ASA 8.X: AnyConnect SCEP 등록 컨피그레이션 예

소개

SCEP 등록 기능은 AnyConnect 독립형 클라이언트 2.4에 도입되었습니다. 이 프로세스에서는 SCEP 관련 컨피그레이션을 포함하도록 AnyConnect XML 프로파일을 수정하고 인증서 등록을 위한 특정 그룹 정책 및 연결 프로파일을 생성합니다. AnyConnect 사용자가 이 특정 그룹에 연결하면 AnyConnect가 CA 서버에 인증서 등록 요청을 전송하며, CA 서버는 요청을 자동으로 수락하거나 거부합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 소프트웨어 버전 8.x를 실행하는 Cisco ASA 5500 Series Adaptive Security Appliance

• Cisco AnyConnect VPN 버전 2.4

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

배경 정보

AnyConnect의 자동 SCEP 등록의 목적은 안전하고 확장 가능한 방식으로 클라이언트에 인증서를 발급하는 것입니다. 예를 들어, 사용자는 CA 서버에서 인증서를 요청할 필요가 없습니다. 이 기능은 AnyConnect 클라이언트에 통합되어 있습니다. 인증서는 XML 프로파일 파일에 언급된 인증서 매개변수를 기반으로 클라이언트에 발급됩니다.

필요한 변경 사항 개요

AnyConnect SCEP 등록 기능을 사용하려면 XML 프로파일에 특정 인증서 매개변수를 정의해야 합니다. 그룹 정책 및 연결 프로파일은 인증서 등록을 위해 ASA에 생성되며 XML 프로파일은 해당 정책과 연결됩니다. AnyConnect 클라이언트는 이 특정 정책을 사용하는 연결 프로파일에 연결되며 XML 파일에 정의된 매개변수를 사용하여 인증서에 대한 요청을 보냅니다. CA(Certificate Authority)는 요청을 자동으로 수락하거나 거부합니다. AnyConnect 클라이언트는 <CertificateSCEP> 요소가 클라이언트 프로파일에 정의된 경우 SCEP 프로토콜로 인증서를 검색합니다.

AnyConnect가 새 인증서를 자동으로 검색하려고 시도하기 전에 클라이언트 인증서 인증에 실패해야 합니다. 따라서 이미 유효한 인증서가 설치되어 있으면 등록이 수행되지 않습니다.

사용자가 특정 그룹에 로그인하면 자동으로 등록됩니다. 또한 사용자가 Get Certificate(인증서 가져오기) 버튼을 통해 인증서를 검색할 수 있는 수동 방법도 있습니다. 클라이언트가 터널을 통하지 않고 CA 서버에 직접 액세스할 때만 작동합니다.

자세한 내용은 Cisco AnyConnect VPN 클라이언트 관리자 설명서, 릴리스 2.4를 참조하십시오.

Anyconnect SCEP 기능을 활성화하는 XML 설정

이러한 요소는 AnyConnect XML 파일에 정의해야 하는 중요한 요소입니다. 자세한 내용은 Cisco AnyConnect VPN 클라이언트 관리자 설명서, 릴리스 2.4를 참조하십시오.

• <AutomaticSCEPHost> - SCEP 인증서 검색이 구성된 ASA 호스트 이름 및 연결 프로파일(터널 그룹)을 지정합니다. 값은 ASA\연결 프로파일 이름의 정규화된 도메인 이름 또는 ASA\연결 프로파일 이름의 IP 주소 형식이어야 합니다.

• <CAURL> - SCEP CA 서버를 식별합니다.

• <CertificateSCEP> - 인증서의 내용을 요청하는 방법을 정의합니다.

• <DisplayGetCertButton> - AnyConnect GUI에서 Get Certificate 버튼을 표시할지 여부를 결정합니다. 사용자가 수동으로 인증서 갱신 또는 프로비저닝을 요청할 수 있습니다.

프로필의 예는 다음과 같습니다.

