RA VPN ASA IKEv2 avec le Windows 7 ou les clients vpn d'Android et la configuration d'authentification de certificat Contenu Introduction Conditions préalables Conditions requises Composants utilisés Configurez Aperçu Configurez l'autorité de certification Générez un certificat client Installez le certificat d'identité sur la machine cliente de Windows 7 Comment installer le certificat d'identité sur votre périphérique mobile d'Android Configurez le headend ASA pour le RA VPN avec IKEv2 Configurez le client de fonction intégrée de Windows 7 Configurez le client vpn d'indigène d'Android Vérifiez Dépannez Introduction Ce document décrit comment configurer la version 9.7.1 et ultérieures de l'appliance de sécurité adaptable Cisco (ASA) afin de permettre au Windows 7 et aux clients androïdes d'indigène (réseau privé virtuel) VPN pour établir la connexion VPN de RA a (Accès à distance) avec l'utilisation de l'échange de clés Internet (IKE) Protocol (IKEv2) et des Certificats comme méthode d'authentification. Contribué par David Rivera et Cesar Lopez Zamarripa, ingénieurs TAC Cisco. Conditions préalables Conditions requises Cisco vous recommande de prendre connaissance des rubriques suivantes : Autorité de certification (CA) ● Infrastructure à clé publique (PKI) ● RA VPN avec IKEv2 sur l'ASA ● Client vpn de fonction intégrée de Windows 7 ● Client vpn d'indigène d'Android ●
64
Embed
RA VPN ASA IKEv2 avec le Windows 7 ou les clients vpn d'Android et la configuration … · Composants utilisés Les informations contenues dans ce document sont basées sur les versions
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
RA VPN ASA IKEv2 avec le Windows 7 ou lesclients vpn d'Android et la configurationd'authentification de certificat Contenu
IntroductionConditions préalablesConditions requisesComposants utilisésConfigurezAperçuConfigurez l'autorité de certificationGénérez un certificat clientInstallez le certificat d'identité sur la machine cliente de Windows 7Comment installer le certificat d'identité sur votre périphérique mobile d'AndroidConfigurez le headend ASA pour le RA VPN avec IKEv2Configurez le client de fonction intégrée de Windows 7Configurez le client vpn d'indigène d'AndroidVérifiezDépannez
Introduction
Ce document décrit comment configurer la version 9.7.1 et ultérieures de l'appliance de sécuritéadaptable Cisco (ASA) afin de permettre au Windows 7 et aux clients androïdes d'indigène(réseau privé virtuel) VPN pour établir la connexion VPN de RA a (Accès à distance) avecl'utilisation de l'échange de clés Internet (IKE) Protocol (IKEv2) et des Certificats comme méthoded'authentification.
Contribué par David Rivera et Cesar Lopez Zamarripa, ingénieurs TAC Cisco.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Autorité de certification (CA)●
Infrastructure à clé publique (PKI)●
RA VPN avec IKEv2 sur l'ASA●
Client vpn de fonction intégrée de Windows 7●
Client vpn d'indigène d'Android●
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
CISCO1921/K9 - 15.5(3)M4a comme serveur IOS CA●
ASA5506X - 9.7(1) comme headend VPN●
Windows 7 comme machine cliente●
Galaxy J5 - Android 6.0.1 en tant que client mobile●
Les informations contenues dans ce document ont été créées à partir des périphériques d'unenvironnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ontdémarré avec une configuration effacée (par défaut). Si votre réseau est vivant, assurez-vous quevous comprenez l'impact potentiel de n'importe quelle commande.
Configurez
Aperçu
Ce sont les étapes pour configurer le Windows 7 et les clients vpn indigènes d'Android afin de seconnecter à un headend ASA :
Configurez l'autorité de certification
Le CA laisse inclure l'utilisation principale étendue exigée (EKU) dans le certificat. Pour leheadend ASA, le serveur EKU authentique de certificat est prié, alors que le certificat client abesoin de client EKU authentique.
Un grand choix de serveurs CA peuvent être utilisés comme :
Serveur du Cisco IOS CA●
Serveur d'OpenSSL CA●
Serveur de Microsoft CA●
tiers CAs●
Le serveur IOS CA est utilisé pour cet exemple de configuration.
Cette section trace les grandes lignes de la configuration de base pour faire unCISCO1921/K9 avec le travail de version 15.5(3)M4a en tant que serveur CA.
Étape 1. Assurez le support de périphérique et de version la commande d'eku.
Étape 8. Exportez le point de confiance de HeadEnd au terminal dans le format PKCS12 pourobtenir le certificat d'identité. Le certificat de CA et la clé privée sont ajoutés dans un fichierunique.
Associated Trustpoints: test HeadEnd Win7_PC CA_Server
Installez le certificat d'identité sur la machine cliente de Windows 7
Étape 1. Exportez le point de confiance Désigné Win7_PC à un serveur FTP/TFTP (installé survotre ordinateur de Windows 7) dans le format PKCS12 (.p12) pour obtenir le certificat d'identité,le certificat de CA et la clé privée dans un fichier unique.
