Clientless SSL VPN using Certificates for two- factor Auth一、準(zhǔn)備以下內(nèi)容描述了，Clientless SSL VPN通過AAA Certif

Clientless SSL VPN using Certificates for two- factor Auth

一、準(zhǔn)備

以下內(nèi)容描述了，Clientless SSL VPN通過AAA Certificate方式，實現(xiàn)雙因子認(rèn)證的步驟。其中，AAA 服務(wù)器采用了Local User Database，在實際生產(chǎn)環(huán)境可以采用AD 等AAA 服務(wù)器；Certificate 采用了ASA 本地生成的自簽名的數(shù)字證書。

測試環(huán)境：

ASA 8.2(3)

ASDM 6.3(4)

二、將ASA 配置為CA 服務(wù)器

在ASDM 中，進(jìn)入Configuration > Remote Access VPN > Certificate Management > Local Certificate Authority > CA Server，選中“Enable ”，并填寫相應(yīng)內(nèi)容。

1） 選中“create certificate authority server”

2） 輸入一個密碼，用于保護(hù)root certificate，其余部分缺省不變

3） 在“SMTP Server ”處，填寫郵件服務(wù)器IP 地址，用于發(fā)送identity certificate 給新

注冊的用戶。如果沒有郵件服務(wù)器，也可以使用手工方式獲取用戶certificate

4） 其他采用缺省值，點擊“Apply ”

三、在ASA 配置可信的身份證書

如果已經(jīng)完成證書的申請，則可以直接選中“Import the identity certificate from a file”。在本實驗中，采用了自簽名的證書。

在ASDM 中，進(jìn)入Configuration > Remote Access VPN > Certificate Management > Identity Certificates 。

1） 點擊“Add ”

2） 選中“Add a new identity certificate”

3） 點擊“New ”，并選中“Enter new key pair name”，輸入asacert ，作為密鑰對的名字，

然后點擊“Generate Now”

4） 點擊“Advanced ”，并在“IP Address ”欄中輸入ASA 的IP 地址（在域名無法解析

環(huán)境中必須配置），并點擊“OK ”

5） 選中“Generate self-signed certificate”，并點擊“Add Certificate”

四、配置Local Users

添加一個本地用戶，用戶名為user1，并設(shè)置密碼。（步驟略）

五、配置Clientless SSL VPN訪問

在ASDM 中，進(jìn)入Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles 。缺省情況下Connection Profile 會應(yīng)用DefaultWEBVPNGroup ，其缺省情況下會采用LOCAL 認(rèn)證方式。

1) 選中“DefaultWEBVPNGroup ”，點擊“Edit ”

2) 在“Authentication ”中，選中“Both ”

六、配置手工獲取證書

在ASDM 中，進(jìn)入Configuration > Remote Access VPN > Certificate Management > Local Certificate Authority > Manage User Database

1） 點擊“Add ”

2） 分別輸入Username, Email ID和Subject(DN String)，點擊“Add User”

3） 如果采用郵件方式獲取證書，點擊“Email OTP”

4） 如果采用手工方式獲取證書，點擊“View/Re-generate OTP”查看OTP ，這個密碼除了用于客戶端訪問時獲取數(shù)字證書外，在客戶端安裝證書時也需要輸入這個密碼。