ASA5525-X+MS CA Windows Server 2012R2 — 2-хфакторная аутентификация
Для прохождения аттестации на соответствие требованиям стандарта PCI DSS потребовалось настроить 2-х факторную аутентификацию. А так как у нас в качестве фаервола используется решение от Cisco, то решили его и использовать… Казалось бы ничего сложного, — все уже давно изучено и не один раз настроено и легко можно найти необходимые инструкции, например, эти: Руководство по лаборатории тестирования: развертывание двухуровневой иерархии инфраструктуры открытых ключей служб сертификации Active Directory
CISCO: Configuring Digital Certificates
Cisco ASA with Radius and Certificates for Two-Factor Authentication (using a Microsoft CA)
но, как обычно и бывает с подобными «универсальными» инструкциями — тонкости они не учитывают, а это как раз и занимает бОльшую часть времени, при развертывании. об этих моментах мне как раз и хочется вам рассказать. надеюсь, это вам позволит сэкономить массу времени! Первым неприятным моментом оказолось то, что Offline Root CA выдал сертификат для Subordinate Issuing CA сроком на 1 год (!) и это несмотря на заранее созданный CAPolicy.inf: [Version] Signature=»$Windows NT$» [PolicyStatementExtension] Policies=InternalPolicy [InternalPolicy] OID= 1.2.3.4.1455.67.89.5 Notice=«Legal Policy Statement» URL=http://www.contoso.com/pki/cps.txt [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=20 CRLPeriod=weeks CRLPeriodUnits=26 CRLDeltaPeriod=Days CRLDeltaPeriodUnits=0 LoadDefaultTemplates=0 AlternateSignatureAlgorithm=1 Поэтому внимательно проверяйте срок действия сертификата и если он выдан на 1 год, — сразу меняйте. Изменить можно так: Нажмите кнопку Пуск и выберите команду Выполнить.В поле Открыть введите команду regedit и нажмите кнопку ОК.Найдите и выделите следующий раздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\ < Имя_цс >В правой области дважды щелкните ValidityPeriod.В поле значение введите введите одно из следующих действий и нажмите кнопку ОК: ДнейНеделиМесяцевЛет.В правой области дважды щелкните ValidityPeriodUnits.В поле значение введите числовое значение, которое требуется и нажмите кнопку ОК. Например введите 2.Остановите и перезапустите службы сертификации. Для этого: Нажмите кнопку Пуск и выберите команду Выполнить.В поле Открыть введите команду cmdи нажмите кнопку ОК.В командной строке введите следующие команды. Нажмите клавишу ВВОД после каждой строки.
certsvc net stop net start certsvc Введите exit для выхода из командной строки. А еще грубой ошибкой было игнорирование предупреждения от Microsoft:
Caution-ВниманиеКлиенты сертификатов под управлением Windows XP и Windows Server 2003 не поддерживают альтернативный алгоритм подписи. Чтобы такие клиенты могли подавать заявки на сертификаты, не добавляйте строку AlternateSignatureAlgorithm=1 в файл CAPolicy.inf. Дополнительные сведения см. в разделе Рекомендации по использованию альтернативных форматов подписи.
Поэтому — уберите из CAPolicy.inf строку AlternateSignatureAlgorithm=1, иначе заимеете проблему с установкой сертификатов на ASA: Microsoft CA RSASSA-PSS Algorithm Issue with ASAРешается изменением параметров в реестре: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\%Your_CA_Name%\CSP]«ProviderType»=dword:00000000«Provider»=«Microsoft Software Key Storage Provider«HashAlgorithm»=dword:00008004«CNGPublicKeyAlgorithm»=«RSA«CNGHashAlgorithm»=«SHA1«AlternateSignatureAlgorithm»=dword:00000001«MachineKeyset»=dword:00000001
и перевыпуском всех сертификатов.Ну и наконец, третий момент был связан с настройкой параметров SSL на ASA, а именно TLS V1 и соотв. Cipher (версий и алгоритмов). На момент развертывания инфраструктуры PKI у нас была установлена прошивка asa911-smp-k8, которая не позволяла это нормально настроить. Приняли решение обновиться на версию asa941-smp-k8, но снова не совсем внимательно прочли порядок обновления конфигурации. заимели вот такую странную ошибку:
— это при попытке загрузить файл прошивки на железку. А всего лишь необходимо было сначала установить прошивку версии asa912-smp-k8
Надеюсь, кому-то эти знания и опыт пригодятся. Удачи!