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/AnyConnectProfile.xsd">
	<ClientInitialization>
		<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
		<AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection>
		<ShowPreConnectMessage>false</ShowPreConnectMessage>
		<CertificateStore>All</CertificateStore>
		<CertificateStoreOverride>false</CertificateStoreOverride>
		<ProxySettings>Native</ProxySettings>
		<AutoConnectOnStart UserControllable="true">true</AutoConnectOnStart>
		<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
		<LocalLanAccess UserControllable="true">false</LocalLanAccess>
		<AutoReconnect UserControllable="false">true
			<AutoReconnectBehavior UserControllable="false">
     ReconnectAfterResume
   </AutoReconnectBehavior>
		</AutoReconnect>
		<AutoUpdate UserControllable="false">true</AutoUpdate>
		<RSASecurIDIntegration UserControllable="false">
    Automatic
  </RSASecurIDIntegration>
		<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
		<WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
		<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
		<PPPExclusion UserControllable="false">Automatic
			<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
		</PPPExclusion>
		<EnableScripting UserControllable="false">false</EnableScripting>
		<CertificateEnrollment>
			<AutomaticSCEPHost>asa2.cisco.com/certenroll</AutomaticSCEPHost>
			<CAURL PromptForChallengePW="false">
     http://10.11.11.1/certsrv/mscep/mscep.dll
   </CAURL>
			<CertificateSCEP>
				<Name_CN>cisco</Name_CN>
				<Company_O>Cisco</Company_O>
				<DisplayGetCertButton>true</DisplayGetCertButton>
			</CertificateSCEP>
		</CertificateEnrollment>
	</ClientInitialization>
	<ServerList>
		<HostEntry>
			<HostName>asa2.cisco.com</HostName>
		</HostEntry>
	</ServerList>
</AnyConnectProfile>

AnyConnect용 SCEP 프로토콜을 지원하도록 ASA 구성

사설 RA(Registration Authority)에 대한 액세스를 제공하려면 ASA 관리자가 사설 측 네트워크 연결을 원하는 RA로 제한하는 ACL이 있는 별칭을 만들어야 합니다. 인증서를 자동으로 검색하기 위해 사용자는 이 별칭에 연결하고 인증합니다.

다음 단계를 완료하십시오.

1. 구성된 특정 그룹을 가리키도록 ASA에 별칭을 생성합니다.

2. 사용자의 클라이언트 프로필에 있는 <AutomaticSCEPHost> 요소에 별칭을 지정합니다.

3. <CertificateEnrollment> 섹션을 포함하는 클라이언트 프로파일을 구성된 특정 그룹에 연결합니다.

4. 프라이빗 측 RA에 대한 트래픽을 제한하기 위해 구성된 특정 그룹에 대한 ACL을 설정합니다.

다음 단계를 완료하십시오.

1. XML 프로파일을 ASA에 업로드합니다.

   1. Remote Access VPN(원격 액세스 VPN) > Network (client) access(네트워크(클라이언트) 액세스) > Advanced(고급) > SSL VPN > Client settings(클라이언트 설정)를 선택합니다.

   2. SSL VPN Client profiles(SSL VPN 클라이언트 프로파일)에서 Add(추가)를 클릭합니다.

   3. 프로파일 파일을 선택하려면 Browse Local Files를 클릭하고 플래시 파일 이름을 지정하려면 Browse Flash를 클릭합니다.

   4. Upload File(파일 업로드)을 클릭합니다.

      

2. 인증서 등록을 위한 certenroll 그룹 정책을 설정합니다.

   1. Remote access VPN(원격 액세스 VPN) > Network client access(네트워크 클라이언트 액세스) > Group Policy(그룹 정책)를 선택하고 Add(추가)를 클릭합니다.

      

   2. CA 서버에 대해 스플릿 터널을 추가합니다.

      1. Advanced(고급)를 확장한 다음 Split Tunneling(스플릿 터널링)을 선택합니다.

      2. Policy(정책) 메뉴에서 Tunnel Network List Below(아래에 있는 터널 네트워크 목록)를 선택하고 Manage(관리)를 클릭하여 액세스 제어 목록을 추가합니다.

         

         

   3. SSL VPN Client를 선택하고 Client Profile to Download(다운로드할 클라이언트 프로파일) 메뉴에서 certenroll에 대한 프로파일을 선택합니다.

      

3. 인증서 인증을 위해 certuth라는 다른 그룹을 생성합니다.

   

4. certenroll 연결 프로파일을 생성합니다.

