Аутентификация сертификата машины ASA Secure-client
-
У меня есть ASA, настроенная для аутентификации сертификатов AlwaysON SSL-VPN, которая работает нормально, но я хочу перейти на аутентификацию на основе компьютера, и изменение, которое я сделал, заключается в изменении профиля подключения -> поле «Primary» --> изменение с «UPN» на «CN», и это не работает. Пожалуйста, помогите. ![NajibAkbari_0-1763602445370.png] Кроме того, что вы думаете об изменении аутентификации на основе сертификата пользователя на аутентификацию на основе сертификата компьютера? Это лучше с точки зрения безопасности? Причина, по которой я хочу внести изменения, заключается в том, что в случае аутентификации на основе пользователя пользователь должен как минимум один раз войти в систему и добавить сертификат или отправить его на аутентификацию из домена.
-
Для всех, кому это нужно знать и кому это может помочь: проблема решена! Оказалось, что длина открытого ключа RSA на компьютере 1024 не совпадала с длиной ключа ASA RSA 2048. Изменил политику домена для сертификата компьютера на 2048 и запросил новый сертификат на компьютере с Windows, после чего AlwaysOn VPN на основе сертификата компьютера заработал. ![NajibAkbari_0-1763772767269.png]
-
Помогите мне, пожалуйста, узнать, какие требования я должен добавить и/или изменить, чтобы перейти с аутентификации по сертификату пользователя на аутентификацию по сертификату компьютера Windows?
-
Также, пожалуйста, сообщите мне, лучше ли оставить ASA в качестве локальной аутентификации или перенести ее в ISE? В настоящее время ASA выполняет аутентификацию, а ISE — авторизацию.
-
@Najib Akbari
Почему бы не использовать двойную аутентификацию? — компьютерный сертификат + аутентификация AAA через ISE с использованием учетных данных AD пользователя. Это будет более безопасным, чем просто аутентификация по компьютерному или пользовательскому сертификату. -
Я согласен, это просто для удобства пользователей, пока они хотят аутентификацию по компьютерному сертификату. У меня есть проблема с ее подключением.
-
@Najib Akbari
запустите отладку и предоставьте результаты для проверки. debug webvpn AnyConnect 255
debug crypto ca 255 -
единственный вывод из CLI:
SSL verify callback: алгоритм обмена ключами, извлеченный из SSL Cipher и профиль, всегда включенный: ![NajibAkbari_0-1763665422059.png]
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти