Web*** 用ASA自簽名證書認證
用戶通過在線申請證書的形式來獲取證書,然後用此證書來完成Anyconnect 或者Clientless Web***的認證。本功能用戶體驗是相當的好。
測試環境:
ASA:Cisco Adaptive Security Appliance Software Version 8.0(4)
ASDM:Device Manager Version 6.4(9)
實驗拓撲:
準備工作:
―――――――――――――――――――――――――――――――――――――
ciscoasa(config)# sho run http
http server enable 500
http 0.0.0.0 0.0.0.0 Outside
―――――――――――――――――――――――――――――――――――――
ciscoasa(config)# sho run we
ciscoasa(config)# sho run web***
web***
enable Outside
svc image disk0:/anyconnect-win-2.4.1012-k9.pkg 1
svc enable
―――――――――――――――――――――――――――――――――――――
ciscoasa(config)# sho run ip local pool
ip local pool svc 192.168.1.1-192.168.1.100
―――――――――――――――――――――――――――――――――――――
ciscoasa(config)# sho run group-policy
group-policy DfltGrpPolicy attributes
***-tunnel-protocol IPSec l2tp-ipsec svc web***
address-pools value svc
―――――――――――――――――――――――――――――――――――――
設置同步時區和時間。
-----------------------------------------------------------------
測試過程:
一、將ASA配置成CA證書服務器
二、 在ASA配置可信的身份證書
三、 配置tunnel group :
將認證方式改爲證書認證和啓用用戶證書申請功能 
四、 用戶自己申請證書:
用戶申請證書首先要有管理員提供的一次性密碼。
1、爲用戶創建一次性密碼,有兩種方式給用戶(離線方式和在線郵件方式),本次用離線式。 
2、用戶申請證書:
1、通過web瀏覽器申請證書,打開IE輸入ASA 開啓*** 接口的IP
在上面的認證窗口中輸入用戶名user1和給user1生成的OTP,點擊提交,爲用戶生成一個pks12的證書文件,裏面包含證書對應的私鑰。直接運行安裝,過程中要求輸入保護私鑰的密碼,次密碼也是剛纔對應的OTP。
輸入用戶名和對應的一次性密碼來完成證書的申請:
五、 測試連接:
打開瀏覽器輸入*** IP:
有一個證書報錯,說是根證書不受信任。我們只需要把根證書導入受信任的根證書頒發機構:
登陸成功:
