configurar o asa como um server de ca e um final do ... · crie e adicionar usuários ao base de...

Configurar o ASA como um server de CA e umfinal do cabealho locais de AnyConnect ndice

IntroduoPr-requisitosRequisitosComponentes UtilizadosInformaes de ApoioConfigurarDiagrama de RedeASA como um server local de CAEtapa 1. Configurar e permita o server local de CA no ASAEtapa 2. Crie e adicionar usurios ao base de dados ASAEtapa 3. Permita o webvpn na interface WANEtapa 4. Importe o certificado na mquina clienteASA como um gateway SSL para clientes de AnyConnectWizard de configurao ASDM AnyConnectConfigurar o CLI para AnyConnectVerificarTroubleshootingInformaes Relacionadas

Introduo

Estedocumento descreve como setup uma ferramenta de seguranaadaptvel de Cisco (ASA)como um server do Certificate Authority (CA) e como um gateway do secure sockets layer (SSL)para Clientes de mobilidade Cisco AnyConnect Secure.

Pr-requisitos

Requisitos

A Cisco recomenda que voc tenha conhecimento destes tpicos:

Configurao bsica ASA que executa a verso de software 9.1.xASDM 7.3 ou mais alto

Componentes Utilizados

As informaes neste documento so baseadas nestas verses de software e hardware:

Cisco 5500 Series ASA que executa a verso de software 9.1(6)

Verso de cliente segura 4.x da mobilidade de AnyConnect para WindowsPC que executa um OS apoiado pela carta da compatibilidade.Verso 7.3 do Cisco Adaptive Security Device Manager (ASDM)

Note: Faa download do pacote do AnyConnect VPN Client (anyconnect-win*.pkg) doDownload de Software Cisco (somente clientes registrados). Copie o AnyConnect VPNclient para a memria flash do ASA, a qual ser transferida para os computadores dousurio remoto a fim de estabelecer a conexo VPN SSL com o ASA. Consulte a seoInstalao do AnyConnect Client do guia de configurao do ASA para obter maisinformaes.

As informaes neste documento foram criadas a partir de dispositivos em um ambiente delaboratrio especfico. Todos os dispositivos utilizados neste documento foram iniciados com umaconfigurao (padro) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impactopotencial de qualquer comando.

Informaes de Apoio

O Certificate Authority no ASA fornece estas funcionalidades:

Integra a operao bsica do Certificate Authority no ASA.Distribui Certificados.Fornece a verificao segura da revogao de Certificados emitidos.Fornece um Certificate Authority no ASA para o uso as conexes de VPN do navegador-based(WebVPN) e do cliente-based(AnyConnect) SSL.

Certificados digitais confiados Provides aos usurios, sem a necessidade de confiar naautorizao externo do certificado.

Fornece uma autoridade segura, da em-casa para o certificado de autenticao e um registrodireto do usurio das ofertas por meio de um incio de uma sesso do Web site.

Diretrizes e limitaes

Apoiado no modo de firewall roteado e transparente.Somente um server de CA do local de cada vez pode ser residente em um ASA.O ASA como uma caracterstica local do server de CA no apoiado em uma instalao doFailover.

O ASA a partir de agora que atua como um server local de CA apoia somente a gerao dosCertificados SHA1.

O server local de CA pode ser usado para conexes de VPN com base em navegador ecliente-baseadas SSL. Atualmente no apoiado para o IPsec.

