如何引导：使用证书思科ASA SSLVPN双因素身份验证

我已经看到对于使用数字证书的双因素身份验证在过去的一年一个大的转变。当然令牌仍然是市场领导者为这个功能，但证书由于易于管理和部署其低廉的成本和获得的进步。思科ASA现在已经支持了很久证书，但我看到开始采取大规模的功能优势，主流公司也仅仅是在过去的一年。这种技术提示将如何快速安装的ASA进行双因素身份验证使用证书运行你通过。一路上，我会告诉你如何配置ASA内置的证书颁发机构（CA）服务器。当然，你可以随时使用（也许应该使用）外部CA服务器生产。我建议使用微软的CA服务器;你可以找到如何在http://www.Cisco.com/go/asa使用ASA和MSFT CA一起配置实例。和关闭，我们走！首先第一件事情，一定要设置在ASA的基础知识。配置你的接口，路由，时钟，时区，NTP服务器，域名和SSLVPN AnyConnect客户端地址池NAT豁免。您只需如果您使用NAT控制配置了NAT豁免或泳池下降对现有NAT规则的内部。我不能足够的强调使用基于证书的认证当具有可靠的时钟的重要性。确保你设置了NTP，并检查它正在与显示NTP状态命令。

接下来，我们需要设置我们的ASA CA服务器。在ASDM，去配置>远程访问VPN>证书管理>本地证书颁发机构。点击CA服务器上。勾选启用CA服务器。填写表格。1）检查“创建证书颁发机构的服务器” 2）键入一个强密码来保护您新的根证书3）离开表单的顶部部分，其余的为默认值4）在“SMTP服务器”中输入的IP地址，你的公司的SMTP邮件服务器。这将被用来发送电子邮件报名的新用户。这为他们提供了有关如何获取他们的新身份证书的说明。电子邮件是用于获得用户certficates的首选方法。然而，它可以手动完成，我将在后面介绍。 5) Add a "from address" and an email subject line 6) Click Apply

配置上您的ASA可信的身份证明。您使用的身份证明从您的ASA的可信CA来源是很重要的。一个ASA身份证书是，ASA将分发给连接到它的SSLVPN客户证书。为了让一切正常工作的证书必须在ASA的主机名/ IP地址相匹配。此外，最终用户客户端必须信任所产生的ASA身份证书的CA。自签名或其他非信任的CA证书是用于测试，但不用于生产精细。事实上，我建议你甚至不打扰没有一个完整的“真正的” ASA身份在所有证书测试。太当稍后切换证书太多可能出错。在ASDM你可以注册从委托专门的促销证书，如果你愿意，但任何信任的公共CA会做的伎俩。要配置您的ASA身份证书做到以下几点：1）首先获得您的身份证明。请确保它是在PKCS12格式。 Also, be sure it includes the complete证书链。2）进入配置>远程访问VPN>证书管理>身份证明。单击添加。3）如果你的ASA会在DNS，那么你可以使用FQDN的证书中的标识符。如果它不会在DNS（仅用于测试，生产就必须在DNS中），那么一定要使用的IP地址作为识别码。

4）就是这样做的！但是，如果你需要使用证书签名请求做硬盘的方式，然后通过下面年底着手设置5。5）如果你需要生成从ASA证书签名请求，那么与其做第2步做以下代替。

6）如果您将只使用IP地址来获取到ASA那么一定要点击先进并填写IP地址字段。7）完成后，点击添加证书。8）现在点击导出。这会给你的证书请求，你可以提供给您的CA.9）一旦你的CA给你一个证书回到这里，然后点击安装。浏览到该文件，他们给你，并安装它。10）你就大功告成了！现在，我们需要设置我们的SSLVPN的ASA。在这个例子中我只是做的思科Anyconnect设置。最简单的方法是使用ASDM的SSLVPN向导。所以去那里，现在（顶栏>向导> SSLVPN）。我保持简单和使用本地用户数据库，但随意使用LDAP或RADIUS，而不是进行身份验证。

现在，我们需要重新回到连接配置文件，并使用证书启用双因素身份验证。转至配置>远程访问VPN>网络（客户端）访问>的AnyConnect连接配置文件。编辑刚刚创建的配置文件。在身份验证部分选择“两者”。这将使用户名/密码检查和证书检查。点击应用。您完成。

接下来，您将用户添加到CA服务器。对于创建的每个用户，CA服务器将为该用户创建一个唯一的身份证明。然后，用户将需要在他们的计算机上安装该证书。转至配置>远程访问VPN>证书管理>本地证书颁发机构>管理用户数据库。1）点击添加2）填写表格。一定要包括一个主题名称。如果你要使用的用户名预填充那么一定要在主题的用户名，即CN =

。

3）然后点击 “电子邮件OTP”。然后，ASA会发送电子邮件报名给该用户。然后，他们可以点击电子邮件中的链接安装在PC上的证书。4）可选：如果您想手动注册并获得不含电子邮件证书，然后去到https：//

/+CSCOCA+/enroll.html。然后按照说明进行操作。您仍需要将您的一次性密码（OTP），虽然很方便。您可以在ASDM通过选择用户证书，然后单击“视图OTP”查看OTP。

可选：从证书预先填入用户名。这个功能是非常有用的，以确保每个身份证书匹配了一个用户名/密码。它可以防止有人从出口他们的证书，并把它给他们的朋友。当然，他们仍然可以做，即使预填充启用，但随后他们将不得不也给他们的密码。大多数用户都不愿意分享他们的密码，这很可能连接到许多其他的账户和程序。为了使预填转至配置>远程访问VPN>网络（客户端）访问>的AnyConnect连接配置文件。突出你的个人资料，然后点击编辑。进入高级>认证。选中“从证书预先填入用户名”。然后选择最佳的方法来找到证书中的准确的用户名属性。 Common ones are CN and UPN.

嗯，就是这样。玩得开心，让我知道，如果你有任何问题。

这里提出的意见和信息，我个人的看法，而不是我的雇主。我在没有办法我的雇主的官方代言人。

更多来自詹姆Heary： 信用卡撇：如何窃贼可以窃取你的卡信息而不让你知道 谷歌Nexus One与十大手机安全要求 为什么你应该总是切丝你的登机牌 影碟出租记录比你的在线数据提供更多的隐私保护 关于新的SSL攻击的真相 2009年度都市传奇在IT安全/ A>去 詹姆的博客 有关安全性的文章。

*

*

*

*

*

*