Configurar o ASA como um servidor de CA local e headend do AnyConnect

Introdução

Este documento descreve como configurar um Cisco Adaptive Security Appliance (ASA) como um servidor de Autoridade de Certificação (CA) e como um gateway SSL para Cisco AnyConnect Secure Mobility Clients.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Configuração básica do ASA com a versão de software 9.1.x

• ASDM 7.3 ou superior

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco 5500 Series ASA com software versão 9.1(6)
• AnyConnect Secure Mobility Client versão 4.x para Windows

• PC que executa um SO suportado de acordo com o Gráfico de Compatibilidade.

• Cisco Adaptive Security Device Manager (ASDM) versão 7.3

Observação: baixe o pacote AnyConnect VPN Client (anyconnect-win*.pkg) do Cisco Software Download (somente clientes registrados) . Copie o AnyConnect VPN client para a memória flash do ASA, a qual será transferida para os computadores do usuário remoto a fim de estabelecer a conexão VPN SSL com o ASA. Consulte a seção Instalação do AnyConnect Client do guia de configuração do ASA para obter mais informações.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

A autoridade de certificação no ASA fornece estas funcionalidades:

• Integra a operação básica da autoridade de certificação no ASA.
• Implanta certificados.
• Fornece verificação de revogação segura de certificados emitidos.
• Fornece uma autoridade de certificação no ASA para uso com conexões VPN SSL baseadas em navegador (WebVPN) e em cliente (AnyConnect).
• Fornece certificados digitais confiáveis aos usuários, sem a necessidade de confiar na autorização de certificado externo.
• Fornece uma autoridade interna segura para autenticação de certificado e oferece registro de usuário direto por meio de um login de site.

Diretrizes e limitações

• Suportado no modo de firewall roteado e transparente.
• Apenas um servidor de CA local por vez pode residir em um ASA.
• O ASA como um recurso de servidor de autoridade de certificação local não tem suporte em uma configuração de failover.
• O ASA, atualmente atuando como um servidor de CA local, oferece suporte apenas à geração de certificados SHA1.
• O servidor de autoridade de certificação local pode ser usado para conexões VPN SSL baseadas em navegador e em cliente. Atualmente não há suporte para IPSec.
• Não oferece suporte ao balanceamento de carga de VPN para a CA local.
• A CA local não pode ser subordinada a outra CA. Ele pode atuar somente como CA raiz.
• No momento, o ASA não pode se inscrever no servidor de CA local para obter o certificado de identidade.
• Quando uma inscrição de certificado é concluída, o ASA armazena um arquivo PKCS12 que contém o par de chaves e a cadeia de certificados do usuário, o que requer cerca de 2 KB de memória flash ou espaço em disco por inscrição. A quantidade real de espaço em disco depende do tamanho da chave RSA configurada e dos campos de certificado. Lembre-se desta diretriz ao adicionar um grande número de inscrições de certificado pendentes em um ASA com uma quantidade limitada de memória flash disponível, pois esses arquivos PKCS12 são armazenados na memória flash durante o tempo limite de recuperação de inscrição configurado.

Configurar

  Esta seção descreve como configurar o Cisco ASA como um servidor de CA local.

Nota:Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

ASA como um servidor de CA local

Etapa 1. Configurar e habilitar o servidor de autoridade de certificação local no ASA

• Navegue até Configuration > Remote Access VPN > Certificate Management > Local Certificate Authority > CA Server. Marque a opção Enable Certificate Authority server.

• Configure a senha. A senha deve ter no mínimo 7 caracteres, que são usados para codificar e salvar um arquivo PKCS12 que inclui o certificado CA local e o par de chaves. A senha desbloqueia o arquivo PKCS12 se o certificado CA ou o par de chaves for perdido.

• Configure o Nome do Emissor. Esse campo apareceria como CN de certificado raiz. Isso pode ser especificado no seguinte formato: CN (Nome Comum), OU (Unidade organizacional), (O) Organização , L (Localidade) , S (Estado) e C (País).