No apoia o Balanceamento de carga VPN para CA local.CA local no pode ser um subordinado a um outro CA. Pode atuar somente como a CA raiz.Atualmente o ASA no pode registrar a CA o server local para o certificado de identidade.Quando um certificado de registro terminado, o ASA armazena um arquivo do PKCS12 quecontm o keypair e o certificate chain do usurio, que exige aproximadamente 2 KB damemria Flash ou do espao de disco pelo registro. A quantidade real do espao de discodepende dos campos configurados do tamanho chave e do certificado RSA. Mantenha estadiretriz na mente ao adicionar um grande nmero certificados de registro pendentes em umASA com uma quantidade limitada de memria Flash disponvel, porque estes arquivos do

/content/en/us/td/docs/security/asa/compatibility/asa-vpn-compatibility.html#pgfId-274598//www.cisco.com/cgi-bin/tablebuild.pl/anyconnect//tools.cisco.com/RPF/register/register.do/content/en/us/td/docs/security/asa/asa91/configuration/vpn/asa_91_vpn_config/vpn_anyconnect.html

PKCS12 so armazenados na memria Flash para a durao do intervalo configurado darecuperao do registro.

Configurar

Esta seo descreve como configurar Cisco ASA como um server local de CA.

Note: Use a Command Lookup Tool ( somente clientes registrados) para obter maisinformaes sobre os comandos usados nesta seo.

Diagrama de Rede

ASA como um server local de CA

Etapa 1. Configurar e permita o server local de CA no ASA

Navegue ao > gerenciamento de certificado da configurao > do acesso remoto VPN >Certificate Authority local > server de CA. Verifiquea opo Server do Certificate Authority dapossibilidade.

Configurar a frase de passagem. A frase de passagem deve ser um mnimo, os carteres 7que seja usado para codificar e salvar um arquivo do PKCS12 que inclua o certificado de CAe o par de chaves locais. A frase de passagem destrava o arquivo do PKCS12 se ocertificado de CA ou o keypair so perdidos.

Configurar o nome de emissor. Este campo apareceria comoo CN do certificado de raiz. Istopode ser especificado no seguinte formato: CN (Common Name), OU (unidade daorganizao), (O) organizao, L (localidade), S (estado) e C (pas).

Configurao opcional: Configurar o servidor SMTP e os ajustes do servidor de e-mail paraassegurar o OTP poderiam ser recebidos para terminar clientes atravs do correio paraterminar o registro. Voc pode configuraro hostname ou o endereo IP de Um ou MaisServidores Cisco ICM NT de seu server local Email/SMTP. Voc pode igualmente configurar

//tools.cisco.com/Support/CLILookup/cltSearchAction.do//tools.cisco.com/RPF/register/register.do

do endereo e do campo de assunto do email que os clientes receberiam. revelia, doendereo o [email protected] o assunto convite do certificado de registro.

Configurao opcional:Voc pode configurar os parmetros opcionais como o tamanho dotamanho chave do cliente, da chave de servidor de CA, a vida da vida do certificado Ca e docertificado de cliente tambm.

Equivalente CLI:

ASA(config)# crypto ca server

ASA(config-ca-server)# issuer-name CN=ASA.local

ASA(config-ca-server)# subject-name-default CN=ASA.local

ASA(config-ca-server)# lifetime certificate 365

ASA(config-ca-server)# lifetime ca-certificate 1095

ASA(config-ca-server)# passphrase cisco123

ASA(config-ca-server)# no shutdown

% Some server settings cannot be changed after CA certificate generation.

Keypair generation process begin. Please wait...

Completed generation of the certificate and keypair...

Archiving certificate and keypair to storage... Complete

Estes so os campos adicionais que poderiam ser configurados sob a configurao do servidorlocal de CA.

CRLDistributionPoint URL

Este o lugar CRL no ASA.O local padro http://hostname.domain/+CSCOCA+/asa_ca.crl mas a URL poderiaser alterada.

RelaoPublicar-CRL eporta

Para fazer o CRL disponvel para a transferncia HTTP em uma dada interface e emuma porta, escolha uma relao publicar-CRL da lista de drop-down. Entre ento nonmero de porta, que pode ser qualquer nmero de porta de 1-65535. O nmero deporta padro a porta TCP 80.

