертификат ID клиенту. Примечание. При включенной аутентификации сертификата во всплывающем окне браузера на клиенте отобразится запрос на выбор сертификата ID.

— Эмитент сертификата ASA должен быть доверенным для клиента и, следовательно, не должен создавать проблем.

— Имя, по которому выполняется переход (asa-cluster.company.com), — это имя сертификата кластера ASA, следовательно, проблем с несоответствием имени хоста быть не должно.


б. Мастер кластера определяет оптимальную систему ASA для перенаправления (в данном примере это ASA2), и отправляет на клиент запрос o перенаправлении.


в. Клиент инициирует новое подключение к https://asa2.company.com в фоновом режиме, а ASA2 отправляет на клиент сертификат ID.

— Эмитент сертификата ASA должен быть доверенным для клиента и, следовательно, не должен создавать проблем.

— Имя, по которому выполняется переход (asa2.company.com), — это имя сертификата ASA2, следовательно, проблем с несоответствием имени хоста быть не должно.


г. Возможности клиента зависят от настройки аутентификации.

— Только аутентификация, авторизация и учет (AAA) — на клиенте выводится запрос на аутентификацию при входе на портал и/или выборе группы (если заданы настройки tunnel-group-list enable и group-alias)

— Аутентификация сертификата только с помощью конструкции group-url или certificate map — клиент подключается, и для него доступны портал/гиперссылки webvpn и т. д.

— Аутентификация сертификата только без конструкции group-url или certificate map (вместо этого включена настройка group-alias) — клиент должен выбрать группу на портале и нажать "подключить". Подключение завершено.

— Аутентификация, авторизация и учет + аутентификация сертификата, с конструкциями group-url или certificate map — выполняется аутентификация сертификата, а затем на клиенте отобразится запрос на аутентификацию, авторизацию и учет; после ввода соответствующих данных подключение будет завершено.

— Аутентификация, авторизация и учет + аутентификация сертификата, без конструкций group-url или certificate map (вместо этого включена конструкция group-alias) — на клиенте отображается запрос на аутентификацию, авторизацию и учет, а также выбор группы (если задана настройка tunnel-group-list enable); после ввода соответствующих данных подключение будет завершено.

История версий
Редакция №
1 из 1
Последнее обновление:
‎12-06-2011 06:32 AM
Автор обновления:
 
Метки (1)
Теги (2)