Clientless SSL VPN using Certificates for two- factor Auth一、準(zhǔn)備以下內(nèi)容描述了，Clientless SSL VPN通過(guò)AAA Certif

Clientless SSL VPN using Certificates for two- factor Auth

一、準(zhǔn)備

以下內(nèi)容描述了，Clientless SSL VPN通過(guò)AAA Certificate方式，實(shí)現(xiàn)雙因子認(rèn)證的步驟。其中，AAA 服務(wù)器采用了Local User Database，在實(shí)際生產(chǎn)環(huán)境可以采用AD 等AAA 服務(wù)器；Certificate 采用了ASA 本地生成的自簽名的數(shù)字證書。

測(cè)試環(huán)境：

ASA 8.2(3)

ASDM 6.3(4)

二、將ASA 配置為CA 服務(wù)器

在ASDM 中，進(jìn)入Configuration > Remote Access VPN > Certificate Management > Local Certificate Authority > CA Server，選中“Enable ”，并填寫相應(yīng)內(nèi)容。

1） 選中“create certificate authority server”

2） 輸入一個(gè)密碼，用于保護(hù)root certificate，其余部分缺省不變

3） 在“SMTP Server ”處，填寫郵件服務(wù)器IP 地址，用于發(fā)送identity certificate 給新

注冊(cè)的用戶。如果沒(méi)有郵件服務(wù)器，也可以使用手工方式獲取用戶certificate

4） 其他采用缺省值，點(diǎn)擊“Apply ”

三、在ASA 配置可信的身份證書

如果已經(jīng)完成證書的申請(qǐng)，則可以直接選中“Import the identity certificate from a file”。在本實(shí)驗(yàn)中，采用了自簽名的證書。

在ASDM 中，進(jìn)入Configuration > Remote Access VPN > Certificate Management > Identity Certificates 。

1） 點(diǎn)擊“Add ”

2） 選中“Add a new identity certificate”

3） 點(diǎn)擊“New ”，并選中“Enter new key pair name”，輸入asacert ，作為密鑰對(duì)的名字，

然后點(diǎn)擊“Generate Now”

4） 點(diǎn)擊“Advanced ”，并在“IP Address ”欄中輸入ASA 的IP 地址（在域名無(wú)法解析

環(huán)境中必須配置），并點(diǎn)擊“OK ”

5） 選中“Generate self-signed certificate”，并點(diǎn)擊“Add Certificate”

四、配置Local Users

添加一個(gè)本地用戶，用戶名為user1，并設(shè)置密碼。（步驟略）

五、配置Clientless SSL VPN訪問(wèn)

在ASDM 中，進(jìn)入Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles 。缺省情況下Connection Profile 會(huì)應(yīng)用DefaultWEBVPNGroup ，其缺省情況下會(huì)采用LOCAL 認(rèn)證方式。

1) 選中“DefaultWEBVPNGroup ”，點(diǎn)擊“Edit ”

2) 在“Authentication ”中，選中“Both ”

六、配置手工獲取證書

在ASDM 中，進(jìn)入Configuration > Remote Access VPN > Certificate Management > Local Certificate Authority > Manage User Database

1） 點(diǎn)擊“Add ”

2） 分別輸入U(xiǎn)sername, Email ID和Subject(DN String)，點(diǎn)擊“Add User”

3） 如果采用郵件方式獲取證書，點(diǎn)擊“Email OTP”

4） 如果采用手工方式獲取證書，點(diǎn)擊“View/Re-generate OTP”查看OTP ，這個(gè)密碼除了用于客戶端訪問(wèn)時(shí)獲取數(shù)字證書外，在客戶端安裝證書時(shí)也需要輸入這個(gè)密碼。