C'est comment le fichier exporté regarde sur une machine cliente.
Étape 2. Appuyez sur CTRL + R et tapez le MMC pour ouvrir le Microsoft Management Console(MMC).
Étape 3. OK choisi.
Étape 4. Naviguez vers File>Add/Remove SNAP-dans.
Étape 5. Les Certificats choisis > ajoutent > compte d'ordinateur.
Étape 6. Prochain choisi,
Étape 7. Finition.
Étape 8. OK choisi.
Étape 9. Allez aux Certificats (ordinateur local) les >Personal>Certificates, cliquez avec le boutondroit sur le répertoire et naviguez vers tout le Tasks>Import :
Étape 10. Cliquez sur Next. Indiquez le chemin où le fichier PKCS12 est enregistré.
Étape 11. Prochains choisis de nouveau et tapent le mot de passe entré dans la cryptocommande du mot de passe <cisco123> de l'exportation <Win7_PC> pkcs12<tftp://10.152.206.175/ Win7_PC.p12> de PKI
Étape 12. Prochain choisi.
Étape 13. Prochain choisi une fois de plus.
Étape 14. Sélectionnez la finition.
Étape 15. OK choisi. Maintenant vous verrez les Certificats installés (le certificat de CA et lecertificat d'identité).
Étape 16. Glissez-déplacez le certificat de CA des >Personal>Certificates de Certificats(ordinateur local) à la certification racine >Trusted Authority>Certificates de Certificats (ordinateurlocal).
Comment installer le certificat d'identité sur votre périphérique mobile d'Android
Note: La mémoire de clé des supports PKCS#12 d'Android classe avec l'extension .pfx ou.p12.
Note: Les supports d'Android seulement DER-ont encodé des Certificats SSL X.509.
Étape 1. Après que l'exportation de certificat client du serveur IOS CA dans le format PKCS12(.p12), envoient le fichier au périphérique d'Android par l'intermédiaire de l'email. Une fois quevous l'avez là, appuyez sur le nom du fichier pour mettre sur pied l'installation automatique. (Netéléchargez pas le fichier)
Étape 2. Entrez le mot de passe utilisé pour exporter le certificat, dans cet exemple, le mot depasse est cisco123.
Étape 3. CORRECTS choisis et écrivent un nom de certificat. Ce peut être n'importe quel mot,dans cet exemple que le nom est CERT d'ID d'Android.
Étape 4. CORRECT choisi et le message « CERT d'ID d'Android installé » apparaît.
Étape 5. Afin d'installer le certificat de CA, extrayez-le du serveur IOS CA dans le format base64et sauvegardez-le avec l'extension .crt. Envoyez le fichier à votre périphérique androïde parl'intermédiaire de l'email. Cette fois vous devez télécharger le fichier en enregistrant sur bande surla flèche située à côté du nom du fichier.
Étape 6. Naviguez vers des configurations et verrouillez l'écran et la Sécurité.
Étape 7. Sélectionnez d'autres paramètres de sécurité.
Étape 8. Naviguez pour installer de la mémoire de périphérique.
Étape 9. Sélectionnez le fichier et la prise .crt sur fait.
Étape 10. Écrivez un nom de certificat. Ce peut être n'importe quel mot, dans cet exemple, le nomest calo_root-1.
Étape 10. CORRECT choisi et vous verrez le message « calo_root-1 installé ».
Étape 11. Afin de vérifier que le certificat d'identité est installé, naviguez vers desconfigurations/Lock Screen et Sécurité/autre > onglet de paramètres de sécurité/certificatsutilisateurs/système.
Étape 12. Pour vérifier que le certificat de CA est installé, naviguez des Certificats vers l'écran deconfigurations/verrouillage et la Sécurité/tous autres paramètres de sécurité/Sécurité devue/onglet User.
Configurez le headend ASA pour le RA VPN avec IKEv2
Étape 1. Sur l'ASDM, naviguez vers des profils de connexion d'Access> Anyconnect de VPNd'accès > de réseau de Configuration>Remote (client). Cochez l'accès d'IPSec (IKEv2), permettezla case d'Access sur l'interface faisant face aux clients vpn (l'option de services clientèle d'enablen'est pas nécessaire).
Étape 2. Le certificat choisi de périphérique et enlèvent le chekmark de l'utilisation le mêmecertificat de périphérique pour SSL et IPSec IKEv2.
Étape 3. Sélectionnez le certificat de Headend pour la connexion d'IPSec et le sélectionnez --Aucun -- pour la connexion SSL.
Cette option met en place le crypto ikev2, le crypto ipsec, le crypto dynamic-map et laconfiguration de crypto map.
C'est comment la configuration regarde sur l'interface de ligne de commande (CLI).
Étape 5. Naviguez vers la configuration > l'Accès à distance VPN > réseau (client) Access > poolsd'adresses et choisi ajoutez pour créer un groupe d'ipv4.
Étape 6. Naviguez vers la configuration > l'Accès à distance VPN > réseau (client) Access >IPSec(IKEv2) des profils de connexion et choisi ajoutez pour créer un nouveau groupe de tunnel.
