收藏
下载资源 加入VIP免费专享

ASAPIX使用证书对VPN客户端进行验证操作手册.pdf

上传人:爱问知识人 文档编号:5013865 上传时间:2020-01-28 格式:PDF 页数:35 大小:3.19MB
返回 下载 相关 举报
ASAPIX使用证书对VPN客户端进行验证操作手册.pdf_第1页
第1页 / 共35页
ASAPIX使用证书对VPN客户端进行验证操作手册.pdf_第2页
第2页 / 共35页
ASAPIX使用证书对VPN客户端进行验证操作手册.pdf_第3页
第3页 / 共35页
ASAPIX使用证书对VPN客户端进行验证操作手册.pdf_第4页
第4页 / 共35页
ASAPIX使用证书对VPN客户端进行验证操作手册.pdf_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《ASAPIX使用证书对VPN客户端进行验证操作手册.pdf》由会员分享,可在线阅读,更多相关《ASAPIX使用证书对VPN客户端进行验证操作手册.pdf(35页珍藏版)》请在三一文库上搜索。

1、 ASA/PIX 使用证书对使用证书对 VPN 客户端进行验证客户端进行验证 操作手册操作手册 1 目目 录录 1. 准备工作3 1.1 Java运行环境.3 1.2 防火墙内外网口地址配置以及监控PC地址配置.3 1.3 ASDM客户端4 2. 防火墙配置5 2.1 基本配置5 2.2 配置ASA/PIX获取证书.7 2.3 创建VPN14 2.3.1 打开VPN向导.14 2.3.2 选择接受VPN连接的窗口.15 2.3.3 选择证书验证或者Pre-shared Key验证15 2.3.4 选择验证方式.16 2.3.5 建立本地用户验证数据库.16 2.3.6 建立本地地址池.17 2

2、.3.7 配置IP信息和加密、验证协议信息 .18 2.3.8 (可选)配置NAT例外或SplitTunnel19 2.3.9 配置完成.19 2.4 配置验证方式(无密码登陆)20 2.4 根据证书参数为用户分组20 3. Cisco VPN Client配置.24 附录 A 配置微软CA服务器 .27 2 1. 准备工作准备工作 1.1 Java运行环境运行环境 为正常运行 ASDM 管理平台,需提前检查监控 PC 的 Java 运行环境版本。如果低于 1.4 可以到如下的连接进行下载,建议使用较新的 Java 版本: http:/ 1.2 防火墙内外网口地址配置以及监控防火墙内外网口地址

3、配置以及监控PC地址配置地址配置 在防火墙上启动 HTTP 服务,使用终端程序通过 Console 口连接到 ASA/PIX,进行如下 配置: (省略部分)(省略部分) interface Ethernet1 /-接口配置接口配置-/ nameif inside security-level 100 ip address 192.168.1.233 255.255.255.0 (省略部分)(省略部分) 3 http server enable /-配置配置 Web 服务服务-/ http 0.0.0.0 0.0.0.0 inside (省略部分)(省略部分) 1.3 ASDM客户端客户端 在配

4、置好 ASA/PIX 设备的 IP 地址与 Web 服务后,通过“https:/设备 IP 地址”,请 注意使用的是 HTTPS,而不是 HTTP,可以进入 Web 管理界面,在提示输入用户名/口令 后,将打开如下页面: 接下来用户既可以点击“Download ASDM Launcher and Start ASDM”按钮将 ASDM 客 户端安装在用户本地计算机上;也可以直接运行 ASDM 的 Java Applet 版本,而不需要下 载,如下图所示: 4 2. 防火墙配置防火墙配置 2.1基本配置 基本配置 首先,根据上面的章节介绍过的内容,可以打开 ASDM,如下图所示: 在这个对话框里

5、,输入 IP 地址与用户验证信息。 打开控制界面后,点击上方的“Configuration”按钮,即下图红色标记处: 5 进入“Configuration”窗口,从左边选择“Interface”,在右边可以进行修改、增 加或删除。在接口列表中选择相应的接口,然后点击右边“Edit”按钮,如下图所示。 下图为接口配置窗口,可以配置接口的名称、安全级别、IP 地址、MTU、描述以及无 力参数。 6 出现警告提示信息,点击“OK”。如下图所示: 在修改接口设置结束后,注意需要点击“Apply”,将配置更新到设备中生效。如下 图所示: 2.2配置配置ASA/PIX获取证书获取证书 点击左侧导航栏中的“

6、Properties”按钮,进入属性配置窗口。 7 点击“Certificate”左边的加号,打开子列表,在列表中选择 “Authentication”,然后在右边选择“New”,新建一个 Trustpoint。 弹出一个窗口,如下所示: 8 为了获得上图中“Challenge”文本框需要输入的密语,需要使用 Web 浏览器打开 CA 服务器所在的网页,地址为: http:/CA服务器IP地址/certsrv/mscep/mscep.dll 具体 CA 服务器配置请参看附录 A。 如果 CA 配置正确,会弹出登录窗口,输入用户名(包括域名)和口令,点击“确 定”。如下图所示: 9 验证通过后,

