思科ASA自建CA证书

Clientless SSL VPN using Certificates for two- factor Auth一、准备以下内容描述了，Clientless SSL VPN通过AAA Certif

Clientless SSL VPN using Certificates for two- factor Auth

一、准备

以下内容描述了，Clientless SSL VPN通过AAA Certificate方式，实现双因子认证的步骤。其中，AAA 服务器采用了Local User Database，在实际生产环境可以采用AD 等AAA 服务器；Certificate 采用了ASA 本地生成的自签名的数字证书。

测试环境：

ASA 8.2(3)

ASDM 6.3(4)

二、将ASA 配置为CA 服务器

在ASDM 中，进入Configuration > Remote Access VPN > Certificate Management > Local Certificate Authority > CA Server，选中“Enable ”，并填写相应内容。

1） 选中“create certificate authority server”

2） 输入一个密码，用于保护root certificate，其余部分缺省不变

3） 在“SMTP Server ”处，填写邮件服务器IP 地址，用于发送identity certificate 给新

注册的用户。如果没有邮件服务器，也可以使用手工方式获取用户certificate

4） 其他采用缺省值，点击“Apply ”

三、在ASA 配置可信的身份证书

如果已经完成证书的申请，则可以直接选中“Import the identity certificate from a file”。在本实验中，采用了自签名的证书。

在ASDM 中，进入Configuration > Remote Access VPN > Certificate Management > Identity Certificates 。

1） 点击“Add ”

2） 选中“Add a new identity certificate”

3） 点击“New ”，并选中“Enter new key pair name”，输入asacert ，作为密钥对的名字，

然后点击“Generate Now”

4） 点击“Advanced ”，并在“IP Address ”栏中输入ASA 的IP 地址（在域名无法解析

环境中必须配置），并点击“OK ”

5） 选中“Generate self-signed certificate”，并点击“Add Certificate”

四、配置Local Users

添加一个本地用户，用户名为user1，并设置密码。（步骤略）

五、配置Clientless SSL VPN访问

在ASDM 中，进入Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles 。缺省情况下Connection Profile 会应用DefaultWEBVPNGroup ，其缺省情况下会采用LOCAL 认证方式。

1) 选中“DefaultWEBVPNGroup ”，点击“Edit ”

2) 在“Authentication ”中，选中“Both ”

六、配置手工获取证书

在ASDM 中，进入Configuration > Remote Access VPN > Certificate Management > Local Certificate Authority > Manage User Database

1） 点击“Add ”

2） 分别输入Username, Email ID和Subject(DN String)，点击“Add User”

3） 如果采用邮件方式获取证书，点击“Email OTP”

4） 如果采用手工方式获取证书，点击“View/Re-generate OTP”查看OTP ，这个密码除了用于客户端访问时获取数字证书外，在客户端安装证书时也需要输入这个密码。