与比利时eID卡的ASA

8.
xAnyconnect认证目录简介先决条件要求使用的组件规则背景信息本地PC设置操作系统读卡器eID运行时间软件验证证书AnyConnect安装ASA需求ASA配置步骤1.
启用外部接口步骤2.
配置域名、密码和系统时间步骤3.
启用在外部接口的一个DHCP服务器.
步骤4.
配置eIDVPN地址池步骤5.
导入比利时根CA证书步骤6.
配置安全套接字协议层步骤7.
定义默认组策略步骤8.
定义证书映射步骤9.
添加一个本地用户步骤10.
重新启动ASA优化一分钟配置相关信息简介本文描述如何设置ASA8.
xAnyconnect验证使用比利时eID卡.
先决条件要求本文档没有任何特定的要求.
使用的组件本文档中的信息基于以下软件和硬件版本:与适当的ASA8.
0软件的ASA5505qAnyConnectClientqASDM6.
0q本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.

规则有关文档规则的详细信息,请参阅Cisco技术提示规则.
背景信息eID是用户在一个远程WindowsPC必须使用为了验证的比利时政府发出的PKI(公共钥匙结构)卡.
AnyConnect软件客户端在本地PC安装并且采取从远程PC的认证证书.
一旦验证完成,远程用户获得访问到中央资源通过一个全双工SSL通道.
远程用户配置有从池获取的IP地址管理由ASA.

本地PC设置操作系统操作系统(Windows、MacOS、Unix或者Linux)在您的本地PC一定是当前与安装的所有所需的补丁.
读卡器一个电子卡读者在您的本地计算机必须安装为了使用eID卡.
电子卡读者是establishs通信信道程序在计算机和芯片之间的在ID卡的硬件设备.
对于已批准卡片阅读机列表,参考此URL:http://www.
cardreaders.
be/en/default.
htm注意:为了使用卡片阅读机,您必须安装硬件厂商推荐的驱动程序.
eID运行时间软件您必须安装比利时政府提供的eID运行时软件.
此软件允许远程用户读,验证和打印eID卡的内容.

软件是可用的用法语和荷兰语为Windows、MACOSX和Linux.
欲知更多信息,参考此URL:http://www.
belgium.
be/zip/eid_datacapture_nl.
htmlq验证证书您必须导入验证证书到本地PC的MicrosoftWindows存储.
如果不能导入证书到存储,AnyConnect客户端无法建立对ASA的SSL连接.
步骤为了导入验证证书到Windows存储,请完成这些步骤:插入您的eID到卡片阅读机,并且启动中间件为了访问eID卡的内容.
eID卡的内容出现.

1.
点击Certificats(FR)选项卡.
证书层级显示.
2.
展开比利时根CA,然后展开公民CA.
3.
选择您的已命名证书验证版本.
4.
点击Enregistrer(FR)按钮.
证书复制到Windows存储.
5.
注意:当您点击详细信息按钮时,窗口看来关于证书的显示详细信息.
在详细信息选项卡,请选择主题字段为了查看SerialNumber字段.
SerialNumber字段包含使用用户授权的一个唯一值.
例如,序列号"56100307215"代表出生日期是十月第3的用户,1956年与序号072和校验数字15.
您必须提交一个要求从联邦权限的批准为了存储这些编号.
是您的责任做与比利时公民数据库的维护涉及的适当的正式说明您的国家的.
验证为了验证顺利地导入的证书,完成这些步骤:在WindowsXP计算机,请打开DOS窗口,并且键入mmc命令.
控制台应用程序出现.
1.
选择File>添加/删除管理单元(或请按Ctrl+M).
添加/删除卡扣式对话框出现.