   1. Remote access VPN(원격 액세스 VPN) > Network client access(네트워크 클라이언트 액세스) > AnyConnect connection profiles(AnyConnect 연결 프로파일)를 선택하고 Add(추가)를 클릭합니다.

   2. Aliases 필드에 certenroll 그룹을 입력합니다.

      참고: 별칭 이름은 AutomaticCEPHost 아래의 AnyConnect 프로필에 사용된 값과 일치해야 합니다.

      

5. 인증서 인증을 사용하여 certuth라는 또 다른 연결 프로파일을 만듭니다. 등록 후에 사용되는 실제 연결 프로파일입니다.

   

6. 별칭 사용이 활성화되어 있는지 확인하려면 로그인 페이지에서 사용자가 별칭으로 식별된 연결 프로파일을 선택할 수 있도록 허용을 선택합니다. 그렇지 않으면 DefaultWebVPNGroup이 연결 프로파일입니다.

   

AnyConnect SCEP 테스트

구성이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

1. AnyConnect 클라이언트를 시작하고 certenroll 프로파일에 연결합니다.

   

   AnyConnect가 SCEP를 통해 CA 서버에 등록 요청을 전달합니다.

   

   Get Certificate(인증서 가져오기) 버튼이 사용된 경우 AnyConnect는 등록 요청을 직접 통과하고 터널을 거치지 않습니다.

   

2. 이 경고가 나타납니다. 사용자 및 루트 인증서를 설치하려면 Yes(예)를 클릭합니다

   

3. 인증서가 등록되면 certauth 프로파일에 연결합니다.

SCEP 요청 후 Microsoft Windows의 인증서 저장소

다음 단계를 완료하십시오.

1. 시작 > 실행 > mmc를 클릭합니다.

2. 스냅인 추가/제거를 클릭합니다.

3. Add(추가)를 클릭하고 Certificates(인증서)를 선택합니다.

4. 내 사용자 계정과 컴퓨터 계정 인증서를 추가합니다.

   이 그림에서는 Windows 인증서 저장소에 설치된 사용자 인증서를 보여 줍니다.

   

   이 그림에서는 Windows 인증서 저장소에 설치된 CA 인증서를 보여 줍니다.

   

문제 해결

이 섹션에서는 설정 문제 해결에 사용할 수 있는 정보를 제공합니다.

• AnyConnect SCEP 등록은 인증서 인증에 실패한 경우에만 작동합니다. 등록되지 않은 경우 인증서 저장소를 확인합니다. 인증서가 이미 설치된 경우 인증서를 삭제하고 다시 테스트합니다.

• SCEP 등록은 ssl certificate-authentication interface outside port 443 명령을 사용하지 않으면 작동하지 않습니다.

  자세한 내용은 다음 Cisco 버그 ID를 참조하십시오.

  • Cisco Bug ID CSCtf06778(등록된 고객만 해당) - AnyConnect SCEP 등록이 Per Group Cert Auth 2에서 작동하지 않습니다.

  • Cisco Bug ID CSCtf06844(등록된 고객만 해당) —AnyConnect SCEP 등록이 ASA Per Group Cert Auth에서 작동하지 않음

• CA 서버가 ASA 외부에 있는 경우 same-security-traffic permit intra-interface 명령을 사용하여 헤어피닝을 허용해야 합니다. 다음 예에 표시된 대로 nat outside 및 access-list 명령도 추가합니다.

  nat (outside) 1
  access-list natoutside extended permit ip 172.16.1.0 255.255.255.0 host 171.69.89.87

  여기서 172.16.1.0은 AnyConnect 풀이고 171.69.89.87은 CA 서버 IP 주소입니다.

• CA 서버가 내부에 있는 경우 certenroll 그룹 정책에 대한 스플릿 터널 액세스 목록에 해당 서버를 포함해야 합니다. 이 문서에서는 CA 서버가 내부에 있는 것으로 가정합니다.

  group-policy certenroll attributes
  split-tunnel-policy tunnelspecified
   split-tunnel-network-list value scep
  
  access-list scep standard permit 171.69.89.0 255.255.255.0

관련 정보

• Cisco AnyConnect VPN 클라이언트 관리자 설명서, 릴리스 2.4
• 기술 지원 및 문서 − Cisco Systems