• Configuração Opcional: Defina as configurações do Servidor SMTP e do Servidor de E-mail para garantir que o OTP possa ser recebido para clientes finais por e-mail para concluir o registro. Você pode configurar o nome do host ou o endereço IP do seu servidor local de e-mail/SMTP. Você também pode configurar o campo Do endereço e Assunto do e-mail que os clientes receberão. Por padrão, o Endereço De é admin@<nome de host ASA>.null e o Assunto é Convite de Registro de Certificado.

• Configuração opcional: você pode configurar os parâmetros opcionais como tamanho da chave do cliente, tamanho da chave do servidor de CA, Tempo de vida do certificado de CA e tempo de vida do certificado do cliente também.

Equivalente CLI:

ASA(config)# crypto ca server
ASA(config-ca-server)# issuer-name CN=ASA.local
ASA(config-ca-server)# subject-name-default CN=ASA.local
ASA(config-ca-server)# lifetime certificate 365
ASA(config-ca-server)# lifetime ca-certificate 1095
ASA(config-ca-server)# passphrase cisco123
ASA(config-ca-server)# no shutdown
% Some server settings cannot be changed after CA certificate generation.
Keypair generation process begin. Please wait...

Completed generation of the certificate and keypair...

Archiving certificate and keypair to storage... Complete

Esses campos adicionais podem ser configurados na configuração do servidor de autoridade de certificação local.

URL do ponto de Distribuição de CRL	Este é o local da CRL no ASA. O local padrão é http://hostname.domain/+CSCOCA+/asa_ca.crl, mas a URL pode ser modificada.
Porta e interface de CRL de publicação	Para disponibilizar a CRL para download HTTP em uma determinada interface e porta, escolha uma interface de CRL de publicação na lista suspensa. Em seguida, insira o número da porta, que pode ser qualquer número de porta de 1 a 65535. O número de porta padrão é a porta TCP 80.
Tempo de Vida da CRL	A autoridade de certificação local atualiza e emite novamente a CRL toda vez que um certificado de usuário é revogado ou não, mas se não houver alterações de revogação, a CRL será reemitida automaticamente toda vida da CRL, o período de tempo especificado com o comando lifetime durante a configuração da autoridade de certificação local. Se você não especificar um tempo de vida da CRL, o período de tempo padrão será de seis horas.
Local de Armazenamento do Banco de Dados	O ASA acessa e implementa informações de usuário, certificados emitidos e listas de revogação usando um banco de dados de CA local. Esse banco de dados reside na memória flash local por padrão ou pode ser configurado para residir em um sistema de arquivos externo que esteja montado e acessível ao ASA.
Nome de Assunto Padrão	Insira um assunto padrão (cadeia de caracteres DN) para anexar a um nome de usuário em certificados emitidos. Os atributos DN permitidos são fornecidos nesta lista: ·CN (nome comum)SN (apelido) ·O (Nome da Organização) ·L (Localidade) ·C (País) ·OU (Unidade Organizacional) ·EA (Endereço de Email) ·ST (Estado/Província) ·T (Título)
Período de inscrição	Define o limite de tempo de inscrição em horas dentro do qual o usuário pode recuperar o arquivo PKCS12 do ASA. O valor padrão é 24 horas. Observação: se o período de inscrição expirar antes que o usuário recupere o arquivo PKCS12 que inclui o certificado do usuário, a inscrição não será permitida.
Expiração de Senha de Uso Único	Define a quantidade de tempo em horas que o OTP é válido para inscrição de usuário. Esse período começa quando o usuário tem permissão para se inscrever. O valor padrão é 72 horas.
Lembrete de expiração de certificado	Especifica o número de dias antes da expiração do certificado em que um lembrete inicial para reinscrição é enviado aos proprietários do certificado.

Etapa 2. Criar e adicionar usuários ao banco de dados ASA

• Navegue para Configuration > Remote Access VPN > Certificate Management > Local Certificate Authority > Manage User Database.Clique em Add.