7、打开证书密语页面,如下图所示,将密语(Challenge Password)复制 并记录下来。 在添加 Trustpoint 窗口,首先为新的 Trustpoint 定义一个名字,如“Pix525a”, 然后将前面复制/记录下来的谜语信息输入到“Challenge”文本框内,并且在 “Confirm”文本框中重复输入进行确认;然后在“Enrollment URL”文本框中,输入 “CA 服务器 IP 地址/certsrv/mscep/mscep.dll”,如下图所示,然后点击最下方“OK” 按钮,确认配置。 10 回到上一层窗口,点击“Authenticate”按钮进行验证,如下图所示,如果验

8、证通过 将会有提示。 验证通过后,开始进行证书的登记:首先从左侧导航栏中的“Certificate”子列表 中点击“Enrollment”项,然后在右上方的下拉列表中选择相应的 Trustpoint,然后点 击下方的“Enroll”按钮。 11 登记证书成功后,出现如下图提示信息框: 另外可以通过点击左侧的“Certificate”子列表中的“Manage Certificate”项, 察看当前关联到这个 Trustpoint 上的证书。如下图所示: 12 从下拉列表里选择需要修改的 Trustpoint,然后点击“Edit”按钮,如下图所示: 弹出编辑 Trustpoint 配置窗口后,点击

9、“Certificate Parameters”按钮继续, 如下图所示: 13 在弹出的“Certificate Parameters”窗口中,点击“Edit”按钮继续;弹出 “Edit DN”窗口,从“Attribute”下拉列表中选择相应的参数项,然后在“Value”文 本框中进行数值的修改,并且通过“Add”或“Delete”按钮进行添加或者删除,最 后点击“OK”按钮继续,如下图所示: 2.3创建创建VPN 2.3.1 打开打开 VPN 向导向导 从左侧的导航栏中,选择 VPN,然后点击右下方的“Launch VPN Wizard”。 14 2.3.2 选择接受选择接受 VPN 连接的

10、窗口连接的窗口 如下图所示:选择发起 VPN 连接的接口,然后点击“Next”按钮。 2.3.3 选择证书验证或者选择证书验证或者 Pre-shared Key 验证验证 如下图所示:选中“Certificate”选项,从下拉列表中选择相应的 Trustpoint,在 上方的文本框中,指定一个 Tunnel Group 名称,然后点击“Next”按钮。 15 2.3.4 选择验证方式选择验证方式 在本窗口种选择验证的方式,由于使用证书进行验证,这里可以不做改变,如下图所 示,点击“Next”按钮继续。 2.3.5 建立本地用户验证数据库建立本地用户验证数据库 如果选择使用本地数据库进行验证,见

11、前图,则在本窗口中可以创建用户登录信息, 点击“Add”按钮添加,最后点击“Next”按钮进入下一个窗口,如下图所示: 16 2.3.6 建立本地地址池建立本地地址池 用于为远程 VPN 拨号客户端动态分配 IP 地址,完成后点击“Next”按钮进入下一个 窗口,如下图所示: 17 2.3.7 配置配置 IP 信息和加密、验证协议信息信息和加密、验证协议信息 根据需要进行配置,完成后点击“Next”按钮进入下一个,在本例中使用默认设 置,未作修改,如下图所示: 18 2.3.8 (可选)配置(可选)配置 NAT 例外或例外或 SplitTunnel 根据需要进行配置,点击“Add”按钮进行添加

12、,完成后点击“Next”按钮进入下 一个,在本例中使用默认设置,未作修改,如下图所示: 2.3.9 配置完成配置完成 点击“Finish”按钮进如下图所示: 19 2.4配置验证方式(无密码登陆)配置验证方式(无密码登陆) 如果希望远程 VPN 拨号用户,仅使用证书进行验证,不需要输入用户名/口令(不弹 出登录验证对话框),可在左侧的“VPN”“General”列表中选择“Tunnel Group” 项;在“Tunnel Group”列表中选择相应的表项,然后点击右边的“Edit”按钮;弹出 “Edit Tunnel Group”窗口后,从下方的“AAA”标签中,点击“Authenticati

13、on Server Group”下拉列表,然后选择“-None-”(选择“Local”表示使用 ASA/PIX 本 地数据库进行验证)。最后,选择确定,并且应用配置修改,如上图所示。 2.4根据证书参数为用户分组根据证书参数为用户分组 关于编辑证书的参数请参考第 15 页。如下图所示,点击“VPN”“IKE” “Certificate Group Matching”“Policy”项,在右边窗口中,选中“Use the 20 configuration rules to match a Certificate to a group”。如果不选这个选项,则 用户会进入下方定义的“Default

14、to Group”组。修改后点击“Apply”生效。 下图显示了在不选中“Use the configuration rules to match a Certificate to a group”选项时,指定“Default to Group”的情况,确认后点击“Apply”生效。 21 如果在前图中选中“Use the configuration rules to match a Certificate to a group”选项时,可以在“VPN”“IKE” “Certificate Group Matching” “Rules”窗口中,点击“Add”按钮添加策略,从“Mapped to

15、 Group”下拉列表中选择 相应的组,点击“OK”继续。 如下图所示: 22 点击“Rues”窗口位于下方的表格右侧的“Add”按钮,弹出“Add Cert Matching Rule Criterion”窗口。可以定义不同的匹配策略。完成后点击“OK”继续。 23 3. Cisco VPN Client 配置配置 从 Windows 开始菜单中,打开 Cisco VPN Client 软件,如下图所示,选择 “Certificate”标签,点击“Enroll”工具栏按钮。 弹出“Certificate Enrollment”对话框后,在“CA URL”文本框中输入 “http:/CA服务器

16、IP地址/certsrv/mscep/mscep.dll”,在“CA Domain”文本框中输入域 名;在“Challenge Password”密码框中输入从CA服务器获得的验证密语,获得验证密语 的方式参考本文第 11 页中的描述。点击“Next”按钮继续,如下图所示: 24 在后续的窗口中,用户需要指定证书参数(由管理员定义),点击“Enroll”按钮继 续。 证书登记成功后,可以进行察看,如下图所示: 25 在配置 VPN 连接时,选择使用证书进行验证,并选择相应的证书项。如下图所示: 26 附录附录 A 配置微软配置微软 CA 服务器服务器 证书和证书和 SCEP 配置配置 若要对证

17、书进行配置,请执行以下步骤。若要对证书进行配置,请执行以下步骤。 1. 访问“添加/删除程序”并选择“添加/删除 Windows 组件”。 2. 选择“证书服务”。您应该看到以下提示。单击“是”并返回组件向导。 3. 如要选择 IIS 组件,选择“应用程序服务”并单击“详细信息”。 4. 在下一个对话框中,选择“Internet 信息服务”并选择“详细信息”。 27 5. 在下一个对话框中,选择“万维网服务”并单击“详细信息”。 6. 在下一个对话框中,选择“Active Server Pages”,选择“万维网服务”,然后单击三次“确定”。如果 选择了“万维网发布服务”,则也会默认选择“公共

18、文件”和“Internet 服务管理器”。 28 7. 在返回主屏幕之后,单击“下一步”继续安装。 8. 在安装证书颁发机构 (CA) 期间应该收到以下提示。选择要实施的 CA 的类型。(决定 CA 类型的详 细信息在本文档的范围之外。)单击下一步下一步。 9. 在“此 CA 的公用名”中键入希望使用的名称。对于此情境,在“可分辨名称后缀”中键入 “CN=CA,DC=ISAPIXLAB,DC=LOCAL”。然后单击“下一步”。 29 10. 向导将开始生成加密密钥。在此操作完成之后,单击“下一步”。 11. 确保数据库的默认位置可访问,然后单击“下一步”。 30 12. 对于以下提示,确保您理

19、解在 Web 服务器上启用 Active Server Pages (ASP) 的含义。在安装了 独立的 CA 之后,检索证书的唯一方式是通过使用 CA 网站,此网站必须使用 ASP。在获得证书之 后,可以禁止 ASP 的使用,并在以后根据需要再启用。单击“是”。 若要配置简单证书注册协议若要配置简单证书注册协议 (SCEP),请执行以下步骤。,请执行以下步骤。 1. 从以下位置安装 Windows Server 2003 的 SCEP 附件: http:/ 单击“是”。 查看大图 2. 如要接受许可证协议,单击“是”。 31 3. 如要继续,单击“下一步”。 4. 选择“使用服务帐户”并单击

20、“下一步”。 5. 您将需要创建一个用户帐户,为其分配 IPSec(脱机申请)模板的读取和注册权限,并使其成为 32 IIS_WPG Group 的成员。 6. 提供服务帐户信息。必须使用域用户名或 语法。然后单击“下一 步”。 7. 建议选择“要求注册 SCEP 密语”。在设备已准备好使用 CA 进行注册之后,请访问 http:/ca/certsrv/mscep/msdep.dll 网站(从任何客户端)。这将提供在注册期间需要指定的“密 语”。“密语”在 60 分钟内有效。然后单击“下一步”。 8. 提供“注册机构”信息,然后单击“下一步”。 33 9. 检查信息,然后单击“完成”。 若要启

21、用证书,请执行以下步骤。若要启用证书,请执行以下步骤。 1. 如要打开 Certtmpl.msc 文件,单击“开始”,单击“运行”,键入“certtmpl.msc”,然后单击“确定”。 2. 找到 IPSec(脱机申请)证书模板。 34 3. 转到模板的属性,然后选择“安全”选项卡。添加前面创建的用户 (SCEPUser),并为此用户分配读取和注册权限。 4. 转到 Active Directory 用户和计算机(如果未安装 Active Directory 或 CA 不是域的一部分,则转到计算机管理)。 找到 IIS_WPG 用户组并将 SCEPUser 添加到这个组中。 完成这些任务将使完成这些任务将使 SCEPUser 帐户可以为帐户可以为 SCEP 客户端检索证书。客户端检索证书。 35

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 研究报告 > 商业贸易


经营许可证编号:宁ICP备18001539号-1