Tempo vida deCRL

As atualizaes locais de CA e reeditam o CRL cada vez que um certificado de usurio revogado ou unrevoked, mas se h nenhuma revogao muda, o CRL reeditadaautomaticamente uma vez que cada tempo vida de CRL, o perodo de tempo ondevoc especifica como crlcommand da vida durante a configurao local de CA. Se

http://hostname.domain/+CSCOCA+/asa_ca.crl

voc no especifica um tempo vida de CRL, o perodo de tempo padro seis horas.Local dearmazenamentodo base dedados

Os acessos ASA e os implementares informao sobre o usurio, Certificadosemitidos, e listas de revogao usando um base de dados local de CA. Este base dedados reside na memria Flash local revelia, ou pode ser configurado para residir emum sistema de arquivos externo que seja montado e acessvel ao ASA.

Nome do sujeitodo padro

Incorpore um assunto do padro (corda DN) para adicionar a um username emCertificados emitidos. Os atributos permitidos DN so fornecidos nesta lista: CN (Common Name) SN (sobrenome) O (nome de organizao) L (localidade) C (pas) OU (unidade da organizao) EA (endereo email) ST (estado/provncia) T (ttulo)

Perodo deregistro

Ajusta o limite de tempo do registro nas horas dentro de que o usurio poderiarecuperar o arquivo do PKCS12 do ASA.O valor padro 24 horas.Note: Se o perodo de registro expira antes que o usurio recupere o arquivo doPKCS12 que inclui o certificado de usurio, o registro no permitido.

Uma expiraode senha dotempo

Define a quantidade de tempo nas horas que o OTP vlido para o registro dousurio. Este perodo de tempo comea quando permitido ao usurio se registrar. Ovalor do defaut 72 horas.

Lembrete daexpirao docertificado

Especifica o nmero de dias antes que o certificado expire que um lembrete inicial aoreenroll est enviado para certificate proprietrios.

Etapa 2. Crie e adicionar usurios ao base de dados ASA

Navegue ao > gerenciamento de certificado da configurao > do acesso remoto VPN >Certificate Authority local > controlam o usurio que Database.Click adicionam.

Especifique o usurio detalha a saber o username, o email ID e o nome do sujeito, segundoas indicaes desta imagem.

Assegure-se de que que reserva o registro verificado de modo que seja permitido voc seregistrar para o certificado.

O clique adiciona o usurio para terminar a configurao do usurio.Equivalente CLI:

ASA(config)# crypto ca server user-db add user1 dn CN=user1,OU=TAC email [email protected]

Depois que o usurio adicionado base de dados de usurio, o estado do registro estmostrado como reservado registrar-se.

CLI para verificar o estado do usurio:

ASA# show crypto ca server user-db

username: user1

email: [email protected]

dn: CN=user1,OU=TAC

allowed: 19:03:11 UTC Thu Jan 14 2016

notified: 1 times

enrollment status: Allowed to Enroll

Depois que o usurio foi adicionado base de dados de usurio, a uma senha do tempo(OTP), para que o usurio termine o registro, pode ser fornecida usando qualquer um isto:

Envie por correio eletrnico o OTP (exige o servidor SMTP e enviam por correio eletrnico osajustes a ser configurados sob a configurao do servidor de CA).

OU

Veja diretamente o OTP e a parte com o usurio clicando em View/Re-generate OTP. Isto podeigualmente ser usado ao regenrate o OTP.

Equivalente CLI:


username: user1


dn: CN=user1,OU=TAC


notified: 1 times


Etapa 3. Permita o webvpn na interface WAN

Permita o acesso Webno ASA para que os clientes peam para o registro.


username: user1


dn: CN=user1,OU=TAC


notified: 1 times


Etapa 4. Importe o certificado na mquina cliente

Na estao de trabalho cliente abra um navegador e navegue ao link a fim terminar o registro.O IP/FQDN usado neste link deve ser o IP da relao em que o webvpn permitido nessaetapa, que Internet da relao.

https:///+CSCOCA+/enroll.html

Incorpore o username (configurado no ASA sob etapa 2, a opo A) e o OTP, que foifornecido atravs do email ou manualmente.

https://%3cASA

Clique aberto para instalar diretamente o certificado de cliente recebido do ASA.A frase de passagem para instalar o certificado de cliente mesma como o OTP recebeumais cedo.