Étape 7. Naviguez vers la configuration > l'Accès à distance VPN > réseau (client) Access > aavancé > IPsec > certificat aux cartes > à la stratégie de profil de connexion et coche utilisé lesrègles configurées au calcul qu'un certificat à un profil de connexion enferment dans une boîte.
Étape 8. Naviguez vers la configuration > l'Accès à distance VPN > réseau (client) Access > aavancé > IPsec > certificat aux cartes > aux règles de profil de connexion et crée une nouvellecarte de certificat. Choisi ajoutez-et associez-le au groupe de tunnels. Dans cet exemple le groupede tunnel est nommé David.
Étape 10. Créez un objet avec le réseau de pool d'IP pour l'utiliser afin d'ajouter la règle de natexemption a (traduction d'adresses réseau) à la configuration > au Pare-feu > aux objets > auxobjets de réseau/aux groupes > ajoutent.
Étape 11. Naviguez vers la configuration > le Pare-feu > les règles NAT et choisi ajoutez pourcréer la règle de nat exemption pour le trafic VPN de RA.
Configurez le client de fonction intégrée de Windows 7
Étape 1. Naviguez vers le panneau de configuration > le réseau et l'Internet > le réseau et centrede partager.
Étape 2. Choisi installez une nouvelle connexion ou réseau.
Étape 3. Choisi connectez à un lieu de travail et ensuite.
Étape 4. Sélectionnez l'aucun, créez une nouvelle connexion et ensuite.
Étape 5. Sélectionnez l'utilisation ma connexion Internet (VPN) et ajoutez la chaîne commune dunom de certificat de HeadEnd (NC) sur le champ d'adresse Internet. Dans le type dezone d'identification de destination le nom de la connexion. Ce peut être n'importe quellechaîne. Assurez pour vérifier ne se connectent pas maintenant ; juste réglé le ainsi je peuxconnecter la case postérieure.
Étape 6. Prochain choisi.
Étape 7. Choisi créez.
Étape 8. Sélectionnez étroitement et naviguez vers le panneau de configuration > le réseau etl'Internet > les connexions réseau. Sélectionnez la connexion réseau créée et cliquez avec lebouton droit là-dessus. Sélectionnez Properties.
Étape 9. En général onglet que vous pouvez vérifier que l'adresse Internet appropriée pour leheadend est correcte. Votre ordinateur résoudra ce nom à l'adresse IP ASA utilisée pourconnecter des utilisateurs du RA VPN.
Étape 10. Naviguez vers l'onglet Sécurité et sélectionnez IKEv2 comme type de VPN. Dans lesCertificats choisis d'ordinateur d'utilisation de section d'authentification.
Étape 11. CORRECTS choisis et naviguent vers C:\Windows\System32\drivers\etc. Ouvrez lefichier d'hôtes utilisant un éditeur de texte. Configurez une entrée pour résoudre (Fully QualifiedDomain Name) le FQDN configuré dans la connexion réseau à l'adresse IP de votre headend ASA(dans cet exemple, l'interface extérieure).
Étape 12. Retournez au panneau de configuration > au réseau et à l'Internet > aux connexionsréseau. Sélectionnez la connexion réseau que vous avez créée. Le clic droit là-dessus et choisisse connectent.
Étape 13. Les transitions d'état de connexion réseau de déconnecté à se connecter et puis àconnecté. En conclusion, le nom que vous avez spécifié pour la connexion réseau est affiché.
L'ordinateur est connecté au headend VPN en ce moment.
Configurez le client vpn d'indigène d'Android
Étape 1. Naviguez vers des paramètres de connexion de >More de configurations
Étape 2. VPN choisi
Étape 3. Choisi ajoutez le VPN. Si la connexion est déjà créée comme dans cet exemple,appuyez sur l'icône d'engine pour l'éditer. Spécifiez IPSec IKEv2 RSA dans le champ de type.L'adresse du serveur est l'adresse IP d'interface ASA activée par IKEv2. Pour l'utilisateur d'IPsecle certificat et le certificat de CA d'IPSec sélectionnent les Certificats installés en appuyant sur lesmenus déroulants. Laissez le certificat de serveur d'IPSec avec l'option par défaut, reçue duserveur.
Étape 4. Sélectionnez la sauvegarde et puis l'appuyez sur le nom de la nouvelle connexion VPN.
Étape 5. Choisi connectez.
Étape 6. Tapez la connexion VPN une fois de plus pour vérifier l'état. Il est maintenant affichécomme connecté.
Cette section fournit les informations que vous pouvez employer afin de dépanner votreconfiguration.
Note: Référez-vous les informations toImportant sur le debug Commandsbefore vous desusedebugcommands.
Attention : Sur l'ASA, vous pouvez placer divers mettez au point des niveaux ; par défaut, leniveau 1 est utilisé. Si vous changez le niveau de débogage, la verbosité du met au pointl'augmentation. Faites ceci avec prudence, particulièrement dans les environnements deproduction.