• Especifique os detalhes do usuário, como Nome de usuário, ID de e-mail e nome do assunto, conforme mostrado nesta imagem.

• Certifique-se de que a opção Allow Enrollment esteja marcada para que você possa se inscrever no certificado.
• Clique em Add User para concluir a configuração do usuário.

Equivalente CLI:

ASA(config)# crypto ca server user-db add user1 dn CN=user1,OU=TAC email user1@cisco.com

• Depois que o usuário for adicionado ao Banco de Dados de Usuários, o status da inscrição será mostrado como Permitido Inscrever.

CLI para verificar o status do usuário:

ASA# show crypto ca server user-db
username: user1
email:    user1@cisco.com
dn:       CN=user1,OU=TAC
allowed:  19:03:11 UTC Thu Jan 14 2016
notified: 1 times
enrollment status: Allowed to Enroll

• Depois que o usuário for adicionado ao Banco de Dados de Usuários, a OTP (One Time Password), para o usuário concluir o registro, poderá ser fornecida usando:

Enviar por e-mail o OTP (requer que o servidor SMTP e as configurações de e-mail sejam definidas na configuração do servidor de CA).

                                                                 OU

Visualize diretamente o OTP e compartilhe com o usuário clicando em Exibir/Gerar novamente o OTP. Isso também pode ser usado para regenerar o OTP.

Equivalente CLI:

!! Email the OTP to the user
ASA# crypto ca server user-db allow user1 email-otp 

!! Display the OTP on terminal
ASA# crypto ca server user-db allow user1 display-otp 
Username: user1
OTP: 18D14F39C8F3DD84
Enrollment Allowed Until: 14:18:34 UTC Tue Jan 12 2016

Etapa 3. Habilitar webvpn na interface WAN

• Habilite o Acesso via Web no ASA para que os clientes solicitem a inscrição.

!! Enable web-access on the "Internet" interface of the ASA
ASA(config)# webvpn
ASA(config-webvpn)#enable Internet

Etapa 4. Importar o certificado no computador cliente

• Na estação de trabalho cliente, abra um navegador e navegue até o link para concluir a inscrição.
• O IP/FQDN usado neste link deve ser o IP da interface em que webvpn está habilitado nessa etapa, que é interface Internet.

https:// 
        
          IP/FQDN>/+CSCOCA+/enroll.html 
        

• Insira o nome de usuário (configurado no ASA na Etapa 2 , opção A) e o OTP, que foi fornecido por E-mail ou manualmente.

• Clique em Abrir para instalar diretamente o certificado de cliente recebido do ASA.

• A senha para instalar o certificado do cliente é a mesma que a OTP recebida anteriormente.

• Clique em Next.

• Deixe o caminho como padrão e clique em Avançar.

• Insira o OTP no campo Senha.
• Você pode selecionar a opção Mark this key as exportable para que a chave possa ser exportada da estação de trabalho no futuro, se necessário.
• Clique em Next

• Você pode instalar manualmente o certificado em um determinado armazenamento de certificados ou deixá-lo para escolher automaticamente o armazenamento.
• Clique em Next.

• Clique em Finish para concluir a instalação.

• Depois que o certificado for instalado com êxito, você poderá verificá-lo.

• Abra o IE e navegue até Ferramentas > Opções da Internet.

• Navegue até a guia Content e clique em Certificates, como mostrado nesta imagem.

• Na loja pessoal, você pode ver o certificado recebido do ASA.

ASA como um gateway SSL para clientes AnyConnect

Assistente de configuração do ASDM AnyConnect

O Assistente de configuração do AnyConnect/CLI pode ser usado para configurar o AnyConnect Secure Mobility Client. Verifique se um pacote do AnyConnect Client foi carregado no flash/disco do firewall do ASA, antes de continuar.

Siga estas etapas para configurar o AnyConnect Secure Mobility Client usando o assistente de configuração:

1. Faça login no ASDM e navegue para Wizards> VPN Wizards > AnyConnect VPN Wizard para iniciar o Configuration Wizard e clique em Next.