Clique em Next.

Deixe o trajeto como o padro e clique-o em seguida.

Incorpore o OTP ao campo de senha.Voc pode selecionar a opo para marcar esta chave como exportable de modo que achave pudesse ser exportada da estao de trabalho no futuro se for necessrio.

Clique em seguida

Voc pode manualmente instalar o certificado em uma loja particular do certificado ou deix-lo para escolher automaticamente a loja.

Clique em Next.

Revestimentodo cliquea fim terminar a instalao.

Uma vez que o certificado instalado com sucesso, voc pode verific-lo.

Abra o IE e navegue s ferramentas > s opes de internet.

Navegue para satisfazer a aba e clicarCertificados, segundo as indicaes desta imagem.

Sob a loja pessoal, voc pode ver o certificado recebido do ASA.

ASA como um gateway SSL para clientes de AnyConnect

Wizard de configurao ASDM AnyConnect

A configurao Wizard/CLI de AnyConnect pode ser usada a fim configurar o cliente seguro damobilidade de AnyConnect. Assegure-se de que um pacote do cliente de AnyConnect estejatransferido arquivos pela rede ao flash/disco do Firewall ASA antes que voc continue.

Termine estas etapas a fim configurar o cliente seguro da mobilidade de AnyConnect atravs dowizard de configurao:

O log no ASDM e navega aos wizard VPN de Wizards> > ao wizard VPN de AnyConnectpara lanar o wizard de configurao e a clic-los em seguida.

1.

2. D entrada com o nome do perfil de conexo, escolha a relao em que o VPN ser terminadoda interface de acesso VPN deixa cair para baixo o menu, e o clica em seguida.

3. Verifique a caixa de verificao SSL a fim permitir o secure sockets layer (SSL). O certificadodo dispositivo pode ser um certificado emitido Certificate Authority (CA) confiado da terceira parte(tal como Verisign, ou confie), ou um certificado auto-assinado. Se o certificado instalado j noASA, a seguir pode ser escolhido atravs do menu de gota para baixo.

Note: Este certificado o certificado do lado de servidor que ser apresentado pelo ASA aosclientes SSL. Se no h nenhum certificado de servidor instalado atualmente no ASA do queum certificado auto-assinado deve ser gerado, a seguir clique controlam.A fim instalar umcertificado da terceira, termine as etapas que so descritas no ASA 8.x instalammanualmente Certificados do vendedor da 3 parte para o uso com documento Cisco doexemplo de configurao WebVPN.Permitaos protocolos de VPN e o certificado dodispositivo.Clique em Next.

1.

4. O clique adiciona a fim adicionar o pacote do cliente de AnyConnect (arquivo .package) daunidade local ou do flash/disco do ASA.

O clique consulta o flash a fim adicionar a imagem da movimentao instantnea, ou atransferncia de arquivo pela rede do clique a fim adicionar a imagem da unidade local demquina host.

//www.cisco.com/c/pt_br/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert.html//www.cisco.com/c/pt_br/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert.html//www.cisco.com/c/pt_br/support/docs/security/asa-5500-x-series-next-generation-firewalls/98596-asa-8-x-3rdpartyvendorcert.html

Voc poderia transferir arquivos pela rede o arquivo AnyConnect.pkg do flash ASA/disco (seo pacote j l) ou da unidade local.

Consulte o flash para selecionar o pacote de AnyConnect do flash/disco ASA.Transferncia de arquivo pela rede para selecionar o pacote de AnyConnect da unidadelocal de mquina host.

Click OK.

Clique em Next.

5. A autenticao de usurio pode ser terminada atravs dos grupos de servidor doAuthentication, Authorization, and Accounting (AAA). Se os usurios so configurados j, a seguirescolha o LOCAL e clique-o em seguida. Mais adicionar um usurio base de dados de usuriolocal e clique-o em seguida.

Note: Neste exemplo, a autenticao local configurada, assim que significa que a base dedados de usurio local no ASA estar usada para a autenticao.

6. Assegure-se de que o conjunto de endereos para os clientes VPN esteja configurado. Se umpool IP configurado j ento selecione-o do menu de gota para baixo. Se no, clique novo a fimconfigurar. Uma vez que completo, clique em seguida.

Clique em Next.

7. Opcionalmente, configurar os server do Domain Name System (DNS) e os DN nos camposDNS e de Domain Name, e clique-os ento em seguida.

8. Assegure-se de que o trfego entre o cliente e a sub-rede interna deva estar isento de toda atraduo de endereo de rede dinmica (NAT). Permita o trfego isento VPN da caixa deverificao da traduo de endereo de rede e configurar a interface de LAN que ser usada paraa iseno. Tambm, especifique a rede local que deve ser isentada e clique em seguida.

9. Clique em Next.

10. A etapa final mostra o sumrio, revestimento do clique para terminar a instalao.

A configurao de cliente de AnyConnect est agora completa. Contudo, quando voc configuraAnyConnect atravs do wizard de configurao, configura o mtodo de autenticao como o AAA revelia. A fim autenticar os clientes atravs dos Certificados e do username/senha,o grupo detneis (perfil de conexo) deve ser configurado para usar Certificados e AAA como o mtodo deautenticao.

Navegue configurao > ao acesso do acesso remoto VPN > da rede (cliente) > aos perfisde conexo de AnyConnect.

Voc deve ver o perfil de conexo adicionado novo SSL_GRP alistado.

A fimconfigurar o AAA e o certificado de autenticao, para selecionar o perfil de conexoSSL_GRP e o clique edite.

Sob o mtodo de autenticao, selecione ambos.

Configurar o CLI para AnyConnect

!! *****Configure the VPN Pool*****

ip local pool VPN_Pool 10.10.10.1-10.10.10.200 mask 255.255.255.0

!! *****Configure Address Objects for VPN Pool and Local Network*****

object network NETWORK_OBJ_10.10.10.0_24

subnet 10.10.10.0 255.255.255.0

object network NETWORK_OBJ_192.168.10.0_24 subnet 192.168.10.0 255.255.255.0 exit !!

*****Configure WebVPN*****

webvpn enable Internet anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1 anyconnect

enable tunnel-group-list enable exit !! *****Configure User*****

username user1 password mbO2jYs13AXlIAGa encrypted privilege 2

!! *****Configure Group-Policy*****

group-policy GroupPolicy_SSL_GRP internal group-policy GroupPolicy_SSL_GRP attributes vpn-

tunnel-protocol ssl-client dns-server none wins-server none default-domain none exit !!

*****Configure Tunnel-Group*****

tunnel-group SSL_GRP type remote-access

tunnel-group SSL_GRP general-attributes

authentication-server-group LOCAL

default-group-policy GroupPolicy_SSL_GRP

address-pool VPN_Pool

tunnel-group SSL_GRP webvpn-attributes

authentication aaa certificate

group-alias SSL_GRP enable

exit

!! *****Configure NAT-Exempt Policy*****

nat (Inside,Internet) 1 source static NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24

destination static NETWORK_OBJ_10.10.10.0_24 NETWORK_OBJ_10.10.10.0_24 no-proxy-arp route-lookup

Verificar

Use esta seo para confirmar se a sua configurao funciona corretamente.

Note: A ferramenta Output Interpreter (clientes registrados somente) apoia determinadoscomandos de exibio. Use a ferramenta Output Interpreter a fim ver uma anlise doemissor de comando de execuo.

