Configuração de SCEP Proxy no ASA

 

Configuração de SCEP Proxy no ASA

 

Introdução

O seguinte documento tem a intenção de mostrar um exemplo de configuração de  SCEP Proxy no ASA, para usuários de Anyconnect que utilizam um  certificado enviado por um servidor  do Windows.

A autenticação do usuário é feita por dois fatores. O primeiro pode ser usando a base de dados local do ASA ou outros métodos como é LDAP ou RADIUS.

O  método secundário de autenticação será através do certificado  emitido pelo servidor do Windows.

 


Operação de SCEP Proxy

1. Quando um usuário ligar ao ASA pela primeira vez, este é autenticado utilizando o perfil pré-configurado.

2. ASA roda um pedido de certificado ao servidor do Windows em nome do cliente.

3. O cliente obtém o certificado e é desconectado da sessão.

4. O cliente pode-se conectar usando agora o certificado.



Requisitos

1. Criação de um perfil para o primeiro login do usuário e enviá-lo para a flash do ASA.

Aqui está um exemplo:

 

<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
    <ClientInitialization>
        <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
        <AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection>
        <ShowPreConnectMessage>false</ShowPreConnectMessage>
        <CertificateStore>Machine</CertificateStore>
        <CertificateStoreOverride>false</CertificateStoreOverride>
        <ProxySettings>Native</ProxySettings>
        <CertificateEnrollment>
            <CertificateExpirationThreshold>1040</CertificateExpirationThreshold>
            <AutomaticSCEPHost>x.x.x.x</AutomaticSCEPHost>
            <CAURL PromptForChallengePW="false" >http://1.1.1.1/CertSrv/mscep/mscep.dll</CAURL>
            <CertificateSCEP>
                <CADomain>cisco.com</CADomain>
                <Company_O>cisco</Company_O>
                <City_L>Mexico</City_L>
            </CertificateSCEP>
        </CertificateEnrollment>
        <EnableAutomaticServerSelection UserControllable="true">true
            <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
            <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
        </EnableAutomaticServerSelection>
        <RetainVpnOnLogoff>false
        </RetainVpnOnLogoff>
    </ClientInitialization>
</AnyConnectProfile>

 

2. Configure um trustpoint no ASA para obter o certificado do servidor  Windows

Exemplo:

crypto ca trustpoint CA_Trustpoint
 enrollment url http://1.1.1.1:80/certsrv/mscep/mscep.dll
 fqdn vpn.cisco.com

crypto ca authenticate CA_Trustpoint

crypto ca enroll CA_Trustpoint

 

3. Execute as configurações no servidor do Windows

Você deve modificar o template do servidor Windows  para este  incluir o campo de EKU (Extended Key Usage), necessário para a verificação do certificado.

http://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-software/116068-configure-product-00.html

 

4. Configurando AnyConnect.

Nota: Alguns comandos foram omitidos para simplificar a configuração.

 

webvpn
enable OUTSIDE
 anyconnect-essentials
 anyconnect image disk0:/anyconnect-macosx-i386-3.1.05160-k9.pkg 1
 anyconnect image disk0:/anyconnect-win-3.1.05160-k9.pkg 2
 anyconnect image disk0:/anyconnect-linux-3.1.05160-k9.pkg 3
 anyconnect profiles PROFILE disk0:/PROFILE.xml ---- perfil criado
 anyconnect enable
 tunnel-group-list enable
 tunnel-group-preference group-url
!
group-policy ANYCONNECT_POLICY internal
group-policy ANYCONNECT_POLICY attributes
 wins-server none
 vpn-tunnel-protocol ikev2 ssl-client
 split-tunnel-network-list value ACL-SPLIT
 default-domain value cisco.com
 scep-forwarding-url value http://1.1.1.1/certsrv/mscep/mscep.dll -- ativar servidor CA
webvpn
  anyconnect profiles value PROFILE type user
--- colocar perfil
!
tunnel-group ANYCONNECT_TUNNEL  general-attributes
 username-from-certificate CN
 authorization-required
scep-enrollment enable --- ativar scep proxy
address-pool POOL
authentication-server-group SERVER  --- primer método de autenticação
authorization-server-group SERVER  
default-group-policy ANYCONNECT_POLICY
!
tunnel-group ANYCONNECT_TUNNEL   webvpn-attributes
 authentication aaa certificate
group-alias ANYCONNECT_TUNNEL   enable

 

Solução de problemas

Os seguintes comandos de show e debugs são usados ​​para resolver problemas com SCEP. Na maioria das vezes, os problemas estão relacionados com o certificado.

 

show commands

 show crypto ca certificate

 show vpn-sessiondb anyconnect

 

debugs

debug webvpn 255

debug webvpn anyconnect 255

debug crypto ca 255

debug crypto ca messages 255

debug crypto ca transactions 255

debug crypto scep-proxy 255

 

Referências

 

http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect30/administration/guide/anyconnectadmin30/ac03vpn.html#pgfId-1495929

 

http://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config/access_certs.html#wp1676563

 

 

 

 

Histórico de versão
Revisão #
1 de 1
Última actualização:
‎06-10-2014 11:25 AM
Actualizado por:
 
Etiquetas (1)