  2. Digite o Nome do perfil de conexão, escolha a interface na qual a VPN será terminada no menu suspenso VPN Access Interface e clique em Next.

3. Marque a caixa de seleção SSL para habilitar o Secure Sockets Layer (SSL). O certificado do dispositivo pode ser emitido por uma autoridade de certificado (CA) de terceiros confiável (como a Verisign ou a Entrust) ou pode ser um certificado autoassinado. Se o certificado já estiver instalado no ASA, poderá ser escolhido no menu suspenso.

1. Observação: este certificado é o certificado do servidor que será apresentado pelo ASA aos clientes SSL. Se não houver certificados de servidor instalados no ASA, mais do que um certificado autoassinado deve ser gerado, clique em Gerenciar.

   Para instalar um certificado de terceiros, siga as etapas descritas no documento da Cisco Instalar manualmente os certificados de fornecedores de terceiros do ASA 8.x para uso com o exemplo de configuração de WebVPN.

   • Ative os protocolos VPN e o certificado do dispositivo.
   • Clique em Next.

4. Clique em Add para adicionar o pacote do AnyConnect Client (arquivo .pkg) da unidade local ou do flash/disco do ASA.

Clique em Browse Flash para adicionar a imagem da unidade flash ou clique em Upload para adicionar a imagem da unidade local da máquina host.

• Você pode carregar o arquivo AnyConnect.pkg do ASA Flash/Disk (se o pacote já estiver lá) ou da unidade local.
• Browse flash - para selecionar o pacote do AnyConnect no ASA Flash/Disco.
• Carregar - para selecionar o pacote do AnyConnect da unidade local do computador host.
• Click OK.

• Clique em Next.

5. A autenticação de usuário pode ser concluída através dos grupos de servidores AAA (Authentication, Authorization, and Accounting - Autenticação, Autorização e Contabilização). Se os usuários já estiverem configurados, escolha LOCAL e clique em Avançar. Caso contrário, adicione um usuário ao banco de dados de usuários locais e clique em Avançar.

Observação: neste exemplo, a autenticação LOCAL é configurada, o que significa que o banco de dados de usuário local no ASA será usado para autenticação.

6. Certifique-se de que o Pool de Endereços para os clientes VPN esteja configurado. Se um pool ip já estiver configurado, selecione-o no menu suspenso. Caso contrário, clique em New para fazer a configuração. Depois de concluir, clique em Avançar.

• Clique em Next.

7. Opcionalmente, configure os servidores e DNs do Sistema de Nomes de Domínio (DNS) nos campos DNS e Nome de Domínio e clique em Próximo.

8. Assegure-se de que o tráfego entre o cliente e a sub-rede interna esteja isento de qualquer conversão dinâmica de endereço de rede (NAT). Marque a caixa de seleção Exempt VPN traffic from network address translation e configure a interface LAN que será usada para a isenção. Além disso, especifique a rede local que deve ser isenta e clique em Avançar.

9. Clique em Próximo.

 10. A etapa final mostra o resumo, Clique em Finish para concluir a configuração.

Agora a configuração do AnyConnect Client está concluída. No entanto, quando você configura o AnyConnect através do Assistente de configuração, ele configura o método de autenticação como AAA por padrão. Para autenticar os clientes através de certificados e nome de usuário/senha, o grupo de túneis (Perfil de conexão) deve ser configurado para usar certificados e AAA como o método de autenticação.

• Navegue até Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles.
• Você deve ver o novo perfil de conexão SSL_GRP adicionado listado.

• Para configurar AAA e Certificate Authentication, selecione o Perfil de Conexão SSL_GRP e clique em Edit.
• Em Método de autenticação, selecione Ambos.

Configurar CLI para AnyConnect

!! *****Configure the VPN Pool*****

ip local pool VPN_Pool 10.10.10.1-10.10.10.200 mask 255.255.255.0

!! *****Configure Address Objects for VPN Pool and Local Network*****

object network NETWORK_OBJ_10.10.10.0_24
 subnet 10.10.10.0 255.255.255.0

object network NETWORK_OBJ_192.168.10.0_24
 subnet 192.168.10.0 255.255.255.0
 exit
  

!! *****Configure WebVPN***** 

webvpn
 enable Internet
 anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 exit

!! *****Configure User*****

username user1 password mbO2jYs13AXlIAGa encrypted privilege 2
   
!! *****Configure Group-Policy*****

group-policy GroupPolicy_SSL_GRP internal
group-policy GroupPolicy_SSL_GRP attributes
 vpn-tunnel-protocol ssl-client
 dns-server none
 wins-server none
 default-domain none
 exit
  
!! *****Configure Tunnel-Group*****

tunnel-group SSL_GRP type remote-access
tunnel-group SSL_GRP general-attributes
 authentication-server-group LOCAL
 default-group-policy GroupPolicy_SSL_GRP
 address-pool  VPN_Pool
tunnel-group SSL_GRP webvpn-attributes
 authentication aaa certificate
 group-alias SSL_GRP enable
 exit  

!! *****Configure NAT-Exempt Policy*****

nat (Inside,Internet) 1 source static NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 destination static NETWORK_OBJ_10.10.10.0_24 NETWORK_OBJ_10.10.10.0_24 no-proxy-arp route-lookup

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Observação: a Output Interpreter Tool (somente clientes registrados) suporta determinados comandos show. Use a ferramenta Output Interpreter para visualizar uma análise do resultado gerado pelo comando show..

Verifique se o servidor de autoridade de certificação está habilitado.

show crypto ca server

ASA(config)# show crypto ca server
Certificate Server LOCAL-CA-SERVER:
    Status: enabled
    State: enabled
    Server's configuration is locked  (enter "shutdown" to unlock it)
    Issuer name: CN=ASA.local
    CA certificate fingerprint/thumbprint: (MD5)
        32e868b9 351a1b07 4b59cce5 704d6615
    CA certificate fingerprint/thumbprint: (SHA1)
        6136511b 14aa1bbe 334c2659 ae7015a9 170a7c4d
    Last certificate issued serial number: 0x1
    CA certificate expiration timer: 19:25:42 UTC Jan 8 2019
    CRL NextUpdate timer: 01:25:42 UTC Jan 10 2016
    Current primary storage dir: flash:/LOCAL-CA-SERVER/

    Auto-Rollover configured, overlap period 30 days
    Autorollover timer: 19:25:42 UTC Dec 9 2018

    WARNING: Configuration has been modified and needs to be saved!!

Verifique se o usuário tem permissão para se inscrever após adicionar:

*****Before Enrollment*****

ASA# show crypto ca server user-db
username: user1
email:    user1@cisco.com
dn:       CN=user1,OU=TAC
allowed:  19:03:11 UTC Thu Jan 14 2016
notified: 1 times
enrollment status: Allowed to Enroll  >>> Shows the status "Allowed to Enroll"

*****After Enrollment*****

username: user1
email:    user1@cisco.com
dn:       CN=user1,OU=TAC
allowed:  19:05:14 UTC Thu Jan 14 2016
notified: 1 times
enrollment status: Enrolled, Certificate valid until 19:18:30 UTC Tue Jan 10 2017,
Renewal: Allowed

Você pode verificar os detalhes da conexão do anyconnect via CLI ou ASDM.

