我花了很多时间在网上浏览解决方案,但是唉,所以我最后得出结论,这可能是一个有趣的话题要发现 .
这是任务:
1. I need to establish VPN connection from MAC OS X (preferrably built in IPSec client) to remote Cisco ASA 5500.
2. What I have: two certificates, one for VPN connection cyphering, one for remote desktop login. Both of them stored on eToken.
问题在于 Build 连接:在思科官方网站上有关于支持的vpn客户端的评论,并且在IPSec客户端中内置的mac os x似乎是合适的 . 此外,对于ASA 5500,它适用于“l2tp over ipsec”和“Cisco IPSec”模式 . 现在,让我们尝试 Build “Cisco IPSec”(设置>网络>添加连接) . 我有主机地址,帐户名和密码,我确定它是正确的,因为我在Win7中检查过它 .
The most interesting thing is in "Authentication settings": here, I supposed to choose a certificate, but my Keychain reports, that there are no suitable certificates in my Keychain.
原因可能是"type"的证书 . 我拥有的所有证书都被OS X识别为 user certificates ,因此它不能用于授权机器( by the way, is it right? ) .
好的,如果我们尝试通过IPSec进行l2tp,就会出现同样的问题:我甚至可以从eToken中选择一个用户证书,但我仍然没有机器证书 .
这通常是在Windows中的样子:
-
运行Cisco VPN客户端
-
设置主机地址,而不仅仅是选择证书(允许以某种方式选择:))
-
点击连接,输入eToken的图钉并连接
So how to set up a connection if:
1. eToken is quite visible with its certs even for native IPsec client.
2. There is a cisco asa 5500 on other end.
OR I would be glad for a hint or a link to where I can find any description about cisco vpn features...
系统:OS X Lion 10.7.4,eToken SafeNet Authentication Client 8.0 .
如果有人知道不同客户的决定 - 很高兴在这里看到它 .
先谢谢!
1 回答
证书颁发机构通过OpenSSL进行管理,目前位于服务器497398(appdr.Company.com)上 .
CA目录结构位于/ etc / pki / CA /中
OpenSSL配置文件位于/etc/pki/tls/openssl.cnf
openssl.cnf文件中最重要的配置条目是:
该行需要=符号周围的空格 .
如果客户应该选择添加另一个防火墙设备,则需要使用另一个DNS:条目中的该FQDN更新此行,并且必须重新创建所有密钥并将其重新发布给用户 .
DFW和ORD中客户帐户上的防火墙设置为使用证书以及用户名/密码通过两阶段身份验证进行身份验证 .
我们使用的是我们在CA上生成并分发给客户端的证书 . 每个防火墙还需要它自己的PFX格式证书以及PEM格式的CA证书的副本 . 防火墙设备的PFX证书不得包含CA证书 . CA证书必须以PEM格式单独导入防火墙!此CA证书成为防火墙上的信任点 .
防火墙还包括在设备上设置的基本用户名/密码验证 .
防火墙证书密钥密码与密码备注中的设备本身一起记录 .
客户端需要连接到每个防火墙的DNS名称,并且必须(截至2013年5月31日)为primary-vpn.Company.com或backup-vpn.Company.com . 不支持通过IP地址连接,因为证书不包含IP地址的subjectAltName . 这是为了支持任何未来的IP更改,而无需重新键入所有客户端和设备 .
每个用户都需要使用openssl和CA密钥生成单独的密钥和证书 . CA密钥密码记录在密码备注中的设备497398(appdr)下 .
您将需要以下证书创建过程的CA密钥密码(openssl ca ...)
如何添加新用户......
在ca-server上:
cd / etc / pki / CA.
openssl genrsa 2048 -out> username.Companyvpn.key
openssl req -new -key username.Companyvpn.key -out username.Companyvpn.csr(OU = username)(Common Name = username)(无密码)
生成证书openssl ca -policy policy_anything -out username.Companyvpn.crt -infiles username.Companyvpn.csr(是签署证书)
生成新的随机密码(12个字符)echo
</dev/urandom tr -dc 'a-zA-Z0-9'| head -c12
使PFX证书/密钥存档openssl pkcs12 -export -out username.Companyvpn.pfx -inkey username.Companyvpn.key -in username.Companyvpn.crt -certfile /etc/pki/CA/certs/CompanyCA.crt(输入随机密码你刚刚生成)
使用此命令验证证书openssl x509 -in username.Companyvpn.crt -text -noout
寻找到期日,应该是一年 .
也寻找这条线:
X509v3主题替代名称
如果您没有看到主题备用名称行 - 停止 - openssl.cnf文件可能有问题!!
联系上级管理员以获取帮助
通过将新PFX文件附加到客户票证并为其提供密码来分发新PFX文件 .
如何创建设备证书/密钥......
在ca-server上:
更改为OpenSSL CA目录cd / etc / pki / CA.
为FW设备生成密钥openssl genrsa 1024> backup-vpn.Company.com.key
为FW设备本身生成CSR openssl req -new -key backup-vpn.Company.com.key -out backup-vpn.Company.com.csr(OU是Kimbia证书)(通用名backup-vpn.Company.com) (没有密码)
从CSR为FW设备生成证书openssl ca -days 3650 -in backup-vpn.Company.com.csr -out backup-vpn.Company.com.crt
为FW设备制作PFX(无捆绑CA证书)openssl pkcs12 -export -out backup-vpn.Company.com.pfx -inkey backup-vpn.Company.com.key -in backup-vpn.Company.com.crt(使用'rack'导出密码或生成随机密码)
Base64编码用于NetSec的PFX存档包含在ASA上,因为Cisco设备需要此openssl base64 -in backup-vpn.Company.com.pfx -out backup-vpn.Company.com.pfx.b64
将Base64编码的PFX存档分发给NetSec团队
将PEM编码的/etc/pki/CA/certs/CompanyCA.crt分发给NetSec团队
天堂禁止,如果你需要重新生成CA证书和密钥,这里是流程......
将目录更改为CA cd / etc / pki / CA.
生成密钥openssl genrsa -out /etc/pki/CA/private/CompanyCA.key -des3 2048
生成证书openssl req -new -x509 -key /etc/pki/CA/private/CompanyCA.key -days 3650> /etc/pki/CA/certs/CompanyCA.crt
您现在必须重新生成所有设备密钥和证书,重新配置所有设备,并根据上述说明重新生成所有用户密钥和证书 .
我们已设置2023的当前CA /设备集的到期时间,以避免再次执行此操作 .
撤消特定证书并禁用用户...
在ca-server上:
将目录更改为CA cd / etc / pki / CA.
撤销证书openssl ca -revoke username.Companyvpn.crt
让NetSec从防火墙中删除用户名和隧道组条目 .
这是当前的/etc/pki/tls/openssl.cnf截至2013年5月31日