Assegure-se de que o server de CA esteja permitido.

mostre o server cripto Ca

ASA(config)# show crypto ca server

Certificate Server LOCAL-CA-SERVER:

Status: enabled

State: enabled

Server's configuration is locked (enter "shutdown" to unlock it)

Issuer name: CN=ASA.local

CA certificate fingerprint/thumbprint: (MD5)

32e868b9 351a1b07 4b59cce5 704d6615

CA certificate fingerprint/thumbprint: (SHA1)

6136511b 14aa1bbe 334c2659 ae7015a9 170a7c4d

Last certificate issued serial number: 0x1

CA certificate expiration timer: 19:25:42 UTC Jan 8 2019

CRL NextUpdate timer: 01:25:42 UTC Jan 10 2016

Current primary storage dir: flash:/LOCAL-CA-SERVER/

Auto-Rollover configured, overlap period 30 days

Autorollover timer: 19:25:42 UTC Dec 9 2018

WARNING: Configuration has been modified and needs to be saved!!

Assegure-se de que esteja permitido ao usurio o registro aps adicionar:

https://www.cisco.com/cgi-bin/Support/OutputInterpreter/home.pl//tools.cisco.com/RPF/register/register.do

*****Before Enrollment*****


username: user1


dn: CN=user1,OU=TAC


notified: 1 times

enrollment status: Allowed to Enroll >>> Shows the status "Allowed to Enroll"

*****After Enrollment*****

username: user1


dn: CN=user1,OU=TAC


notified: 1 times

enrollment status: Enrolled, Certificate valid until 19:18:30 UTC Tue Jan 10 2017,

Renewal: Allowed

Voc pode verificar os detalhes da conexo do anyconnect atravs do CLI ou do ASDM.

Atravs do CLI

mostre o anyconnect do detalhe VPN-sessiondb

ASA# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : user1 Index : 1

Assigned IP : 10.10.10.1 Public IP : 10.142.189.181

Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel

License : AnyConnect Essentials

Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128

Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1

Bytes Tx : 13822 Bytes Rx : 13299

Pkts Tx : 10 Pkts Rx : 137

Pkts Tx Drop : 0 Pkts Rx Drop : 0

Group Policy : GroupPolicy_SSL_GRP Tunnel Group : SSL_GRP

Login Time : 19:19:10 UTC Mon Jan 11 2016

Duration : 0h:00m:47s

Inactivity : 0h:00m:00s

NAC Result : Unknown

VLAN Mapping : N/A VLAN : none

AnyConnect-Parent Tunnels: 1

SSL-Tunnel Tunnels: 1

DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:

Tunnel ID : 1.1

Public IP : 10.142.189.181

Encryption : none Hashing : none

TCP Src Port : 52442 TCP Dst Port : 443

Auth Mode : Certificate and userPassword

Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes

Client OS : Windows

Client Type : AnyConnect

Client Ver : Cisco AnyConnect VPN Agent for Windows 4.2.00096




SSL-Tunnel:

Tunnel ID : 1.2


Encryption : RC4 Hashing : SHA1

Encapsulation: TLSv1.0 TCP Src Port : 52443

TCP Dst Port : 443 Auth Mode : Certificate and userPassword


Client OS : Windows

Client Type : SSL VPN Client





DTLS-Tunnel:

Tunnel ID : 1.3


Encryption : AES128 Hashing : SHA1

Encapsulation: DTLSv1.0 UDP Src Port : 59167

UDP Dst Port : 443 Auth Mode : Certificate and userPassword


Client OS : Windows

Client Type : DTLS VPN Client





NAC:

Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds

SQ Int (T) : 0 Seconds EoU Age(T) : 51 Seconds

Hold Left (T): 0 Seconds Posture Token:

Redirect URL :

Atravs do ASDM

Navegue monitorao > VPN > estatsticas de VPN > sesses.Escolha o filtro como por todo o Acesso remoto.Voc pode executar qualquer uma das aes para o cliente selecionado de AnyConnect.

Os detalhes fornecem mais informao sobre a sesso

Logout- para logout manualmente o usurio do final do cabealho

Sibile para sibilar o cliente de AnyConnect do final do cabealho

Troubleshooting

Esta seo fornece a informao que voc pode se usar a fim pesquisar defeitos sua

configurao.

Note: Consulte Informaes Importantes sobre Comandos de Depurao antes de usarcomandos debug.

Caution: No ASA, voc pode ajustar vrios nveis de debug; revelia, o nvel 1 usado. Sevoc muda o nvel de debug, a verbosidade do debuga pde aumentar. Faa isto comcuidado, especialmente nos ambientes de produo.

debug crypto caserver do debug crypto camensagens do debug crypto catransaes do debug crypto cadebugar o anyconnect do webvpn

Este resultado do debug mostra quando o server de CA permitido usandoo comando no shut.

ASA# debug crypto ca 255

ASA# debug crypto ca server 255

ASA# debug crypto ca message 255

ASA# debug crypto ca transaction 255

CRYPTO_CS: input signal enqueued: no shut >>>>> Command issued to Enable the CA server

Crypto CS thread wakes up!

CRYPTO_CS: enter FSM: input state disabled, input signal no shut

CRYPTO_CS: starting enabling checks

CRYPTO_CS: found existing serial file.

CRYPTO_CS: started CA cert timer, expiration time is 17:53:33 UTC Jan 13 2019

CRYPTO_CS: Using existing trustpoint 'LOCAL-CA-SERVER' and CA certificate

CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.ser

CRYPTO_CS: DB version 1

CRYPTO_CS: last issued serial number is 0x4

CRYPTO_CS: closed ser file

CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.crl

CRYPTO_CS: CRL file LOCAL-CA-SERVER.crl exists.

CRYPTO_CS: Read 220 bytes from crl file.

CRYPTO_CS: closed crl file

CRYPTO_PKI: Storage context locked by thread Crypto CA Server

CRYPTO_PKI: inserting CRL

CRYPTO_PKI: set CRL update timer with delay: 20250

CRYPTO_PKI: the current device time: 18:05:17 UTC Jan 16 2016

CRYPTO_PKI: the last CRL update time: 17:42:47 UTC Jan 16 2016

CRYPTO_PKI: the next CRL update time: 23:42:47 UTC Jan 16 2016

CRYPTO_PKI: CRL cache delay being set to: 20250000

CRYPTO_PKI: Storage context released by thread Crypto CA Server

CRYPTO_CS: Inserted Local CA CRL into cache!

CRYPTO_CS: shadow not configured; look for shadow cert

CRYPTO_CS: failed to find shadow cert in the db

CRYPTO_CS: set shadow generation timer

CRYPTO_CS: shadow generation timer has been set

CRYPTO_CS: Enabled CS.

CRYPTO_CS: exit FSM: new state enabled

CRYPTO_CS: cs config has been locked.

//www.cisco.com/en/US/tech/tk801/tk379/technologies_tech_note09186a008017874c.shtml

Crypto CS thread sleeps!

Este resultado do debug mostra o registro do cliente

ASA# debug crypto ca 255

ASA# debug crypto ca server 255

ASA# debug crypto ca message 255

ASA# debug crypto ca transaction 255

CRYPTO_CS: writing serial number 0x2.


CRYPTO_CS: Writing 32 bytes to ser file

CRYPTO_CS: Generated and saving a PKCS12 file for user user1

at flash:/LOCAL-CA-SERVER/user1.p12

O registro do cliente pode falhar sob estas condies:

Encenao 1.

O usurio criado na base de dados do servidor de CA sem a permisso registrar-se.