Via CLI

show vpn-sessiondb detail anyconnect

ASA# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : user1                  Index        : 1
Assigned IP  : 10.10.10.1             Public IP    : 10.142.189.181
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 13822                  Bytes Rx     : 13299
Pkts Tx      : 10                     Pkts Rx      : 137
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : GroupPolicy_SSL_GRP    Tunnel Group : SSL_GRP
Login Time   : 19:19:10 UTC Mon Jan 11 2016
Duration     : 0h:00m:47s
Inactivity   : 0h:00m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 1.1
  Public IP    : 10.142.189.181
  Encryption   : none                   Hashing      : none
  TCP Src Port : 52442                  TCP Dst Port : 443
  Auth Mode    : Certificate and userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Client OS    : Windows
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.2.00096
  Bytes Tx     : 6911                   Bytes Rx     : 768
  Pkts Tx      : 5                      Pkts Rx      : 1
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 1.2
  Assigned IP  : 10.10.10.1             Public IP    : 10.142.189.181
  Encryption   : RC4                    Hashing      : SHA1
  Encapsulation: TLSv1.0                TCP Src Port : 52443
  TCP Dst Port : 443                    Auth Mode    : Certificate and userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.2.00096
  Bytes Tx     : 6911                   Bytes Rx     : 152
  Pkts Tx      : 5                      Pkts Rx      : 2
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

DTLS-Tunnel:
  Tunnel ID    : 1.3
  Assigned IP  : 10.10.10.1             Public IP    : 10.142.189.181
  Encryption   : AES128                 Hashing      : SHA1
  Encapsulation: DTLSv1.0               UDP Src Port : 59167
  UDP Dst Port : 443                    Auth Mode    : Certificate and userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 30 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.2.00096
  Bytes Tx     : 0                      Bytes Rx     : 12907
  Pkts Tx      : 0                      Pkts Rx      : 142
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

NAC:
  Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
  SQ Int (T)   : 0 Seconds              EoU Age(T)   : 51 Seconds
  Hold Left (T): 0 Seconds              Posture Token:
  Redirect URL :

Via ASDM

• Navegue para Monitoring > VPN > VPN Statistics > Sessions.
• Escolha Filtrar por como Todo o acesso remoto.
• Você pode executar qualquer uma das ações para o AnyConnect Client selecionado.

Detalhes - Fornecer mais informações sobre a sessão

Logoff- Para fazer logoff manual do usuário do Headend

Ping- Fazer ping no AnyConnect Client a partir do headend

Troubleshooting

Esta seção disponibiliza informações para a solução de problemas de configuração.

Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Cuidado: no ASA, você pode definir vários níveis de depuração; por padrão, o nível 1 é usado. Se você alterar o nível de depuração, o detalhamento das depurações poderá aumentar. Faça isso com cuidado, especialmente em ambientes de produção.

• debug crypto ca
• debug crypto ca server
• debug crypto ca messages
• debug crypto ca transactions
• debug webvpn anyconnect

Esta saída de depuração mostra quando o servidor CA está Habilitado usando o comando no shut.

ASA# debug crypto ca 255
ASA# debug crypto ca server 255
ASA# debug crypto ca message 255
ASA# debug crypto ca transaction 255

CRYPTO_CS: input signal enqueued: no shut   >>>>> Command issued to Enable the CA server 
Crypto CS thread wakes up!

CRYPTO_CS: enter FSM: input state disabled, input signal no shut
CRYPTO_CS: starting enabling checks
CRYPTO_CS: found existing serial file.
CRYPTO_CS: started CA cert timer, expiration time is 17:53:33 UTC Jan 13 2019
CRYPTO_CS: Using existing trustpoint 'LOCAL-CA-SERVER' and CA certificate
CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.ser
CRYPTO_CS: DB version 1
CRYPTO_CS: last issued serial number is 0x4
CRYPTO_CS: closed ser file
CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.crl
CRYPTO_CS: CRL file LOCAL-CA-SERVER.crl exists.
CRYPTO_CS: Read 220 bytes from crl file.
CRYPTO_CS: closed crl file
CRYPTO_PKI: Storage context locked by thread Crypto CA Server

CRYPTO_PKI: inserting CRL
CRYPTO_PKI: set CRL update timer with delay: 20250
CRYPTO_PKI: the current device time: 18:05:17 UTC Jan 16 2016

CRYPTO_PKI: the last CRL update time: 17:42:47 UTC Jan 16 2016
CRYPTO_PKI: the next CRL update time: 23:42:47 UTC Jan 16 2016
CRYPTO_PKI: CRL cache delay being set to: 20250000
CRYPTO_PKI: Storage context released by thread Crypto CA Server

CRYPTO_CS: Inserted Local CA CRL into cache!