2.
单击Add按钮.
添加独立卡扣式对话框出现.
3.
在独立Snap-ins列出的联机,选择证书,并且单击添加.
4.
点击我的用户帐户单选按钮,并且点击芬通社.
证书管理单元在添加/删除管理单元对话框出现.
5.
点击Close为了关闭添加独立卡扣式对话框,然后点击OK键在添加/删除卡扣式对话框内为了保存您的更改和返回对控制台应用程序.
6.
在控制台根文件夹下,请展开证书-当前用户.
7.
展开个人,然后展开证书.
如此镜像所显示,已导入证书必须在Windows存储出现:8.
AnyConnect安装您必须安装远程PC的AnyConnect客户端.
AnyConnect软件使用可以编辑为了预先设定可用的网关列表的一个XML配置文件.
XML文件在远程PC的此路径存储:C:\DocumentsandSettings\%USERNAME%\应用程序数据\思科\CiscoAnyConnectVPN客户那里%USERNAME%是用户的名称远程PC的.
XML文件的名称是preferences.
xml.
这是文件的内容的示例:192.
168.
0.
1那里192.
168.
0.
1是ASA网关的IP地址.
ASA需求保证ASA符合这些要求:AnyConnect和ASDM在闪存必须运行.
为了完成在本文的步骤,请以安装的适当的ASA8.
0软件使用ASA5505.
在闪存必须预先输入AnyConnect和ASDM应用程序.
请使用showflash命令为了查看flash:内容ciscoasa#showflash:--#----length-------date/time------path6614524416Jun26200710:24:02asa802-k8.
binq676889764Jun26200710:25:28asdm-602.
bin682635734Jul09200707:37:06anyconnect-win-2.
0.
0343-k9.
pkgASA必须以出厂默认设置运行.
如果使用一个新的ASA机箱为了完成在本文的步骤您能跳过此需求.
否则,请完成这些步骤为了重置ASA到出厂默认设置:在ASDM应用程序,请连接对ASA机箱,并且选择File>重置设备对工厂默认配置.
留下在模板的默认值.
连接您的在Ethernet0/1内部接口的PC,并且更新将由ASA的DHCP服务器设置的您的IP地址.
注意:为了重置ASA到从line命令的出厂默认设置,请使用这些命令:ciscoasa#conftciscoasa#configfactory-default192.
168.
0.
1255.
255.
255.
0qASA配置一旦重置ASA出厂默认设置,您能开始ASDM到192.
168.
0.
1为了连接到在Ethernet0/1内部接口的ASA.
注意:您的上一个密码保留默认情况下(或可以是空白的).
默认情况下,ASA接受有一源IP地址的一流入管理会话在子网192.
168.
0.
0/24.
默认DHCP服务器在ASA的内部接口启用提供在范围192.
168.
0.
2-129/24的IP地址,有效连接到与ASDM的内部接口.

完成这些步骤为了配置ASA:启用外部接口1.
配置域名、密码和系统时间2.
启用在外部接口的一个DHCP服务器3.
配置eIDVPN地址池4.
导入比利时根CA证书5.
配置安全套接字协议层6.
定义默认组策略7.
定义证书映射8.
添加一个本地用户9.
重新启动ASA10.
步骤1.
启用外部接口此步骤描述如何启用外部接口.
在ASDM应用程序,请点击配置,然后单击设备设置.
1.
在设备设置地区中,请选择接口,然后单击接口选项卡.
2.
选择外部接口,并且单击编辑.
3.
在常规选项卡的IP地址部分,请选择使用静态IP选项.
4.
进入IP地址的子网掩码的197.
0.
100.
1和255.
255.
255.
0.
5.
单击Apply.
6.
步骤2.
配置域名、密码和系统时间此步骤描述如何配置域名、密码和系统时间.
在设备设置地区中,请选择设备名/密码.
1.
输入域名的cisco.
be和回车cisco123for特权密码值.
注意:默认情况下,密码是空白的.

2.
单击Apply.
3.
在设备设置地区中,请选择系统时间,并且更改时钟值(如果需要).
4.
单击Apply.
5.
步骤3.
启用在外部接口的DHCP服务器.
此步骤描述如何使在外部接口的一个DHCP服务器为了实现测试.
单击Configuration,然后单击DeviceManagement.
1.
在设备管理地区中,请展开DHCP,并且选择DHCP服务器.
2.
选择从接口列表的外部接口,并且单击编辑.
编辑DHCP服务器对话框出现.

3.
检查Enable(event)DHCP服务器复选框.
4.
在DHCP地址池,请输入从197.
0.
100.
20的一个IP地址到197.
0.
100.
30.
5.
在全局DHCP选项地区中,请不选定从接口检查复选框的Enable(event)自动配置.
6.
单击Apply.
7.
步骤4.
配置eIDVPN地址池此步骤描述如何定义使用设置远程AnyConnect客户端IP地址的池.
单击Configuration,然后单击RemoteAccessVPN.
1.
在删除接入VPN地区中,请展开网络(客户端)访问,然后展开地址分配.
2.
选择地址池,然后单击Add按钮位于在名为的ConfigureIP地址游泳池周围.
此时将出现AddIPPool对话框.
3.
在Name字段,回车EIDVPNPOOL.
4.
在开始的IP地址和结束IP地址字段,请输入范围从192.
168.
10.
100的IP地址到192.
168.
10.
110.
5.
从子网掩码下拉列表选择255.
255.
255.
0,点击OK键和然后单击应用.
6.
步骤5.
导入比利时根CA证书此步骤描述如何导入到ASA比利时根CA证书.
下载并且安装比利时根CA证书(belgiumrca.
crt和belgiumrca2.
crt)从政府网站并且存储它在您的本地PC.
比利时政府网站查找在此URL:http://certs.
eid.
belgium.
be/1.
在远程访问VPN地区中,请展开证书管理,并且选择CA证书.
2.
单击添加,然后单击安装从文件.
3.
浏览到您保存比利时根CA证书的位置(belgiumrca.
crt)文件,并且点击InstallCertificate.