2024年3月20日发(作者:)

Clientless SSL VPN using Certificates for two- factor Auth

一、准备

以下内容描述了,Clientless SSL VPN通过AAA+Certificate方式,实现双因子认证的步

骤。其中,AAA服务器采用了Local User Database,在实际生产环境可以采用AD等AAA

服务器;Certificate采用了ASA本地生成的自签名的数字证书。

测试环境:

ASA 8.2(3)

ASDM 6.3(4)

二、将ASA配置为CA服务器

在ASDM中,进入Configuration > Remote Access VPN > Certificate Management > Local

Certificate Authority > CA Server,选中“Enable”,并填写相应内容。

1) 选中“create certificate authority server”

2) 输入一个密码,用于保护root certificate,其余部分缺省不变

3) 在“SMTP Server”处,填写邮件服务器IP地址,用于发送identity certificate给新

注册的用户。如果没有邮件服务器,也可以使用手工方式获取用户certificate

4) 其他采用缺省值,点击“Apply”

三、在ASA配置可信的身份证书

如果已经完成证书的申请,则可以直接选中“Import the identity certificate from a file”。

在本实验中,采用了自签名的证书。

在ASDM中,进入Configuration > Remote Access VPN > Certificate Management > Identity

Certificates。

1) 点击“Add”

2) 选中“Add a new identity certificate”

3) 点击“New”,并选中“Enter new key pair name”,输入asacert,作为密钥对的名字,

然后点击“Generate Now”

4) 点击“Advanced”,并在“IP Address”栏中输入ASA的IP地址(在域名无法解析

环境中必须配置),并点击“OK”

5) 选中“Generate self-signed certificate”,并点击“Add Certificate”

四、配置Local Users

添加一个本地用户,用户名为user1,并设置密码。(步骤略)

五、配置Clientless SSL VPN访问

在ASDM中,进入Configuration > Remote Access VPN > Clientless SSL VPN Access >

Connection Profiles。缺省情况下Connection Profile会应用DefaultWEBVPNGroup,其缺省

情况下会采用LOCAL认证方式。

1) 选中“DefaultWEBVPNGroup”,点击“Edit”

2) 在“Authentication”中,选中“Both”

六、配置手工获取证书

在ASDM中,进入Configuration > Remote Access VPN > Certificate Management > Local

Certificate Authority > Manage User Database

1) 点击“Add”

2) 分别输入Username, Email ID和Subject(DN String),点击“Add User”

3) 如果采用邮件方式获取证书,点击“Email OTP”

4) 如果采用手工方式获取证书,点击“View/Re-generate OTP”查看OTP,这个密码除

了用于客户端访问时获取数字证书外,在客户端安装证书时也需要输入这个密码。