CRYPTO_CS: shadow not configured; look for shadow cert
CRYPTO_CS: failed to find shadow cert in the db
CRYPTO_CS: set shadow generation timer
CRYPTO_CS: shadow generation timer has been set
CRYPTO_CS: Enabled CS.
CRYPTO_CS: exit FSM: new state enabled
CRYPTO_CS: cs config has been locked.

Crypto CS thread sleeps!

Esta saída de depuração mostra a inscrição do cliente

ASA# debug crypto ca 255
ASA# debug crypto ca server 255
ASA# debug crypto ca message 255
ASA# debug crypto ca transaction 255

CRYPTO_CS: writing serial number 0x2.
CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.ser
CRYPTO_CS: Writing 32 bytes to ser file
CRYPTO_CS: Generated and saving a PKCS12 file for user user1
at flash:/LOCAL-CA-SERVER/user1.p12

O registro do cliente pode falhar sob estas condições:

Cenário 1.

• O usuário é criado no banco de dados do servidor de autoridade de certificação sem a permissão para se inscrever.

Equivalente CLI:

ASA(config)# show crypto ca server user-db
username: user1
email:    user1@cisco.com
dn:       CN=user1,OU=TAC
allowed:  <not allowed>
notified: 0 times
enrollment status: Not Allowed to Enroll

• No caso em que o usuário não tem permissão para se inscrever, tentar gerar/enviar por e-mail o OTP para o usuário gera essa mensagem de erro.

Cenário 2.

• Verifique a porta e a interface em que o portal de registro está disponível usando o comando show run webvpn. A porta padrão é 443, mas pode ser modificada.

• Verifique se o cliente tem acessibilidade de rede para o endereço IP da interface em que webvpn está habilitado na porta usada para acessar com êxito o portal de registro.

O cliente pode falhar ao acessar o portal de inscrição do ASA nestes casos:

1. Se algum dispositivo intermediário bloquear as conexões de entrada do cliente para o IP webvpn do ASA na porta especificada.
2. O estado da interface é down no qual webvpn está habilitado.

• Esta saída mostra que o portal de registro está disponível no endereço IP da interface Internet na porta 4433 personalizada.

ASA(config)# show run webvpn
webvpn
 port 4433
 enable Internet
 no anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1 
 anyconnect enable 
 tunnel-group-list enable

Cenário 3.

• O local padrão do armazenamento de banco de dados do servidor CA é a memória Flash do ASA.
• Certifique-se de que a memória flash tenha espaço livre para gerar e salvar o arquivo pkcs12 para o usuário durante o registro.
• No caso em que a memória flash não tem espaço livre suficiente, o ASA falha ao concluir o processo de registro do cliente e gera estes logs de depuração:

ASA(config)# debug crypto ca 255
ASA(config)# debug crypto ca server 255
ASA(config)# debug crypto ca message 255
ASA(config)# debug crypto ca transaction 255
ASA(config)# debug crypto ca trustpool 255
CRYPTO_CS: writing serial number 0x2.
CRYPTO_CS: file opened: flash:/LOCAL-CA-SERVER/LOCAL-CA-SERVER.ser
CRYPTO_CS: Writing 32 bytes to ser file
CRYPTO_CS: Generated and saving a PKCS12 file for user user1
at flash:/LOCAL-CA-SERVER/user1.p12

CRYPTO_CS: Failed to write to opened PKCS12 file for user user1, fd: 0, status: -1.

CRYPTO_CS: Failed to generate pkcs12 file for user user1 status: -1.

CRYPTO_CS: Failed to process enrollment in-line for user user1. status: -1

Informações Relacionadas

• Dispositivos de segurança adaptáveis Cisco ASA 5500 Series
• Guia de solução de problemas do cliente AnyConnect VPN - Problemas comuns
• Gerenciamento, monitoramento e solução de problemas de sessões do AnyConnect
• Suporte Técnico e Documentação - Cisco Systems