Вы здесь

ASA Anyconnect SSL VPN HUB и аутентификация по сертификатам

Изначально настраиваем ASA в соответствии с материалом:
http://ciscomaster.ru/content/rabota-s-asa-anyconnect-ssl-vpn-hub

Добиваемся, чтобы клиент не спрашивал какой профиль использовать:

group-policy DfltGrpPolicy attributes dns-server value 192.168.10.5 192.168.10.4 vpn-tunnel-protocol ssl-client ssl-clientless split-tunnel-policy tunnelspecified split-tunnel-network-list value split-tunnel_acl default-domain value ostec.smt webvpn anyconnect dpd-interval client 20 anyconnect ask none default anyconnect ! tunnel-group DefaultWEBVPNGroup general-attributes address-pool vpnpool_pool ! webvpn no tunnel-group-list enable

Как результат:
asa_anyconnect_ssl_vpn_hub_i_autentifikaciya_po_sertifikatam_04_ciscomaster.ru.jpg

Установка на ASA CA Certificate

CA Certificate необходим для валидации connecting users. Соответственно и пользователи должны получить свой пользовательский сертификат от того-же CA server.
CA Certificate должен быть загружен из доменного CA Server, и затем установлен на ASA.

Загрузим CA Certificate с использованием web-морды.
https://192.168.10.51/certsrv/
asa_anyconnect_ssl_vpn_hub_i_autentifikaciya_po_sertifikatam_01_ciscomaster.ru.jpg

asa_anyconnect_ssl_vpn_hub_i_autentifikaciya_po_sertifikatam_02_ciscomaster.ru.jpg

Сертификат сохранится в виде файла certnew.cer

Далее идем в ASA ASDM и устанавливаем сертификат:
Configuration > Remote Access VPN > Certificate Management > CA Certificates > Add
asa_anyconnect_ssl_vpn_hub_i_autentifikaciya_po_sertifikatam_03_ciscomaster.ru.jpg

Также важно не забыть посмотреть на цепочку CA, на ASA необходимо установить ВСЮ цепочку:
Например в свойствах только что установленного серта:
asa_anyconnect_ssl_vpn_hub_i_autentifikaciya_po_sertifikatam_06_ciscomaster.ru.jpg

Это означает, что необходимо вытащить и установить CA certificate для RootCA01
После установки этих двух сертификатов на ASA мы увидим:
asa_anyconnect_ssl_vpn_hub_i_autentifikaciya_po_sertifikatam_07_ciscomaster.ru.jpg

Настройка AnyConnect connection profile на использование сертификатов

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles
Выделяем профиль DefaultWEBVPNGroup, жмём edit и отмечаем certificate.
asa_anyconnect_ssl_vpn_hub_i_autentifikaciya_po_sertifikatam_05_ciscomaster.ru.jpg

Откат до предыдущего состояния

В данной конфигурации, как только клиент залогинится, он скачает профиль.
Согласно настройкам профиля клиент будет работать только с данным VPN сервером.
Для отката необходимо удалить соответствующий профиль в папке:
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Profile

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image