Equivalente CLI:

ASA(config)# show crypto ca server user-db

username: user1


dn: CN=user1,OU=TAC

allowed:

notified: 0 times

enrollment status: Not Allowed to Enroll

No caso onde no permitido ao usurio se registrar, tentando gerar/email o OTP para ousurio gerencie este Mensagem de Erro.

Encenao 2.

Verifique a porta e conecte-a em qual o portal do registro est disponvel usando o comandowebvpn da corrida da mostra. A porta padro 443 mas pode ser alterada.

Assegure-se de que o cliente tenha a alcanabilidade de rede ao endereo IP de Um ou MaisServidores Cisco ICM NT da relao em que o webvpn permitido na porta usada paraalcanar com sucesso o portal do registro.

O cliente pode no alcana o portal do registro do ASA nesses casos:

Se qualquer dispositivo intermedirio obstrui as conexes recebidas do cliente ao IP dowebvpn do ASA na porta especificada.

1.

O estado da relao est para baixo em que webvpn permitido.2.

Esta sada mostra que o portal do registro est disponvel no endereo IP de Um ou MaisServidores Cisco ICM NT do Internet da relao na porta feita sob encomenda 4433.

ASA(config)# show run webvpn

webvpn

port 4433

enable Internet

no anyconnect-essentials

anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1

anyconnect enable

tunnel-group-list enable

Encenao 3.

O local padro do armazenamento da base de dados do servidor de CA memria Flash doASA.

Assegure-se de que a memria Flash tenha o espao livre para gerar e salvar o arquivo dopkcs12 para o usurio durante o registro.

No caso onde a memria Flash no tem bastante espao livre, o ASA no termina o processodo registro do cliente e gerencie estes debuga logs:

ASA(config)# debug crypto ca 255

ASA(config)# debug crypto ca server 255

ASA(config)# debug crypto ca message 255

ASA(config)# debug crypto ca transaction 255

ASA(config)# debug crypto ca trustpool 255

CRYPTO_CS: writing serial number 0x2.


CRYPTO_CS: Writing 32 bytes to ser file

CRYPTO_CS: Generated and saving a PKCS12 file for user user1

at flash:/LOCAL-CA-SERVER/user1.p12

CRYPTO_CS: Failed to write to opened PKCS12 file for user user1, fd: 0, status: -1.

CRYPTO_CS: Failed to generate pkcs12 file for user user1 status: -1.

CRYPTO_CS: Failed to process enrollment in-line for user user1. status: -1

Informaes Relacionadas

Cisco ASA 5500 Series Adaptive Security AppliancesGuia de Troubleshooting do cliente VPN de AnyConnect - Problemas comunsControlando, monitorando, e pesquisando defeitos sesses de AnyConnectSuporte Tcnico e Documentao - Cisco Systems

//www.cisco.com/en/US/products/ps6120/tsd_products_support_series_home.html?referring_site=bodynav//www.cisco.com/c/pt_br/support/docs/security/asa-5500-x-series-next-generation-firewalls/100597-technote-anyconnect-00.html#anc89/content/en/us/td/docs/security/vpn_client/anyconnect/anyconnect30/administration/guide/anyconnectadmin30/ac12managemonitortbs.html//www.cisco.com/cisco/web/support/index.html?referring_site=bodynav

Configurar o ASA como um server de CA e um final do cabealho locais de AnyConnectndiceIntroduoPr-requisitosRequisitosComponentes Utilizados

Informaes de Apoio

ConfigurarDiagrama de RedeASA como um server local de CAEtapa 1. Configurar e permita o server local de CA no ASAEtapa 2. Crie e adicionar usurios ao base de dados ASAEtapa 3. Permita o webvpn na interface WANEtapa 4. Importe o certificado na mquina cliente

ASA como um gateway SSL para clientes de AnyConnect

Wizard de configurao ASDM AnyConnectConfigurar o CLI para AnyConnect

VerificarTroubleshootingInformaes Relacionadas

configurar o asa como um server de ca e um final do ... · crie e adicionar usuários ao base de...

Documents